Android februári sérülékenységek


2016. február 2. 23:35

CH azonosító

CH-12999

Angol cím

Android vulnerabilities - February

Felfedezés dátuma

2016.01.31.

Súlyosság

Kritikus

Érintett rendszerek

Android
Google

Érintett verziók

Android 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1

Összefoglaló

Az Andorid új verziója vált elérhetővé. A frissítéssel 10 darab sérülékenységet is javítottak, melyek közül a legmagasabbak kritikus besorolást kaptak.

Leírás

Javításra került 5 kritikus, 4 magas, és 1 közepes besorolású sérülékenység.

A kritikus besorolású sérülékenységek kihasználását többféle megoldással érhetik el, mint: email, weboldalak, és MMS üzenetek, melyek média fájljainak feldolgozásakor a támadó távoli kódfuttatást érhet el, továbbá emelt szintű jogosultságot is szerezhet.

A javításra került sérülékenységek részletes felsorolása:

  • Távoli kódfuttatást tesz lehetővé a Broadcom Wi-Fi-illesztőprogramja és a MediaServer.
  • Emelt szintű jogosultságot szerezhet a Qualcomm teljesítmény modulja és a Qualcomm Wi-Fi-illesztőprogramja, a hibakereső démon (Debuggerd), a készülék Wi-Fi vezérlője, a MediaServer és a készülék telepítővarázslója.
  • A MINIKIN könyvtár szolgáltatás megtagadásos támadást tehet lehetővé a helyi támadók számara.
  • A libmediaplayerservice, adatokhoz való illetéktelen hozzáférést, információ szivárgást tesz lehetővé.

Megoldás

Frissítsen OTA-n keresztül a LMY49G build-re, vagy telepítse a lemezképeket ahttps://developers.google.com/android/nexus/images weboldalról. Nexus eszközöknél keresse fel a következő linken található weboldalt:

https://support.google.com/nexus/answer/4457705

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: source.android.com
Egyéb referencia: www.heise.de
CVE-2016-0801 - NVD CVE-2016-0801
CVE-2016-0802 - NVD CVE-2016-0802
CVE-2016-0803 - NVD CVE-2016-0803
CVE-2016-0804 - NVD CVE-2016-0804
CVE-2016-0805 - NVD CVE-2016-0805
CVE-2016-0806 - NVD CVE-2016-0806
CVE-2016-0807 - NVD CVE-2016-0807
CVE-2016-0808 - NVD CVE-2016-0808
CVE-2016-0809 - NVD CVE-2016-0809
CVE-2016-0810 - NVD CVE-2016-0810
CVE-2016-0811 - NVD CVE-2016-0811
CVE-2016-0812 - NVD CVE-2016-0812
CVE-2016-0813 - NVD CVE-2016-0813

Legfrissebb sérülékenységek
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »