優先度の高いMediaserverコンポーネントの他の複数のLPE脆弱性は、Androidでの権限を高めるために攻撃者によって使用される可能性があります。 合計で、Mediaserverの12のそのような脆弱性は修正の対象です。 この場合、悪意のあるアプリケーションがSignatureまたはSignatureOrSystem権限を取得する可能性があります。これらの権限は、正当なシステムAndroidアプリケーションにのみ付与されます。
図 Androidセキュリティ速報-2016年6月の修正された脆弱性の一部。
2つの修正された脆弱性CVE-2016-2475およびCVE-2016-2493はBroadcom Wi-Fiドライバーに関連し、攻撃者を使用して、十分な権限を持たずにAndroidの設定を変更できます。2番目の脆弱性の場合、Androidカーネルのコンテキストでコードを実行できます。 これらの脆弱性の修正は、Nexus 5、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Nexus Player、Pixel Cなどのスマートフォンモデルに関連しています。Android4.4.4、5.0.2は、Mediaserverの重要なLPE脆弱性の修正の影響を受けますが、 5.1.1、6.0、6.0.1。
Mediaserverの脆弱性CVE-2016-2495はサービス拒否タイプであり、攻撃者が4.4.4、5.0.2、5.1.1、6.0、6.0.1などのAndroidバージョンに対してデバイスのフリーズまたは再起動を引き起こすことができます。 MediaTek Power Managementドライバーに識別子CVE-2016-2492を使用した別のLPE脆弱性により、攻撃者がAndroidカーネルのコンテキストで任意のコードを実行する可能性があります。 このアップデートは、Android Oneスマートフォンに関連しています。 Nexus 9デバイス用のNVIDIAカメラドライバーには、同様のLPE脆弱性CVE-2016-2490およびCVE-2016-2491が存在します。
他の脆弱性の説明については、 source.android.com/security/bulletin/2016-06-01.htmlを参照してください。
安全である。