Publicado em 3 de outubro de 2016 | Atualizado em 4 de outubro de 2016
O Boletim de segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Além do boletim, lançamos uma atualização de segurança para dispositivos Nexus por uma atualização over the air (OTA). As imagens do firmware do Nexus também foram lançadas no site para desenvolvedores do Google. Os níveis de patch de segurança de 5 de outubro de 2016 ou mais recentes resolvem esses problemas. Consulte a documentação para saber como verificar o nível do patch de segurança. Os dispositivos Nexus com suporte receberão uma única atualização OTA com o nível do patch de segurança de 5 de outubro de 2016.
Os parceiros foram notificados sobre os problemas descritos no boletim em 6 de setembro de 2016 ou antes. Quando aplicável, os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP). Este boletim também inclui links para patches fora do AOSP.
O mais grave desses problemas são vulnerabilidades de segurança críticas em código específico do dispositivo que podem ativar a execução remota de código no contexto do kernel, levando à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a reinstalação do sistema operacional para reparar o dispositivo. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não recebemos relatos de exploração ou abuso ativo de clientes desses problemas recém-informados. Consulte a seção Mitigações de serviços do Android e do Google para saber mais sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como a SafetyNet, que melhoram a segurança da plataforma Android.
Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.
Anúncios
- Este boletim tem duas strings de nível de patch de segurança para oferecer aos parceiros
do Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades
semelhantes em todos os dispositivos Android. Consulte
Perguntas e respostas comuns para
mais informações:
- 2016-10-01: string de nível do patch de segurança parcial. Essa string de nível de patch de segurança indica que todos os problemas associados a 2016-10-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
- 2016-10-05: string de nível do patch de segurança completa. Essa string de nível de patch de segurança indica que todos os problemas associados a 2016-10-01 e 2016-10-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
- Os dispositivos Nexus com suporte vão receber uma única atualização OTA com o nível do patch de segurança de 5 de outubro de 2016.
Mitigações do Android e dos serviços do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android fica mais difícil devido às melhorias nas versões mais recentes da Plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente os abusos com o Verify Apps e o SafetyNet, que foram criados para alertar os usuários sobre aplicativos potencialmente nocivos. A verificação de apps é ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam apps fora do Google Play. Ferramentas de enraizamento de dispositivos são proibidas no Google Play, mas o recurso "Verificar apps" alerta os usuários quando eles tentam instalar um aplicativo de enraizamento detectado, não importa a origem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se esse aplicativo já tiver sido instalado, o recurso Verificar apps vai notificar o usuário e tentar remover o aplicativo detectado.
- Conforme apropriado, os apps do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos como o Mediaserver.
Agradecimentos
Agradecemos as contribuições dos seguintes pesquisadores:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Daniel Micay, da Copperhead Security: CVE-2016-3922
- Dmitry Vyukov, do Google: CVE-2016-7117
- Dosomder: CVE-2016-3931
- Ecular Xu (徐健) da Trend Micro: CVE-2016-3920
- Gengjia Chen (@chengjia4574) e pjf do IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- Hang Zhang, Dongdong She e Zhiyun Qian da UC Riverside: CVE-2015-8950
- Hao Chen, da Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Jann Horn, do Projeto Zero do Google: CVE-2016-3900, CVE-2016-3885
- Jason Rogena: CVE-2016-3917
- Jianqiang Zhao (@jianqiangzhao) e pjf do IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681, CVE-2016-6682, CVE-2016-3930
- Joshua Drake (@jduck): CVE-2016-3920
- Maciej Szawłowski, da equipe de segurança do Google: CVE-2016-3905
- Marca Mark do Google Project Zero: CVE-2016-6689
- Michał Bednarski: CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2016-3933, CVE-2016-3932
- Pesquisa de segurança cibernética do Nightwatch (@nightwatchcyber): CVE-2016-5348
- Roee Hay, pesquisador da X-Force da IBM Security: CVE-2016-6678
- Samuel Tan, do Google: CVE-2016-3925
- Scott Bauer (@ScottyBauer1): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Seven Shen (@lingtongshen) da equipe de pesquisa de ameaças móveis da Trend Micro: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695.
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang da Equipe C0RE: CVE-2016-3909
- Wenlin Yang e Guang Gong (龚广) (@oldfresher) da equipe Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) (@wish_wu) da Trend Micro Inc.: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Yong Shi da equipe Eagleye, SCC, Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) (@0xr0ot) do Security Research Lab, Cheetah Mobile: CVE-2016-3908
Nível do patch de segurança de 01/10/2016: detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2016-10-01. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Nexus atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de denúncia. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de elevação de privilégio no ServiceManager
Uma elevação de privilégio no ServiceManager pode permitir que um aplicativo malicioso local registre serviços arbitrários que normalmente seriam fornecidos por um processo privilegiado, como o system_server. Esse problema tem uma gravidade alta devido à possibilidade de falsificação de identidade do serviço.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [2] | Alta | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 de junho de 2016 |
Elevação de privilégio em vulnerabilidade no serviço de configurações de bloqueio
Uma elevação de vulnerabilidade de privilégio no serviço de configurações de bloqueio pode permitir que um aplicativo malicioso local limpe o PIN ou a senha do dispositivo. Esse problema tem classificação alta porque é um desvio local dos requisitos de interação do usuário para qualquer modificação de desenvolvedor ou configurações de segurança.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Alta | Todos os Nexus | 6.0, 6.0.1, 7.0 | 6 de julho de 2016 |
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma elevação de vulnerabilidade de privilégio no Mediaserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [2] | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 de julho de 2016 |
| CVE-2016-3910 | A-30148546 | Alta | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 de julho de 2016 |
| CVE-2016-3913 | A-30204103 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 de julho de 2016 |
Vulnerabilidade de elevação de privilégio no processo Zygote
Um aumento de privilégio no processo Zygote pode permitir que um aplicativo local malicioso execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para acessar localmente os recursos elevados, que normalmente não são acessíveis para um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 de julho de 2016 |
Vulnerabilidade de elevação de privilégio em APIs de framework
Uma elevação de vulnerabilidade de privilégio nas APIs do framework pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 de julho de 2016 |
Vulnerabilidade de elevação de privilégios na telefonia
Uma elevação de vulnerabilidade de privilégio no componente de telefonia pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 de julho de 2016 |
Vulnerabilidade de elevação de privilégio no serviço da câmera
Uma elevação de vulnerabilidade de privilégio no serviço da câmera pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1º de agosto de 2016 |
| CVE-2016-3916 | A-30741779 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 de agosto de 2016 |
Vulnerabilidade de elevação de privilégio no login por impressão digital
Uma vulnerabilidade de elevação de privilégio durante o login por impressão digital pode permitir que um proprietário malicioso do dispositivo faça login como uma conta de usuário diferente no dispositivo. Esse problema é classificado como Alto devido à possibilidade de burlar a tela de bloqueio.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Alta | Todos os Nexus | 6.0.1, 7.0 | 5 de agosto de 2016 |
Vulnerabilidade de divulgação de informações no AOSP Mail
Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo malicioso local contorne as proteções do sistema operacional que isolam os dados de outros aplicativos. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 de agosto de 2016 |
Vulnerabilidade de negação de serviço no Wi-Fi
Uma vulnerabilidade de negação de serviço no Wi-Fi pode permitir que um invasor local próximo crie um ponto de acesso e reinicie o dispositivo. Esse problema é classificado como alto devido à possibilidade de uma negação de serviço remota temporária.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Alta | Todos os Nexus | 6.0, 6.0.1, 7.0 | 17 de junho de 2016 |
Vulnerabilidade de negação de serviço no GPS
Uma vulnerabilidade de negação de serviço no componente de GPS pode permitir que um invasor remoto cause uma falha ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de uma negação de serviço remota temporária.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Alta | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 de junho de 2016 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor use um arquivo criado especialmente para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Alta | Todos os Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 de agosto de 2016 |
Vulnerabilidade de elevação de privilégio no Framework Listener
Uma elevação de vulnerabilidade de privilégio no Framework Listener pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema é considerado moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Moderada | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 de junho de 2016 |
Vulnerabilidade de elevação de privilégios na telefonia
Uma elevação de vulnerabilidade de privilégio na telefonia pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Moderada | Todos os Nexus | 6.0, 6.0.1, 7.0 | 17 de julho de 2016 |
Vulnerabilidade de elevação de privilégio nos serviços de acessibilidade
Uma elevação de vulnerabilidade de privilégio nos serviços de acessibilidade pode permitir que um aplicativo malicioso local gere eventos de toque inesperados no dispositivo, o que pode levar os apps a aceitar caixas de diálogo de permissão sem o consentimento explícito do usuário. Esse problema é considerado moderado porque é uma evasão local de requisitos de interação do usuário que normalmente exigiriam a ativação do usuário ou permissão dele.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Moderada | Todos os Nexus | 7.0 | Uso interno do Google |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados sensíveis sem permissão.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Moderada | Todos os Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 de julho de 2016 |
Vulnerabilidade de negação de serviço no Wi-Fi
Uma vulnerabilidade de negação de serviço no serviço Wi-Fi pode permitir que um aplicativo malicioso local impeça as chamadas por Wi-Fi. Esse problema é considerado moderado devido à possibilidade de negação de serviço para a funcionalidade do aplicativo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Moderada | Todos os Nexus | 6.0, 6.0.1, 7.0 | Uso interno do Google |
Nível do patch de segurança de 05/10/2016: detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2016-10-05. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Nexus atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de denúncia. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de execução de código remota no decodificador ASN.1 do kernel
Uma elevação de vulnerabilidade de privilégio no decodificador ASN.1 do kernel pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 Kernel upstream |
Crítico | Nexus 5X, Nexus 6P | 12 de maio de 2016 |
Vulnerabilidade de execução remota de código no subsistema de rede do kernel
Uma vulnerabilidade de execução remota de código no subsistema de rede do kernel pode permitir que um invasor remoto execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Kernel upstream |
Crítico | Todos os Nexus | Uso interno do Google |
Elevação de vulnerabilidade de privilégio no driver de vídeo MediaTek
Uma elevação de vulnerabilidade de privilégio no driver de vídeo MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometer permanentemente o dispositivo local, o que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 |
Crítico | Nenhum | 6 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver de memória compartilhada do kernel
Uma elevação de vulnerabilidade de privilégio no driver de memória compartilhada do kernel pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometer permanentemente o dispositivo local, o que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
Crítico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 de julho de 2016 |
Vulnerabilidades em componentes da Qualcomm
A tabela abaixo contém vulnerabilidades de segurança que afetam os componentes da Qualcomm e são descritas em mais detalhes nos boletins de segurança da Qualcomm AMSS de março de 2016 e da Qualcomm AMSS de abril de 2016.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | Crítico | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | Qualcomm interno |
| CVE-2016-3927 | A-28823244* | Crítico | Nexus 5X, Nexus 6P | Qualcomm interno |
| CVE-2016-3929 | A-28823675* | Alta | Nexus 5X, Nexus 6P | Qualcomm interno |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no componente de rede Qualcomm
Uma elevação de vulnerabilidade de privilégio no componente de rede da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 de fevereiro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de teste MMC da NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver de teste do MMC da NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 |
Alta | Nexus 9 | 12 de maio de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no driver do Qualcomm QSEE Communicator
Uma elevação de vulnerabilidade de privilégio no driver do Qualcomm QSEE Communicator pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 de junho de 2016 |
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma elevação de vulnerabilidade de privilégio no Mediaserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 |
Alta | Nenhum | 6 de junho de 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 |
Alta | Nexus 9, Pixel C | 14 de junho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação da vulnerabilidade de privilégio no driver da câmera Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver da câmera Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 |
Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 de junho de 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 |
Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 de julho de 2016 |
Elevação de vulnerabilidade de privilégio no driver de som da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 |
Alta | Nexus 5X, Nexus 6P, Android One | 20 de junho de 2016 |
Elevação de vulnerabilidade de privilégio no driver do mecanismo de criptografia da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver do mecanismo criptográfico da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 de julho de 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 de julho de 2016 |
Elevação de vulnerabilidade de privilégio no driver de vídeo MediaTek
Uma elevação de vulnerabilidade de privilégio no driver de vídeo MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 |
Alta | Nenhum | 6 de julho de 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 |
Alta | Nenhum | 7 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver de vídeo Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 de julho de 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 de agosto de 2016 |
Elevação de vulnerabilidade de privilégio no driver de tela touchscreen Synaptics
Uma elevação de vulnerabilidade de privilégio no driver da tela touchscreen Synaptics pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Alta | Nexus 6P, Android One | 12 de julho de 2016 |
| CVE-2016-6672 | A-30537088* | Alta | Nexus 5X | 31 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver da câmera NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver da câmera da NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 |
Alta | Nexus 9 | 17 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de elevação de privilégio no system_server
Uma vulnerabilidade de elevação de privilégio no system_server pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Alto porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Alta | Todos os Nexus | 26 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver do Wi-Fi da Qualcomm.
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 |
Alta | Nexus 5X | Uso interno do Google |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 |
Alta | Nexus 5X, Android One | 15 de agosto de 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 |
Alta | Nexus 5X, Android One | 15 de agosto de 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 |
Alta | Android One | 15 de agosto de 2016 |
Elevação de vulnerabilidade de privilégio no subsistema de desempenho do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de desempenho do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 Kernel upstream |
Alta | Nexus 5X, Nexus 6P, Pixel C, Android One | Uso interno do Google |
Vulnerabilidade de divulgação de informações no subsistema ION do kernel
Uma vulnerabilidade de divulgação de informações no subsistema ION do kernel pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 |
Alta | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 de maio de 2016 |
Vulnerabilidade de divulgação de informações no driver de GPU NVIDIA
Uma vulnerabilidade de divulgação de informações no driver da GPU NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 |
Alta | Nexus 9 | 19 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Elevação de vulnerabilidade de privilégio no driver de caracteres da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de caracteres da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado, e o código vulnerável não está acessível no momento.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 |
Moderada | Nexus 5X, Nexus 6P | 28 de maio de 2016 |
Vulnerabilidade de divulgação de informações no driver de som da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de som da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 |
Moderada | Nexus 5X, Nexus 6P, Android One | 13 de junho de 2016 |
Vulnerabilidade de divulgação de informações no driver USBNet da Motorola
Uma vulnerabilidade de divulgação de informações no driver USBNet da Motorola poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Moderada | Nexus 6 | 30 de junho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações em componentes da Qualcomm
Uma vulnerabilidade de divulgação de informações em componentes da Qualcomm, incluindo o driver de som, o driver IPA e o driver Wi-Fi, pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [2] |
Moderada | Nexus 5X, Android One | 30 de junho de 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 |
Moderada | Nexus 5X, Nexus 6P, | 2 de julho de 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 |
Moderada | Nexus 5X, Android One | 3 de julho de 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 |
Moderada | Nexus 5X, Nexus 6P, Android One | 14 de julho de 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 |
Moderada | Nexus 5X, Nexus 6P, Android One | 14 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações em componentes do kernel
Uma vulnerabilidade de divulgação de informações em componentes do kernel, incluindo Binder, Sync, Bluetooth e driver de som, pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Moderada | Todos os Nexus | 13 de julho de 2016 |
| CVE-2016-6684 | A-30148243* | Moderada | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player e Android One | 13 de julho de 2016 |
| CVE-2015-8956 | A-30149612* | Moderada | Nexus 5, Nexus 6P, Android One | 14 de julho de 2016 |
| CVE-2016-6685 | A-30402628* | Moderada | Nexus 6P | 25 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no perfilador da NVIDIA
Uma vulnerabilidade de divulgação de informações no perfilador da NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 |
Moderada | Nexus 9 | 15 de julho de 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 |
Moderada | Nexus 9 | 15 de julho de 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 |
Moderada | Nexus 9 | 2 de agosto de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de divulgação de informações no kernel
Uma vulnerabilidade de divulgação de informações no Binder pode permitir que um aplicativo local malicioso acessoe dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Moderada | Todos os Nexus | 9 de agosto de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidade de negação de serviço no subsistema de rede do kernel
Uma vulnerabilidade de negação de serviço no subsistema de rede do kernel pode permitir que um invasor bloqueie o acesso a conexões TCP e cause uma negação de serviço remota temporária. Esse problema é considerado moderado porque os serviços celulares ainda estão disponíveis e o dispositivo ainda pode ser usado.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Kernel upstream |
Moderada | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 de julho de 2016 |
Vulnerabilidade de negação de serviço no driver de som do kernel
Uma vulnerabilidade de negação de serviço no kernel pode permitir que um aplicativo malicioso local cause a reinicialização de um dispositivo. Esse problema é classificado como baixo porque é uma negação temporária de serviço.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Baixa | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 de maio de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
Vulnerabilidades em componentes da Qualcomm
A tabela abaixo contém uma lista de vulnerabilidades de segurança que afetam os componentes da Qualcomm.
| CVE | Referências | Gravidade | Dispositivos Nexus atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Alta | Nenhum | Julho de 2016 |
| CVE-2016-6692 | QC-CR#1004933 | Alta | Nenhum | Agosto de 2016 |
| CVE-2016-6693 | QC-CR#1027585 | Alta | Nenhum | Agosto de 2016 |
| CVE-2016-6694 | QC-CR#1033525 | Alta | Nenhum | Agosto de 2016 |
| CVE-2016-6695 | QC-CR#1033540 | Alta | Nenhum | Agosto de 2016 |
| CVE-2016-6696 | QC-CR#1041130 | Alta | Nenhum | Agosto de 2016 |
| CVE-2016-5344 | QC-CR#993650 | Moderada | Nenhum | Agosto de 2016 |
| CVE-2016-5343 | QC-CR#1010081 | Moderada | Nenhum | Agosto de 2016 |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Os níveis de patch de segurança de 2016-10-01 ou mais recentes resolvem todos os problemas associados ao nível da string do patch de segurança 2016-10-01. Os níveis de patch de segurança de 2016-10-05 ou mais recentes resolvem todos os problemas associados ao nível de string do patch de segurança 2016-10-05. Consulte a Central de Ajuda para instruções sobre como verificar o nível do patch de segurança. Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como: [ro.build.version.security_patch]:[2016-10-01] ou [ro.build.version.security_patch]:[2016-10-05].
2. Por que este boletim tem duas strings de nível de patch de segurança?
Este boletim tem duas strings de nível de patch de segurança para que os parceiros do Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android com mais rapidez. Recomendamos que os parceiros do Android corrijam todos os problemas deste boletim e usem a string de nível de patch de segurança mais recente.
Os dispositivos que usam o nível do patch de segurança de 5 de outubro de 2016 ou mais recente precisam incluir todos os patches aplicáveis nestes e nos boletins de segurança anteriores.
Os dispositivos que usam o nível do patch de segurança de 1º de outubro de 2016 precisam incluir todos os problemas associados a esse nível, além de correções para todos os problemas informados em boletins de segurança anteriores.
3. Como determinar quais dispositivos Nexus são afetados por cada problema?
Nas seções de detalhes da vulnerabilidade de segurança 2016-10-01 e 2016-10-05, cada tabela tem uma coluna Dispositivos Nexus atualizados que abrange o intervalo de dispositivos Nexus afetados atualizados para cada problema. Essa coluna tem algumas opções:
- Todos os dispositivos Nexus: se um problema afetar todos os dispositivos Nexus, a tabela vai mostrar "Todos os Nexus" na coluna Dispositivos Nexus atualizados. "Todos os Nexus" inclui os seguintes dispositivos compatíveis: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player e Pixel C.
- Alguns dispositivos Nexus: se um problema não afetar todos os dispositivos Nexus, os dispositivos afetados serão listados na coluna Dispositivos Nexus atualizados.
- Nenhum dispositivo Nexus: se nenhum dispositivo Nexus com o Android 7.0 for afetado pelo problema, a tabela vai mostrar "Nenhum" na coluna Dispositivos Nexus atualizados.
4. Para que as entradas na coluna de referências são mapeadas?
As entradas na coluna References da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence. Esses prefixos são mapeados da seguinte maneira:
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| QC- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência da NVIDIA |
| B- | Número de referência da Broadcom |
Revisões
- 3 de outubro de 2016: publicação do boletim.
- 4 de outubro de 2016: o boletim foi revisado para incluir links do AOSP e atualizar as atribuições para CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 e CVE-2016-6696.