Opublikowano 05 grudnia 2016 | Zaktualizowano 21 grudnia 2016 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego urządzeń Google zostały także udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 5 grudnia 2016 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 07 listopada 2016 roku lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.
Najpoważniejsze z tych problemów to krytyczne luki w zabezpieczeniach kodu specyficznego dla urządzenia, które mogą umożliwić wykonanie dowolnego kodu w kontekście jądra, co prowadzi do możliwości trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia . Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostały wyłączone na potrzeby programowania lub jeśli pomyślnie je obejdzie.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
- 2016-12-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2016-12-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- 2016-12-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2016-12-01 i 2016-12-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- Obsługiwane urządzenia Google otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 grudnia 2016 r.
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang i Yang Song z Alibaba Mobile Security Group: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
- Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6789, CVE-2016-6790
- Christian Seel: CVE-2016-6769
- David Benjamin i Kenny Root z Google: CVE-2016-6767
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-6776, CVE-2016-6787
- En He ( @heeeeeen4x ) z zespołu MS509 : CVE-2016-6763
- Gengjia Chen ( @chengjia4574 ), plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
- Jianqiang Zhao ( @jianqiangzhao ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
- Lubo Zhang , Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- Oznacz markę Projektu Zero: CVE-2016-6772
- Michał Bednarski : CVE-2016-6770, CVE-2016-6774
- Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6760
- Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6759
- Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesla Motors: CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
- Badania nad cyberbezpieczeństwem Nightwatch ( @nightwatchcyber ): CVE-2016-5341
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab: CVE-2016-6755, CVE-2016-6756
- Peter Pi ( @heisecode ) z Trend Micro: CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- Qidan He (何淇丹) ( @flanker_hqd ) z KeenLab, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
- Qidan He (何淇丹) ( @flanker_hqd ) i Marco Grassi ( @marcograss ) z KeenLab, Tencent (腾讯科恩实验室): CVE-2016-6768
- Richard Shupak: CVE-2016-5341
- Sagi Kedmi z IBM X-Force Research: CVE-2016-8393, CVE-2016-8394
- Seven Shen ( @lingtongshen ) z zespołu ds. badania zagrożeń mobilnych, Trend Micro Inc.: CVE-2016-6757
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-6773
- Wenke Dou , Chi Zhang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6765
- Wish Wu ( @wish_wu ) (吴潍浠) z zespołu reagowania na zagrożenia mobilne firmy Trend Micro Inc .: CVE-2016-6704
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6777
- Yuxiang Li z działu platformy bezpieczeństwa Tencent: CVE-2016-6771
- Zhe Jin (金哲) z Centrum reagowania na bezpieczeństwo w Chengdu, Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766
- Zinuo Han z Chengdu Security Response Center firmy Qihoo 360 Technology Co. Ltd.: CVE-2016-6762
Dodatkowe podziękowania należą się MengLuo Gou ( @idhyt3r ) z Bottle Tech, Yong Wangowi (王勇) ( @ThomasKing2014 ) i Zubinowi Mithrze z Google za ich wkład w niniejszy biuletyn dotyczący bezpieczeństwa.
Poziom poprawki zabezpieczeń z dnia 2016-12-01 — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2016-12-01. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w CURL/LIBCURL
Tabela zawiera luki w zabezpieczeniach bibliotek CURL i LIBCURL. Najpoważniejszy problem może umożliwić osobie atakującej typu „man-in-the-middle” przy użyciu sfałszowanego certyfikatu wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ osoba atakująca potrzebuje sfałszowanego certyfikatu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | Wysoki | Wszystko | 7,0 | 3 sierpnia 2016 r |
| CVE-2016-5420 | A-31271247 | Wysoki | Wszystko | 7,0 | 3 sierpnia 2016 r |
| CVE-2016-5421 | A-31271247 | Wysoki | Wszystko | 7,0 | 3 sierpnia 2016 r |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w libziparchive
Luka w bibliotece libziparchive umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [ 2 ] | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 sierpnia 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w telefonii
Luka w zabezpieczeniach usługi Telephony umożliwiająca odmowę usługi może umożliwić lokalnej złośliwej aplikacji użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość lokalnej trwałej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 września 2016 r |
Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów
Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 września 2016 r |
| CVE-2016-6765 | A-31449945 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 7.0 | 13 września 2016 r |
| CVE-2016-6764 | A-31681434 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 22 września 2016 r |
| CVE-2016-6767 | A-31833604 | Wysoki | Nic* | 4.4.4 | Wewnętrzne Google |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca zdalne wykonanie kodu w bibliotece Framesequence
Luka w bibliotece Framesequence umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z biblioteki Framesequence.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 września 2016 r |
Zwiększenie luki w zabezpieczeniach Smart Lock w zakresie uprawnień
Luka w zabezpieczeniach Smart Lock umożliwiająca podniesienie uprawnień może umożliwić lokalnemu złośliwemu użytkownikowi dostęp do ustawień Smart Lock bez podawania kodu PIN. Ten problem został oceniony jako umiarkowany, ponieważ wymaga najpierw fizycznego dostępu do odblokowanego urządzenia, na którym użytkownik ostatnio otwierał panel ustawień Smart Lock.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6769 | A-29055171 | Umiarkowany | Nic* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 maja 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework
Luka w zabezpieczeniach API Framework umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji dostęp do funkcji systemowych wykraczających poza jej poziom dostępu. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście ograniczeń nakładanych na ograniczony proces.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6770 | A-30202228 | Umiarkowany | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 lipca 2016 r |
Zwiększenie luki w zabezpieczeniach w zakresie uprawnień w telefonii
Luka w zabezpieczeniach telefonii umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji dostęp do funkcji systemowych wykraczających poza jej poziom dostępu. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście ograniczeń nakładanych na ograniczony proces.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | Umiarkowany | Wszystko | 6.0, 6.0.1, 7.0 | 17 września 2016 r |
Podniesienie poziomu luki w zabezpieczeniach sieci Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [ 2 ] | Umiarkowany | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 września 2016 r |
Luka umożliwiająca ujawnienie informacji w Mediaserverze
Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [ 2 ] | Umiarkowany | Wszystko | 6.0, 6.0.1, 7.0 | 27 lipca 2016 r |
Luka umożliwiająca ujawnienie informacji w Menedżerze pakietów
Luka w Menedżerze pakietów umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszona |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | Umiarkowany | Wszystko | 7,0 | 29 sierpnia 2016 r |
Poziom poprawki zabezpieczeń z dnia 2016-12-05 — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2016-12-05. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Zwiększenie luki w zabezpieczeniach podsystemu pamięci jądra
Luka w zabezpieczeniach podsystemu pamięci jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 Jądro nadrzędne [ 2 ] | Krytyczny | Piksel C, piksel, piksel XL | 17 kwietnia 2016 r |
| CVE-2016-5195 | A-32141528 Jądro nadrzędne [ 2 ] | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 12 października 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA
Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873* N-CVE-2016-6775 | Krytyczny | Nexusa 9 | 25 sierpnia 2016 r |
| CVE-2016-6776 | A-31680980* N-CVE-2016-6776 | Krytyczny | Nexusa 9 | 22 września 2016 r |
| CVE-2016-6777 | A-31910462* N-CVE-2016-6777 | Krytyczny | Nexusa 9 | 3 października 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach jądra polegającej na podniesieniu uprawnień
Luka w jądrze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 Jądro nadrzędne | Krytyczny | Nic* | 10 września 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Zwiększenie luki w zabezpieczeniach sterownika wideo NVIDIA
Luka w sterowniku wideo NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161* N-CVE-2016-6915 | Krytyczny | Nexusa 9 | 13 września 2016 r |
| CVE-2016-6916 | A-32072350* N-CVE-2016-6916 | Krytyczny | Nexusa 9 i Pixela C | 13 września 2016 r |
| CVE-2016-6917 | A-32072253* N-CVE-2016-6917 | Krytyczny | Nexusa 9 | 13 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika ION jądra
Luka w zabezpieczeniach sterownika ION jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 Jądro nadrzędne | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player | 16 września 2016 r |
Luki w komponentach Qualcomm
Następujące luki dotyczą komponentów Qualcomm i zostały szczegółowo opisane w biuletynie bezpieczeństwa Qualcomm AMSS z listopada 2015 r.
| CVE | Bibliografia | Powaga* | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216** | Krytyczny | Nexusa 6, Nexusa 6P i Androida One | Wewnętrzne Qualcomma |
* Stopień ważności tych luk został określony przez dostawcę.
** Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach systemu plików jądra
Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 Jądro nadrzędne | Wysoki | Nexus 6, Nexus Player | 10 czerwca 2014 |
Zwiększenie luki w zabezpieczeniach jądra polegającej na podniesieniu uprawnień
Luka w jądrze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ wymaga najpierw wykorzystania osobnej luki.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6P, Nexus 9, piksel C, piksel, piksel XL | 8 stycznia 2015 r |
Zwiększenie luki w zabezpieczeniach sterownika kodeka dźwięku HTC
Luka w zabezpieczeniach sterownika kodeka dźwięku HTC umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646* | Wysoki | Nexusa 9 | 25 lutego 2016 r |
| CVE-2016-6779 | A-31386004* | Wysoki | Nexusa 9 | 25 lutego 2016 r |
| CVE-2016-6780 | A-31251496* | Wysoki | Nexusa 9 | 30 sierpnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika MediaTek
Luka w sterowniku MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6492 | A-28175122 MT-ALPS02696413 | Wysoki | Nic* | 11 kwietnia 2016 r |
| CVE-2016-6781 | A-31095175 MT-ALPS02943455 | Wysoki | Nic* | 22 sierpnia 2016 r |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 | Wysoki | Nic* | 24 sierpnia 2016 r |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 | Wysoki | Nic* | 6 września 2016 r |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 | Wysoki | Nic* | 6 września 2016 r |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 | Wysoki | Nic* | 25 września 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie poziomu luki w zabezpieczeniach kodeków multimedialnych Qualcomm
Luka w zabezpieczeniach kodeków multimedialnych Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682* QC-CR#1055792 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 16 czerwca 2016 r |
| CVE-2016-6760 | A-29617572* QC-CR#1055783 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 23 czerwca 2016 r |
| CVE-2016-6759 | A-29982686* QC-CR#1055766 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 4 lipca 2016 r |
| CVE-2016-6758 | A-30148882* QC-CR#1071731 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 13 lipca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika kamery Qualcomm
Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-CR#1065916 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 3 sierpnia 2016 r |
Zwiększenie luki w zabezpieczeniach podsystemu wydajności jądra
Luka w zabezpieczeniach podsystemu wydajności jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 sierpnia 2016 r |
| CVE-2016-6787 | A-31095224 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 22 sierpnia 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika MediaTek I2C
Luka w zabezpieczeniach sterownika MediaTek I2C umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 | Wysoki | Nic* | 24 sierpnia 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Zwiększenie luki w zabezpieczeniach w bibliotece NVIDIA libomx
Luka w zabezpieczeniach biblioteki NVIDIA libomx (libnvomx) umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973* N-CVE-2016-6789 | Wysoki | Piksel C | 29 sierpnia 2016 r |
| CVE-2016-6790 | A-31251628* N-CVE-2016-6790 | Wysoki | Piksel C | 28 sierpnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika dźwięku Qualcomm
Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-CR#1071809 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 sierpnia 2016 r |
| CVE-2016-8391 | A-31253255 QC-CR#1072166 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 sierpnia 2016 r |
| CVE-2016-8392 | A-31385862 QC-CR#1073136 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 8 września 2016 r |
Zwiększenie luki w zabezpieczeniach podsystemu zabezpieczeń jądra
Luka w zabezpieczeniach podsystemu zabezpieczeń jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 31 sierpnia 2016 r |
Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics
Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920* | Wysoki | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 września 2016 r |
| CVE-2016-8394 | A-31913197* | Wysoki | Nexusa 9 i Androida One | 8 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom
Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB#26684 | Wysoki | Nic* | 21 września 2016 r |
| CVE-2014-9910 | A-31746399 B-RB#26710 | Wysoki | Nic* | 26 września 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w sterowniku wideo MediaTek
Luka w sterowniku wideo MediaTek umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | Wysoki | Nic* | 26 sierpnia 2016 r |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA
Luka w sterowniku wideo NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953* N-CVE-2016-8397 | Wysoki | Nexusa 9 | 8 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Luka w zabezpieczeniach typu „odmowa usługi” w systemie GPS
Luka w zabezpieczeniach modułu Qualcomm GPS umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303* | Wysoki | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 21 czerwca 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Luka w zabezpieczeniach typu „odmowa usługi” w sterowniku kamery NVIDIA
Luka w zabezpieczeniach sterownika kamery NVIDIA umożliwiająca odmowę usługi może umożliwić osobie atakującej spowodowanie lokalnej, trwałej odmowy usługi, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość lokalnej trwałej odmowy usługi.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040* N-CVE-2016-8395 | Wysoki | Piksel C | 9 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Zwiększenie luki w zabezpieczeniach podsystemu sieciowego jądra
Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu, a bieżące optymalizacje kompilatora ograniczają dostęp do podatnego kodu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm
Luka w komponentach Qualcomm, w tym w sterowniku aparatu i sterowniku wideo, umożliwiająca ujawnienie informacji, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-6756 | A-29464815 QC-CR#1042068 [ 2 ] | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 17 czerwca 2016 r |
| CVE-2016-6757 | A-30148242 QC-CR#1052821 | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 13 lipca 2016 r |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w bibliotece NVIDIA librm
Luka w bibliotece NVIDIA librm (libnvrm) umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599* N-CVE-2016-8400 | Umiarkowany | Piksel C | 29 sierpnia 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach jądra
Luka umożliwiająca ujawnienie informacji w komponentach jądra, w tym podsystemie ION, Binder, sterowniku USB i podsystemie sieciowym, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 września 2016 r |
| CVE-2016-8402 | A-31495231* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 września 2016 r |
| CVE-2016-8403 | A-31495348* | Umiarkowany | Nexusa 9 | 13 września 2016 r |
| CVE-2016-8404 | A-31496950* | Umiarkowany | Nexusa 9 | 13 września 2016 r |
| CVE-2016-8405 | A-31651010* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 21 września 2016 r |
| CVE-2016-8406 | A-31796940* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 września 2016 r |
| CVE-2016-8407 | A-31802656* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA
Luka w sterowniku wideo NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571* N-CVE-2016-8408 | Umiarkowany | Nexusa 9 | 13 września 2016 r |
| CVE-2016-8409 | A-31495687* N-CVE-2016-8409 | Umiarkowany | Nexusa 9 | 13 września 2016 r |
* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .
Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm
Luka w sterowniku dźwięku Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Powaga | Zaktualizowano urządzenia Google | Data zgłoszona |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-CR#987010 | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Android One | Wewnętrzne Google |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .
- Poziomy poprawek zabezpieczeń z dnia 2016-12-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2016-12-01.
- Poziomy poprawek zabezpieczeń z dnia 2016-12-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2016-12-05 i wszystkimi poprzednimi poziomami poprawek.
Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?
W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 grudnia 2016 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
- Urządzenia korzystające z poziomu łatki bezpieczeństwa z 5 grudnia 2016 r. Lub Nowsze muszą zawierać wszystkie odpowiednie łatki w tym (i poprzednich) biuletynach bezpieczeństwa.
Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.
3. Jak ustalić, na które urządzenia Google wpływa na każdy problem?
W sekcjach szczegóły dotyczące zabezpieczeń 2016-12-01 i 2016-12-05 , każda tabela ma zaktualizowaną kolumnę Google Devices , która obejmuje zakres dotkniętych urządzeń Google zaktualizowanych dla każdego wydania. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Google : jeśli problem wpływa na wszystkie urządzenia i piksel, tabela będzie miała „wszystkie” w zaktualizowanej kolumnie Google Devices . „Wszystkie” zawiera następujące obsługiwane urządzenia : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
- Niektóre urządzenia Google : jeśli problem nie wpływa na wszystkie urządzenia Google, dotknięte urządzenia Google są wymienione w zaktualizowanej kolumnie Google Devices .
- Brak urządzeń Google : jeśli problem z Android 7.0 nie ma na Androida .
4. Na co wpisy w kolumnie referencyjnej mapują?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiks mapy w następujący sposób:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny firmy Broadcom |
Wersje
- 05 grudnia 2016: Biuletyn opublikowany.
- 07 grudnia 2016 r.: Biuletyn poprawiony w celu uwzględnienia linków AOSP i zaktualizowanego przypisania dla CVE-2016-6915, CVE-2016-6916 i CVE-2016-6917.
- 21 grudnia 2016 r.: Poprawione literówki w CVE-2016-8411 Opis oraz wspólne pytania i odpowiedzi.