Opublikowano 05 grudnia 2016 | Zaktualizowano 21 grudnia 2016 r.
Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń urządzeń Google za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania układowego urządzeń Google zostały również udostępnione w witrynie Google Developer . Wszystkie te problemy rozwiązują poziomy poprawek zabezpieczeń z 5 grudnia 2016 r. lub nowsze. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 07.11.2016 r. lub wcześniej. Poprawki do kodu źródłowego dla tych problemów zostały udostępnione w repozytorium Android Open Source Project (AOSP) i połączone z tym biuletynem. Biuletyn ten zawiera również łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów są krytyczne luki w zabezpieczeniach w kodzie specyficznym dla urządzenia, które mogą umożliwić wykonanie dowolnego kodu w kontekście jądra, co prowadzi do możliwości lokalnego trwałego naruszenia bezpieczeństwa urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia . Ocena dotkliwości opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy, przy założeniu, że platforma i usługi ograniczania zagrożeń są wyłączone w celach programistycznych lub pomyślnie ominięte.
Nie mieliśmy żadnych doniesień o aktywnym wykorzystywaniu lub nadużywaniu przez klientów tych nowo zgłoszonych problemów. Szczegółowe informacje na temat zabezpieczeń platformy Android i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia ryzyka w usługach Android i Google .
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- Ten biuletyn zawiera dwa łańcuchy poziomów poprawek zabezpieczeń, aby zapewnić partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk, które są podobne na wszystkich urządzeniach z systemem Android. Zobacz Często zadawane pytania i odpowiedzi, aby uzyskać dodatkowe informacje:
- 2016-12-01 : Częściowy ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 01.12.2016 r. (i wszystkimi poprzednimi ciągami poziomu poprawek zabezpieczeń) zostały rozwiązane.
- 2016-12-05 : Kompletny ciąg poziomu poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 01.12.2016 i 05.12.2016 (oraz wszystkie poprzednie ciągi poziomów poprawek zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Google otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 grudnia 2016 r.
Ograniczenia w usługach Android i Google
To jest podsumowanie środków łagodzących zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Te możliwości zmniejszają prawdopodobieństwo pomyślnego wykorzystania luk w zabezpieczeniach w systemie Android.
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida tam, gdzie to możliwe.
- Zespół Android Security aktywnie monitoruje nadużycia za pomocą funkcji Verify Apps i SafetyNet , które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach . Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Weryfikacja aplikacji ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd pochodzi. Ponadto Verify Apps próbuje zidentyfikować i zablokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w eskalacji uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang i Yang Song z Alibaba Mobile Security Group: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
- Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6789, CVE-2016-6790
- Christian Seel: CVE-2016-6769
- David Benjamin i Kenny Root z Google: CVE-2016-6767
- Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2016-6776, CVE-2016-6787
- Pl On ( @heeeeen4x ) z MS509Team : CVE-2016-6763
- Gengjia Chen ( @chengjia4574 ), pjf IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
- Jianqiang Zhao ( @jianqiangzhao ) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
- Lubo Zhang , Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- Oznacz markę Projektu Zero: CVE-2016-6772
- Michał Bednarski : CVE-2016-6770, CVE-2016-6774
- Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6760
- Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6759
- Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesla Motors: CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
- Badania nad cyberbezpieczeństwem Nightwatch ( @nightwatchcyber ): CVE-2016-5341
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab: CVE-2016-6755, CVE-2016-6756
- Peter Pi ( @heisecode ) z firmy Trend Micro: CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- Qidan He (何淇丹) ( @flanker_hqd ) z KeenLab, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
- Qidan He (何淇丹) ( @flanker_hqd ) i Marco Grassi ( @marcograss ) z KeenLab, Tencent (腾讯科恩实验室): CVE-2016-6768
- Ryszard Shupak: CVE-2016-5341
- Sagi Kedmi z IBM X-Force Research: CVE-2016-8393, CVE-2016-8394
- Seven Shen ( @lingtongshen ) z Zespołu ds. Badań nad Zagrożeniami Mobilnymi, Trend Micro Inc.: CVE-2016-6757
- Weichao Sun ( @sunblate ) z Alibaba Inc.: CVE-2016-6773
- Wenke Dou , Chi Zhang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6765
- Życzę Wu ( @wish_wu ) (吴潍浠) z zespołu ds. reagowania na zagrożenia mobilne , Trend Micro Inc. : CVE-2016-6704
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) i Xuxian Jiang z zespołu C0RE : CVE-2016-6777
- Yuxiang Li z Departamentu Platformy Bezpieczeństwa Tencent: CVE-2016-6771
- Zhe Jin (金哲) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766
- Zinuo Han z Chengdu Security Response Center firmy Qihoo 360 Technology Co. Ltd.: CVE-2016-6762
Dodatkowe podziękowania dla MengLuo Gou ( @idhyt3r ) z Bottle Tech, Yong Wang (王勇) ( @ThomasKing2014 ) i Zubin Mithra z Google za ich wkład w ten biuletyn bezpieczeństwa.
2016-12-01 Poziom poprawki zabezpieczeń — Szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z dnia 2016-12-01. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w CURL/LIBCURL
Tabela zawiera luki w zabezpieczeniach dotyczące bibliotek CURL i LIBCURL. Najpoważniejszy problem może umożliwić osobie atakującej typu man-in-the-middle przy użyciu sfałszowanego certyfikatu wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem został oceniony jako wysoki, ponieważ osoba atakująca potrzebuje sfałszowanego certyfikatu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | Wysoki | Wszystko | 7,0 | 3 sierpnia 2016 |
| CVE-2016-5420 | A-31271247 | Wysoki | Wszystko | 7,0 | 3 sierpnia 2016 |
| CVE-2016-5421 | A-31271247 | Wysoki | Wszystko | 7,0 | 3 sierpnia 2016 |
Podniesienie poziomu uprawnień w libziparchive
Luka umożliwiająca podniesienie uprawnień w bibliotece libziparchive może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [ 2 ] | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 sierpnia 2016 |
Luka w zabezpieczeniach typu „odmowa usługi” w telefonii
Luka typu „odmowa usługi” w telefonii może umożliwić lokalnej złośliwej aplikacji użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość lokalnego trwałego odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 września 2016 r. |
Luka typu Denial of Service w Mediaserver
Luka typu „odmowa usługi” w serwerze Mediaserver może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu zawieszenia lub ponownego uruchomienia urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 września 2016 r. |
| CVE-2016-6765 | A-31449945 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 7.0 | 13 września 2016 r. |
| CVE-2016-6764 | A-31681434 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 22 września 2016 r. |
| CVE-2016-6767 | A-31833604 | Wysoki | Nic* | 4.4.4 | Google wewnętrzne |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca zdalne wykonanie kodu w bibliotece Framesequence
Luka umożliwiająca zdalne wykonanie kodu w bibliotece Framesequence może umożliwić osobie atakującej za pomocą specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem został oceniony jako Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z biblioteki Framesequence.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 września 2016 r. |
Podwyższenie podatności uprawnień w Smart Lock
Luka umożliwiająca podniesienie uprawnień w funkcji Smart Lock może umożliwić złośliwemu użytkownikowi lokalnemu dostęp do ustawień funkcji Smart Lock bez podawania kodu PIN. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga fizycznego dostępu do odblokowanego urządzenia, na którym Smart Lock był ostatnim panelem ustawień, do którego użytkownik miał dostęp.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6769 | A-29055171 | Umiarkowany | Nic* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 maja 2016 |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie poziomu uprawnień w interfejsach API Framework
Luka umożliwiająca podniesienie uprawnień w interfejsie API Framework może umożliwić złośliwej aplikacji lokalnej dostęp do funkcji systemowych poza jej poziomem dostępu. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście ograniczeń w ograniczonym procesie.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6770 | A-30202228 | Umiarkowany | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 lipca 2016 |
Podwyższenie podatności na przywileje w telefonii
Luka umożliwiająca podniesienie uprawnień w telefonii może umożliwić złośliwej aplikacji lokalnej dostęp do funkcji systemowych poza jej poziomem dostępu. Ten problem jest oceniany jako Umiarkowany, ponieważ jest to lokalne obejście ograniczeń w ograniczonym procesie.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | Umiarkowany | Wszystko | 6.0, 6.0.1, 7.0 | 17 wrz 2016 |
Podwyższenie luki w uprawnieniach w Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [ 2 ] | Umiarkowany | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 wrz 2016 |
Luka umożliwiająca ujawnienie informacji w Mediaserver
Luka umożliwiająca ujawnienie informacji w Mediaserver może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [ 2 ] | Umiarkowany | Wszystko | 6.0, 6.0.1, 7.0 | 27 lipca 2016 r. |
Luka umożliwiająca ujawnienie informacji w Menedżerze pakietów
Luka umożliwiająca ujawnienie informacji w Menedżerze pakietów może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | Umiarkowany | Wszystko | 7,0 | 29 sierpnia 2016 |
2016-12-05 poziom poprawki zabezpieczeń — szczegóły dotyczące luki w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 05.12.2016. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, dotkliwością, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (jeśli dotyczy) i datą zgłoszenia. Gdy będzie to możliwe, połączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy pojedynczego błędu, dodatkowe odnośniki są powiązane z liczbami następującymi po identyfikatorze błędu.
Podwyższenie podatności uprawnień w podsystemie pamięci jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie pamięci jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 Jądro nadrzędne [ 2 ] | Krytyczny | Piksel C, Piksel, Piksel XL | 17 kwi 2016 |
| CVE-2016-5195 | A-32141528 Jądro nadrzędne [ 2 ] | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 12 paź 2016 |
Podatność na podniesienie uprawnień w sterowniku GPU NVIDIA
Luka umożliwiająca podniesienie uprawnień w sterowniku GPU NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873* N-CVE-2016-6775 | Krytyczny | Nexus 9 | 25 sierpnia 2016 |
| CVE-2016-6776 | A-31680980* N-CVE-2016-6776 | Krytyczny | Nexus 9 | 22 września 2016 r. |
| CVE-2016-6777 | A-31910462* N-CVE-2016-6777 | Krytyczny | Nexus 9 | 3 paź 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w jądrze
Luka umożliwiająca podniesienie uprawnień w jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 Jądro nadrzędne | Krytyczny | Nic* | 10 września 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podatność na podniesienie uprawnień w sterowniku wideo NVIDIA
Luka umożliwiająca podniesienie uprawnień w sterowniku wideo NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161* N-CVE-2016-6915 | Krytyczny | Nexus 9 | 13 września 2016 r. |
| CVE-2016-6916 | A-32072350* N-CVE-2016-6916 | Krytyczny | Nexus 9, piksel C | 13 września 2016 r. |
| CVE-2016-6917 | A-3207253* N-CVE-2016-6917 | Krytyczny | Nexus 9 | 13 września 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w sterowniku ION jądra
Luka umożliwiająca podniesienie uprawnień w sterowniku ION jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako krytyczny ze względu na możliwość lokalnego trwałego włamania do urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 Jądro nadrzędne | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player | 16 września 2016 |
Luki w komponentach Qualcomm
Następujące luki w zabezpieczeniach dotyczą składników Qualcomm i zostały szczegółowo opisane w biuletynie zabezpieczeń Qualcomm AMSS z listopada 2015 r.
| CVE | Bibliografia | Surowość* | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216** | Krytyczny | Nexus 6, Nexus 6P, Android One | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
** Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w systemie plików jądra
Luka umożliwiająca podniesienie uprawnień w systemie plików jądra może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 Jądro nadrzędne | Wysoki | Nexus 6, Nexus Player | 10 czerwca 2014 |
Podwyższona luka uprawnień w jądrze
Luka umożliwiająca podniesienie uprawnień w jądrze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako wysoki, ponieważ najpierw wymaga wykorzystania oddzielnej luki.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL | 8 stycznia 2015 r. |
Podwyższona luka uprawnień w sterowniku kodeka dźwięku HTC
Luka umożliwiająca podniesienie uprawnień w sterowniku kodeka dźwięku HTC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646* | Wysoki | Nexus 9 | 25 lut 2016 |
| CVE-2016-6779 | A-31386004* | Wysoki | Nexus 9 | 25 lut 2016 |
| CVE-2016-6780 | A-31251496* | Wysoki | Nexus 9 | 30 sierpnia 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku MediaTek
Luka umożliwiająca podniesienie uprawnień w sterowniku MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6492 | A-28175122 MT-ALPS02696413 | Wysoki | Nic* | 11 kwi 2016 |
| CVE-2016-6781 | A-31095175 MT-ALPS02943455 | Wysoki | Nic* | 22 sierpnia 2016 |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 | Wysoki | Nic* | 24 sierpnia 2016 |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 | Wysoki | Nic* | 6 wrz 2016 |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 | Wysoki | Nic* | 6 wrz 2016 |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 | Wysoki | Nic* | 25 września 2016 |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podwyższona luka uprawnień w kodekach multimedialnych Qualcomm
Luka umożliwiająca podniesienie uprawnień w kodekach multimedialnych Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682* QC-CR#1055792 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 16 czerwca 2016 |
| CVE-2016-6760 | A-29617572* QC-CR#1055783 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 23 czerwca 2016 |
| CVE-2016-6759 | A-29982686* QC-CR#1055766 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 4 lipca 2016 r. |
| CVE-2016-6758 | A-30148882* QC-CR#1071731 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 13 lipca 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku kamery Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku aparatu Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-CR#1065916 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 3 sierpnia 2016 |
Podwyższona luka uprawnień w podsystemie wydajności jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 Jądro początkowe | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 sierpnia 2016 |
| CVE-2016-6787 | A-31095224 Jądro początkowe | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 22 sierpnia 2016 |
Podwyższona luka uprawnień w sterowniku MediaTek I2C
Luka umożliwiająca podniesienie uprawnień w sterowniku MediaTek I2C może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 | Wysoki | Nic* | 24 sierpnia 2016 |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie poziomu uprawnień w bibliotece libomx firmy NVIDIA
Luka umożliwiająca podniesienie uprawnień w bibliotece NVIDIA libomx (libnvomx) może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem jest oceniany jako wysoki, ponieważ może służyć do uzyskiwania lokalnego dostępu do podwyższonych funkcji, które zwykle nie są dostępne dla aplikacji innych firm.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973* N-CVE-2016-6789 | Wysoki | Piksel C | 29 sierpnia 2016 |
| CVE-2016-6790 | A-31251628* N-CVE-2016-6790 | Wysoki | Piksel C | 28 sierpnia 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podwyższona luka uprawnień w sterowniku dźwięku Qualcomm
Luka umożliwiająca podniesienie uprawnień w sterowniku dźwięku Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-CR#1071809 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 sierpnia 2016 |
| CVE-2016-8391 | A-31253255 QC-CR#1072166 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 sierpnia 2016 |
| CVE-2016-8392 | A-31385862 QC-CR#1073136 | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 8 września 2016 |
Podwyższenie podatności uprawnień w podsystemie bezpieczeństwa jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie zabezpieczeń jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 Jądro nadrzędne | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 31 sierpnia 2016 |
Podwyższona luka uprawnień w sterowniku ekranu dotykowego Synaptics
Luka umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920* | Wysoki | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 września 2016 |
| CVE-2016-8394 | A-31913197* | Wysoki | Nexus 9, Android One | 8 września 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podniesienie poziomu uprawnień w sterowniku Broadcom Wi-Fi
Luka umożliwiająca podniesienie uprawnień w sterowniku Broadcom Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB#26684 | Wysoki | Nic* | 21 września 2016 r. |
| CVE-2014-9910 | A-31746399 B-RB#26710 | Wysoki | Nic* | 26 września 2016 |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w sterowniku wideo MediaTek
Luka umożliwiająca ujawnienie informacji w sterowniku wideo MediaTek może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | Wysoki | Nic* | 26 sierpnia 2016 |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA
Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako wysoki, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez wyraźnej zgody użytkownika.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953* N-CVE-2016-8397 | Wysoki | Nexus 9 | 8 września 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Luka odmowy usługi w GPS
Luka typu „odmowa usługi” w komponencie Qualcomm GPS może umożliwić zdalnej osobie atakującej zawieszenie lub ponowne uruchomienie urządzenia. Ten problem został oceniony jako wysoki ze względu na możliwość tymczasowej zdalnej odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303* | Wysoki | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 21 czerwca 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Luka w zabezpieczeniach typu „odmowa usługi” w sterowniku kamery NVIDIA
Luka w zabezpieczeniach typu „odmowa usługi” w sterowniku kamery NVIDIA może umożliwić osobie atakującej wywołanie lokalnej trwałej odmowy usługi, która może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem jest oceniany jako wysoki ze względu na możliwość lokalnego trwałego odmowy usługi.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040* N-CVE-2016-8395 | Wysoki | Piksel C | 9 września 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Podwyższenie podatności uprawnień w podsystemie sieciowym jądra
Luka umożliwiająca podniesienie uprawnień w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga złamania uprzywilejowanego procesu, a obecne optymalizacje kompilatora ograniczają dostęp do wrażliwego kodu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 września 2016 r. |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm
Luka umożliwiająca ujawnienie informacji w komponentach Qualcomm, w tym sterowniku aparatu i sterowniku wideo, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-6756 | A-29464815 QC-CR#1042068 [ 2 ] | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 17 czerwca 2016 |
| CVE-2016-6757 | A-30148242 QC-CR#1052821 | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 13 lipca 2016 r. |
Luka umożliwiająca ujawnienie informacji w bibliotece NVIDIA Librm
Luka umożliwiająca ujawnienie informacji w bibliotece NVIDIA librm (libnvrm) może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ może być używany do uzyskiwania dostępu do poufnych danych bez pozwolenia.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599* N-CVE-2016-8400 | Umiarkowany | Piksel C | 29 sierpnia 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w komponentach jądra
Luka umożliwiająca ujawnienie informacji w komponentach jądra, w tym podsystemie ION, Binderze, sterowniku USB i podsystemie sieciowym, może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem jest oceniany jako Umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.
| CVE | Bibliografia | Surowość | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 września 2016 r. |
| CVE-2016-8402 | A-31495231* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 września 2016 r. |
| CVE-2016-8403 | A-31495348* | Umiarkowany | Nexus 9 | 13 września 2016 r. |
| CVE-2016-8404 | A-31496950* | Umiarkowany | Nexus 9 | 13 września 2016 r. |
| CVE-2016-8405 | A-31651010* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 21 września 2016 r. |
| CVE-2016-8406 | A-31796940* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 września 2016 r. |
| CVE-2016-8407 | A-31802656* | Umiarkowany | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 września 2016 |
* Poprawka dotycząca tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych dla urządzeń Google dostępnych w witrynie Google Developer .
Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA
Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Bibliografia | Surowość | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571* N-CVE-2016-8408 | Moderate | Nexus 9 | Sep 13, 2016 |
| CVE-2016-8409 | A-31495687* N-CVE-2016-8409 | Moderate | Nexus 9 | Sep 13, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm sound driver
An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Bibliografia | Surowość | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-CR#987010 | Moderate | Nexus 5X, Nexus 6, Nexus 6P, Android One | Google internal |
Common Questions and Answers
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .
- Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
- Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. Why does this bulletin have two security patch levels?
This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Zachęcamy partnerów Androida do rozwiązywania wszystkich problemów w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.
- Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.
Zachęcamy partnerów do łączenia poprawek wszystkich rozwiązywanych problemów w jednej aktualizacji.
3. How do I determine which Google devices are affected by each issue?
In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. These prefixes map as follows:
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Revisions
- December 05, 2016: Bulletin published.
- December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
- December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.