Veröffentlicht am 03. Januar 2017 | Aktualisiert am 2. Februar 2017
Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Google-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Google-Geräte-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Sicherheitspatch-Levels vom 5. Januar 2017 oder später adressieren all diese Probleme. Lesen Sie den Aktualisierungszeitplan für Pixel und Nexus , um zu erfahren, wie Sie den Sicherheitspatch-Level eines Geräts überprüfen können.
Die Partner wurden am 5. Dezember 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme wurden im Android Open Source Project (AOSP)-Repository veröffentlicht und von diesem Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzung für Android- und Google-Dienste .
Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Ankündigungen
- Dieses Bulletin enthält zwei Sicherheits-Patch-Level-Strings, um Android-Partnern die Flexibilität zu geben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
- 01.01.2017 : Teilweise Sicherheits-Patch-Level-String. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-01-01 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
- 05.01.2017 : Vollständiger Sicherheits-Patch-Level-String. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-01-01 und 2017-01-05 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben wurden.
- Unterstützte Google-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 5. Januar 2017.
Zusammenfassung der Sicherheitslücke
Die folgenden Tabellen enthalten eine Liste der Sicherheitslücken, die Common Vulnerability and Exposures ID (CVE), den bewerteten Schweregrad und ob Google-Geräte betroffen sind oder nicht. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Minderungen für Android- und Google-Dienste
Dies ist eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und den Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
- Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Alexandru Blanda: CVE-2017-0390
- Daniel Micay von Copperhead Security: CVE-2017-0397
- Daxing Guo ( @freener0 ) vom Xuanwu Lab, Tencent: CVE-2017-0386
- derrek ( @derrekr6 ): CVE-2017-0392
- Di Shen ( @returnsme ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- donfos (Aravind Machiry) vom Shellphish Grill Team, UC Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- En He ( @heeeeen4x ) von MS509Team : CVE-2017-0394
- Gengjia Chen ( @chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- Google WebM-Team: CVE-2017-0393
- Guang Gong (龚广) ( @oldfresher ) von Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2017-0387
- Hao Chen und Guang Gong vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016 -8465
- Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-8475
- Jon Sawyer ( @jcase ) und Sean Beaupre ( @firewaterdevs ): CVE-2016-8462
- Jon Sawyer ( @jcase ), Sean Beaupre ( @firewaterdevs ) und Ben Actis ( @Ben_RA ): CVE-2016-8461
- Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE Team : CVE-2017-0383
- Mönch Avel: CVE-2017-0396, CVE-2017-0399
- Peter Pi ( @heisecode ) von Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016- 8474
- Qidan He (何淇丹) ( @flaker_hqd ) von KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- Roee Hay und Michael Goberman von IBM Security X-Force: CVE-2016-8467
- Seven Shen ( @lingtongshen ) vom Trend Micro Mobile Threat Research Team: CVE-2016-8466
- Stephen Morrow: CVE-2017-0389
- VEO ( @VYSEa ) vom Mobile Threat Research Team, Trend Micro : CVE-2017-0381
- Weichao Sun ( @sunblate ) von Alibaba Inc.: CVE-2017-0391
- Wenke Dou , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2017-0402, CVE-2017-0398
- Wenke Dou , Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2017-0400
- Wenke Dou , Hongli Han , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2017-0384, CVE-2017-0385
- Wenke Dou , Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2017-0401
- Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- Yong Wang (王勇) ( @ThomasKing2014 ) und Jun Cheng von Alibaba Inc.: CVE-2017-0404
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo , Yanfeng Wang , Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-8430, CVE-2016-8482
- Yuxiang Li ( @Xbalien29 ) von der Abteilung für Sicherheitsplattformen von Tencent: CVE-2017-0395
- Zhanpeng Zhao (行之) ( @0xr0ot ) vom Security Research Lab, Cheetah Mobile : CVE-2016-8451
Wir möchten auch den folgenden Forschern für ihre Beiträge zu diesem Bulletin danken:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang und Yang Song von Alibaba Mobile Security Group
- Peter Pi ( @heisecode ) von Trend Micro
- Zubin Mithra von Google
2017-01-01 Sicherheits-Patch-Level – Schwachstellendetails
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für das Patch-Level 2017-01-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in c-ares
Eine Schwachstelle bezüglich Remotecodeausführung in c-ares könnte es einem Angreifer ermöglichen, mit einer speziell gestalteten Anfrage beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einer Anwendung, die diese Bibliothek verwendet, als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | Hoch | Alle | 7.0 | 29. September 2016 |
Schwachstelle bezüglich Remotecodeausführung in Framesequence
Eine Schwachstelle bezüglich Remotecodeausführung in der Framesequence-Bibliothek könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einer Anwendung, die die Framesequence-Bibliothek verwendet, als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21. Oktober 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen in Framework-APIs
Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in den Framework-APIs könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | Hoch | Alle | 7.0, 7.1.1 | 21. September 2016 |
Elevation-of-Privilege-Schwachstelle in Audioserver
Eine Elevation-of-Privilege-Schwachstelle in Audioserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11. Oktober 2016 |
| CVE-2017-0385 | A-32585400 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11. Oktober 2016 |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen in libnl
Eine Elevation-of-Privilege-Schwachstelle in der libnl-Bibliothek könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18. Oktober 2016 |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen in Mediaserver
Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4. November 2016 |
Schwachstelle bezüglich der Offenlegung von Informationen in External Storage Provider
Eine Schwachstelle bezüglich der Offenlegung von Informationen im External Storage Provider könnte es einem lokalen sekundären Benutzer ermöglichen, Daten von einer vom primären Benutzer eingelegten externen Speicher-SD-Karte zu lesen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf Daten ohne Erlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
Denial-of-Service-Schwachstelle im Kernnetzwerk
Eine Denial-of-Service-Schwachstelle im Kernnetzwerk könnte es einem entfernten Angreifer ermöglichen, ein speziell gestaltetes Netzwerkpaket zu verwenden, um ein Gerät zum Hängenbleiben oder Neustarten zu bringen. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [ 2 ] [ 3 ] | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 20. Juli 2016 |
Denial-of-Service-Schwachstelle in Mediaserver
Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem entfernten Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19. September 2016 |
| CVE-2017-0391 | A-32322258 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 20. Oktober 2016 |
| CVE-2017-0392 | A-32577290 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29. Oktober 2016 |
| CVE-2017-0393 | A-30436808 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
Denial-of-Service-Schwachstelle in der Telefonie
Eine Denial-of-Service-Schwachstelle in der Telefonie könnte es einem entfernten Angreifer ermöglichen, ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23. September 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in Kontakten
Eine Schwachstelle bezüglich Rechteerweiterungen in Kontakte könnte es einer lokalen bösartigen Anwendung ermöglichen, unbemerkt Kontaktinformationen zu erstellen. Dieses Problem wird als mäßig eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen handelt (Zugriff auf Funktionen, für die normalerweise entweder eine Benutzerinitiierung oder eine Benutzerberechtigung erforderlich wäre).
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15. Oktober 2016 |
Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf sensible Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | Mäßig | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18. September 2016 |
| CVE-2017-0396 | A-31781965 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27. September 2016 |
| CVE-2017-0397 | A-32377688 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21. Oktober 2016 |
Schwachstelle bezüglich Offenlegung von Informationen in Audioserver
Eine Schwachstelle zur Offenlegung von Informationen in Audioserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf sensible Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25. Oktober 2016 |
| CVE-2017-0398 | A-32635664 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25. Oktober 2016 |
| CVE-2017-0398 | A-32624850 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25. Oktober 2016 |
| CVE-2017-0399 | A-32247948 [ 2 ] | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18. Oktober 2016 |
| CVE-2017-0400 | A-32584034 [ 2 ] | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25. Oktober 2016 |
| CVE-2017-0401 | A-32448258 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26. Oktober 2016 |
| CVE-2017-0402 | A-32436341 [ 2 ] | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25. Oktober 2016 |
Sicherheits-Patch-Level vom 05.01.2017 – Details zur Schwachstelle
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für die Patchebene vom 01.01.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Rechteerhöhung im Kernel-Speicher-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Speichersubsystem des Kernels könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 Upstream-Kernel | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9. Juli 2015 |
Elevation of Privilege-Schwachstelle im Qualcomm-Bootloader
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Bootloader könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 | Kritisch | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22. Juli 2016 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 | Kritisch | Nexus 6P, Pixel, Pixel XL | 24. August 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 Upstream-Kernel | Kritisch | Keiner* | 1. August 2016 |
* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Erhöhung von Berechtigungen im NVIDIA-GPU-Treiber
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-GPU-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 | Kritisch | Verbindung 9 | 17. September 2016 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 | Kritisch | Verbindung 9 | 28. September 2016 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 | Kritisch | Verbindung 9 | 28. September 2016 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 | Kritisch | Verbindung 9 | 28. September 2016 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 | Kritisch | Verbindung 9 | 28. September 2016 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 | Kritisch | Verbindung 9 | 6. Oktober 2016 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 | Kritisch | Verbindung 9 | 13. Oktober 2016 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 | Kritisch | Verbindung 9 | 17. Oktober 2016 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 | Kritisch | Pixel C | 25. Oktober 2016 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 | Kritisch | Pixel C | 26. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im MediaTek-Treiber
Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 | Kritisch | Keiner** | 24. September 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation-of-Privilege-Schwachstelle im Qualcomm-GPU-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-GPU-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12. Oktober 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen im NVIDIA-GPU-Treiber
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-GPU-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 | Kritisch | Pixel C | 7. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 | Kritisch | Keiner* | 13. Oktober 2016 |
* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstellen in Qualcomm-Komponenten
Die folgenden Schwachstellen betreffen Qualcomm-Komponenten und werden in den Qualcomm AMSS-Sicherheitsbulletins vom November 2015, August 2016, September 2016 und Oktober 2016 ausführlicher beschrieben.
| CVE | Verweise | Schwere* | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | Kritisch | Keiner*** | Qualcomm-intern |
| CVE-2016-8442 | A-31625910** | Kritisch | Keiner*** | Qualcomm-intern |
| CVE-2016-8443 | A-32576499** | Kritisch | Keiner*** | Qualcomm-intern |
| CVE-2016-8437 | A-31623057** | Hoch | Keiner*** | Qualcomm-intern |
| CVE-2016-8439 | A-31625204** | Hoch | Keiner*** | Qualcomm-intern |
| CVE-2016-8440 | A-31625306** | Hoch | Keiner*** | Qualcomm-intern |
| CVE-2016-8441 | A-31625904** | Hoch | Keiner*** | Qualcomm-intern |
| CVE-2016-8398 | A-31548486** | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Android One | Qualcomm-intern |
| CVE-2016-8459 | A-32577972** | Hoch | Keiner*** | Qualcomm-intern |
| CVE-2016-5080 | A-31115235** | Mäßig | Nexus 5X | Qualcomm-intern |
* Die Bewertung des Schweregrads für diese Schwachstellen wurde vom Anbieter festgelegt.
** Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
*** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle in der Qualcomm-Kamera
Eine Elevation-of-Privilege-Schwachstelle in der Qualcomm-Kamera könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26. August 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 | Hoch | Nexus 5X, Nexus 6, Nexus 6P | 26. August 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich Erhöhung von Berechtigungen in MediaTek-Komponenten
Eine Schwachstelle bezüglich Rechteerweiterungen in MediaTek-Komponenten, einschließlich des thermischen Treibers und des Videotreibers, könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 | Hoch | Keiner** | 25. September 2016 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 | Hoch | Keiner** | 25. September 2016 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 | Hoch | Keiner** | 25. September 2016 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 | Hoch | Keiner** | 28. September 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 | Hoch | Nexus 5X, Pixel, Pixel XL | 26. September 2016 |
Schwachstelle bezüglich Erhöhung von Berechtigungen im NVIDIA-GPU-Treiber
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-GPU-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 | Hoch | Verbindung 9 | 28. September 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Soundtreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13. Oktober 2016 |
Elevation of Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | Hoch | Keiner** | 13. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Kernel-Sicherheitssubsystem
Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Sicherheitssubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 Upstream-Kernel | Hoch | Pixel C | 14. Oktober 2016 |
Schwachstelle bezüglich Rechteerhöhung im Kernelleistungs-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Performance-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Rechteerhöhung im Kernel-Sound-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Sound-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | Hoch | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 | Hoch | Nexus 5X, Android One, Pixel, Pixel XL | 28. Oktober 2016 |
Elevation of Privilege-Schwachstelle im Qualcomm-Funktreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Funktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 | Hoch | Android One | 3. November 2016 |
Schwachstelle bezüglich der Erhöhung von Berechtigungen im Kernel-Profiling-Subsystem
Eine Schwachstelle bezüglich Rechteerweiterungen im Kernel-Profiling-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 Upstream-Kernel | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4. November 2016 |
Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 | Hoch | Verbindung 6 | Google-intern |
| CVE-2016-8454 | A-32174590* B-RB#107142 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14. Oktober 2016 |
| CVE-2016-8455 | A-32219121* B-RB#106311 | Hoch | Nexus 6P | 15. Oktober 2016 |
| CVE-2016-8456 | A-32219255* B-RB#105580 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15. Oktober 2016 |
| CVE-2016-8457 | A-32219453* B-RB#106116 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | Hoch | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Google-intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Offenlegung von Informationen im NVIDIA-Grafiktreiber
Eine Schwachstelle zur Offenlegung von Informationen im NVIDIA-Videotreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 | Hoch | Verbindung 9 | 21. September 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Offenlegung von Informationen im Bootloader
Eine Schwachstelle zur Offenlegung von Informationen im Bootloader könnte es einem lokalen Angreifer ermöglichen, auf Daten außerhalb seiner Berechtigungsstufe zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | Hoch | Nexus 9, Pixel, Pixel XL | 21. Oktober 2016 |
| CVE-2016-8462 | A-32510383* | Hoch | Pixel, Pixel XL | 27. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Denial-of-Service-Schwachstelle im Qualcomm FUSE-Dateisystem
Eine Denial-of-Service-Schwachstelle im Qualcomm FUSE-Dateisystem könnte es einem entfernten Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. This issue is rated as High due to the possibility of remote denial of service.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 | Hoch | None* | Jan 03, 2014 |
* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Denial of service vulnerability in bootloader
A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | Hoch | Nexus 6, Nexus 6P | Jun 29, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Broadcom Wi-Fi driver
An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 | Mäßig | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | May 26, 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 | Mäßig | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Sep 28, 2016 |
| CVE-2016-8465 | A-32474971* B-RB#106053 | Mäßig | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Oct 27, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Binder
An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | Mäßig | Pixel C, Pixel, Pixel XL | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in NVIDIA camera driver
An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 | Mäßig | Verbindung 9 | Sep 7, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in MediaTek driver
An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 | Mäßig | None** | Sep 15, 2016 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 | Mäßig | None** | Sep 15, 2016 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 | Mäßig | None** | Sep 15, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in STMicroelectronics driver
An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | Mäßig | Nexus 5X, Nexus 6P | Sep 28, 2016 |
| CVE-2016-8474 | A-31799972* | Mäßig | Nexus 5X, Nexus 6P | Sep 28, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm audio post processor
An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.
| CVE | Verweise | Schwere | Updated Google devices | Aktualisierte AOSP-Versionen | Date reported |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [ 2 ] | Mäßig | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 18, 2016 |
| CVE-2017-0400 | A-32438598 [ 2 ] | Mäßig | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 25, 2016 |
| CVE-2017-0401 | A-32588016 | Mäßig | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 26, 2016 |
| CVE-2017-0402 | A-32588352 [ 2 ] | Mäßig | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 25, 2016 |
Information disclosure vulnerability in HTC input driver
An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | Mäßig | Pixel, Pixel XL | Oct 30, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Denial of service vulnerability in kernel file system
A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.
| CVE | Verweise | Schwere | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 Upstream-Kernel | Mäßig | Pixel C | Dec 25, 2014 |
Common Questions and Answers
In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .
- Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
- Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.
Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. Warum enthält dieses Bulletin zwei Sicherheits-Patch-Stufen?
Dieses Bulletin enthält zwei Sicherheits-Patch-Stufen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Android-Partner werden ermutigt, alle Probleme in diesem Bulletin zu beheben und das neueste Sicherheitspatch-Level zu verwenden.
- Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
Partner werden ermutigt, die Korrekturen für alle Probleme, die sie beheben, in einem einzigen Update zu bündeln.
3. How do I determine which Google devices are affected by each issue?
In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
Einträge in der Spalte „ Referenzen “ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. These prefixes map as follows:
| Präfix | Bezug |
|---|---|
| EIN- | Android-Fehler-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
Revisions
- January 03, 2017: Bulletin published.
- January 04, 2017: Bulletin revised to include AOSP links.
- January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
- January 12, 2017: Removed duplicate entry for CVE-2016-8467.
- January 24, 2017: Updated description and severity for CVE-2017-0381.
- February 2, 2017: Updated CVE-2017-0389 with additional patch link.