O Google está comprometido em promover a equidade racial para as comunidades negras. Veja como.
Esta página foi traduzida pela API Cloud Translation.
Switch to English

Boletim de Segurança do Android - julho de 2016

Publicado 06 de julho de 2016 | Atualizado 1 de abril de 2019

O Boletim de segurança do Android contém detalhes de vulnerabilidades de segurança que afetam os dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para dispositivos Nexus por meio de uma atualização aérea (OTA). As imagens de firmware do Nexus também foram divulgadas no site do desenvolvedor do Google . Os níveis de patch de segurança de 05 de julho de 2016 ou posterior abordam todos os problemas aplicáveis ​​neste boletim. Consulte a documentação para aprender como verificar o nível do patch de segurança.

Os parceiros foram notificados sobre os problemas descritos no boletim em 06 de junho de 2016 ou anterior. Onde aplicável, os patches de código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP). Este boletim também inclui links para patches fora do AOSP.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade poderia ter em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se ignoradas com êxito.

Não tivemos relatos de exploração ativa do cliente ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações de serviços do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como o SafetyNet, que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Comunicados

  • Este boletim define duas sequências de nível de patch de segurança para fornecer aos parceiros do Android a flexibilidade de mover-se mais rapidamente para corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para obter informações adicionais:
    • 01/07/2016 : String de nível de patch de segurança parcial. Essa sequência de nível de patch de segurança indica que todos os problemas associados ao 01/07/2016 são resolvidos.
    • 05-07-2016 : Cadeia completa de nível de patch de segurança. Essa cadeia de nível de patch de segurança indica que todos os problemas associados a 01/07/2016 e 05-05-2016 são resolvidos.
  • Os dispositivos Nexus suportados receberão uma única atualização OTA com o nível de patch de segurança de 5 de julho de 2016.

Atenuações de serviços do Android e do Google

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como o SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada por aprimoramentos nas versões mais recentes da plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android sempre que possível.
  • A equipe do Android Security monitora ativamente os abusos com Verify Apps e SafetyNet , projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . A opção Verificar aplicativos está ativada por padrão em dispositivos com o Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root de dispositivos são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, independentemente de sua origem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se esse aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não transmitem automaticamente a mídia para processos como o Mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

  • Abhishek Arya, Oliver Chang e Martin Barbella, da Equipe de segurança do Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Donenfeld et al. da Check Point Software Technologies Ltd .: CVE-2016-2503
  • Adam Powell do Google: CVE-2016-3752
  • Alex Chapman e Paul Stone, da segurança da informação de contexto: CVE-2016-3763
  • Andy Tyler ( @ticarpi ) da e2e -assure: CVE-2016-2457
  • Ben Hawkes, do Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) e Xuxian Jiang da equipe do C0RE : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Christopher Tate do Google: CVE-2016-3759
  • Di Shen ( @returnsme ) do KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
  • Gengjia Chen ( @ chengjia4574 ), pjf ( weibo.com/jfpan ) do IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Greg Kaiser, da Equipe do Google Android: CVE-2016-3758
  • Guang Gong (old 广) ( @oldfresher ) da Mobile Safe Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen e Guang Gong da Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Hao Qin do Laboratório de Pesquisa de Segurança, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) e pjf ( weibo.com/jfpan ) do IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Marco Nelissen do Google: CVE-2016-3818
  • Marcar marca do Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) e Xuxian Jiang da equipe do C0RE : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang e Yang Ssong do Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Peter Pi ( @heisecode ) da Trend Micro: CVE-2016-3793
  • Ricky Wai do Google: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Vasily Vasilev: CVE-2016-2507
  • Weichao Sun ( @sunblate ) da Alibaba Inc .: CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) da KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Xiling Gong do departamento da plataforma de segurança Tencent: CVE-2016-3745
  • Yacong Gu, do TCA Lab, Instituto de Software, Academia Chinesa de Ciências: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) do Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) e Wei Wei ( @Danny__Wei ) do Xuanwu LAB, Tencent: CVE-2016-2506
  • Yulong Zhang e Tao (Lenx) Wei do Baidu X-Lab: CVE-2016-3744

01-07-2016 nível de patch de segurança - Detalhes de vulnerabilidade de segurança

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 01/07/2016. Há uma descrição do problema, uma justificativa da gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos Nexus atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Mediaserver

Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor usando um arquivo especialmente criado cause corrupção de memória durante o processamento de arquivos de mídia e dados. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do processo do Mediaserver. O processo Mediaserver tem acesso a fluxos de áudio e vídeo, bem como a privilégios que aplicativos de terceiros normalmente não podiam acessar.

A funcionalidade afetada é fornecida como parte principal do sistema operacional e há vários aplicativos que permitem que seja alcançado com conteúdo remoto, principalmente MMS e reprodução de mídia pelo navegador.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-2506 A-28175045 Crítico All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Abr 2016
CVE-2016-2505 A-28333006 Crítico All Nexus 6.0, 6.0.1 21 Abr 2016
CVE-2016-2507 A-28532266 Crítico All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 de maio de 2016
CVE-2016-2508 A-28799341 [ 2 ] Crítico All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 de maio de 2016
CVE-2016-3741 A-28165661 [ 2 ] Crítico All Nexus 6.0, 6.0.1 Google interno
CVE-2016-3742 A-28165659 Crítico All Nexus 6.0, 6.0.1 Google interno
CVE-2016-3743 A-27907656 Crítico All Nexus 6.0, 6.0.1 Google interno

Vulnerabilidade de execução remota de código no OpenSSL e BoringSSL

Uma vulnerabilidade de execução remota de código no OpenSSL e no BoringSSL pode permitir que um invasor que use um arquivo especialmente criado cause corrupção de memória durante o processamento de arquivos e dados. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto de um processo afetado.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-2108 A-28175332 Crítico All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 de maio de 2016

Vulnerabilidade de execução remota de código no Bluetooth

Uma vulnerabilidade de execução remota de código no Bluetooth pode permitir que um invasor proximal execute código arbitrário durante o processo de emparelhamento. Esse problema foi classificado como alto devido à possibilidade de execução remota de código durante a inicialização de um dispositivo Bluetooth.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3744 A-27930580 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 de março de 2016

Vulnerabilidade de elevação de privilégio na libpng

Uma vulnerabilidade de elevação de privilégio na libpng pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esta questão é considerada alta, porque ela poderia ser usada para ganhar acesso local às capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3751 A-23265085 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 Dez 2015

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no Mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um aplicativo de sistema elevado. Esta questão é considerada alta, porque ela poderia ser usada para ganhar acesso local às capacidades elevadas, tais como assinatura ou SignatureOrSystem permissões privilégios, que não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3745 A-28173666 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Abr 2016
CVE-2016-3746 A-27890802 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Mar 2016
CVE-2016-3747 A-27903498 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Mar 2016

Vulnerabilidade de elevação de privilégio em soquetes

Uma vulnerabilidade de elevação de privilégio nos soquetes pode permitir que um aplicativo mal-intencionado local acesse as chamadas do sistema fora do seu nível de permissão. Esse problema foi classificado como Alto porque poderia permitir um desvio das medidas de segurança para aumentar a dificuldade dos invasores de explorar a plataforma.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3748 A-28171804 Alto All Nexus 6.0, 6.0.1 13 Abr 2016

Vulnerabilidade de elevação de privilégio no LockSettingsService

Uma vulnerabilidade de elevação de privilégio no LockSettingsService pode permitir que um aplicativo mal-intencionado redefina a senha de bloqueio de tela sem a autorização do usuário. Esse problema foi classificado como Alto porque é um desvio local dos requisitos de interação do usuário para qualquer modificação nas configurações de desenvolvedor ou segurança.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3749 A-28163930 Alto All Nexus 6.0, 6.0.1 Google interno

Vulnerabilidade de elevação de privilégio nas APIs do Framework

Uma vulnerabilidade de elevação de privilégio nas APIs do Parcels Framework pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados de outros aplicativos. Esse problema foi classificado como alto porque poderia ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3750 A-28395952 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Dez 2015

Vulnerabilidade de elevação de privilégio no serviço ChooserTarget

Uma vulnerabilidade de elevação de privilégio no serviço ChooserTarget pode permitir que um aplicativo mal-intencionado local execute o código no contexto de outro aplicativo. Esse problema foi classificado como alto porque poderia ser usado para acessar atividades pertencentes a outro aplicativo sem permissão.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3752 A-28384423 Alto All Nexus 6.0, 6.0.1 Google interno

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um invasor remoto acesse dados protegidos normalmente acessíveis apenas a aplicativos instalados localmente que solicitam permissão. Esse problema foi classificado como alto porque poderia ser usado para acessar dados sem permissão.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3753 A-27210135 Alto Nenhum* 4.4.4 15 de fev de 2016

* Os dispositivos Nexus suportados que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de divulgação de informações no OpenSSL

Uma vulnerabilidade de divulgação de informações no OpenSSL pode permitir que um invasor remoto acesse dados protegidos normalmente acessíveis apenas a aplicativos instalados localmente que solicitam permissão. Esse problema foi classificado como alto porque poderia ser usado para acessar dados sem permissão.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-2107 A-28550804 Alto Nenhum* 4.4.4, 5.0.2, 5.1.1 13 de abril de 2016

* Os dispositivos Nexus suportados que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de negação de serviço no Mediaserver

Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar uma parada ou reinicialização do dispositivo. Esse problema foi classificado como alto devido à possibilidade de uma negação de serviço remota temporária.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3754 A-28615448 [ 2 ] Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de maio de 2016
CVE-2016-3755 A-28470138 Alto All Nexus 6.0, 6.0.1 29 Abr 2016
CVE-2016-3756 A-28556125 Alto All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de negação de serviço na libc

Uma vulnerabilidade de negação de serviço na libc pode permitir que um invasor use um arquivo especialmente criado para causar uma paralisação ou reinicialização do dispositivo. Esse problema foi classificado como alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3818 A-28740702 [ 2 ] Alto Nenhum* 4.4.4 Google interno

* Os dispositivos Nexus suportados que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio em lsof

Uma vulnerabilidade de elevação de privilégio em lsof pode permitir que um aplicativo mal-intencionado local execute código arbitrário que pode levar a um comprometimento permanente do dispositivo. Esse problema foi classificado como moderado porque requer etapas manuais incomuns.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3757 A-28175237 Moderado All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Abr 2016

Vulnerabilidade de elevação de privilégio no DexClassLoader

Uma vulnerabilidade de elevação de privilégio no DexClassLoader pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como Moderado porque requer etapas manuais incomuns.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3758 A-27840771 Moderado All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de elevação de privilégio nas APIs do Framework

Uma vulnerabilidade de elevação de privilégio nas APIs do Framework pode permitir que um aplicativo mal-intencionado local solicite permissões de backup e intercepte todos os dados de backup. Esse problema é classificado como Moderado porque requer permissões específicas para ignorar as proteções do sistema operacional que isolam os dados de aplicativos de outros aplicativos.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3759 A-28406080 Moderado All Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 Google interno

Vulnerabilidade de elevação de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no componente Bluetooth pode permitir que um invasor local adicione um dispositivo Bluetooth autenticado que persiste para o usuário principal. Esse problema foi classificado como Moderado, pois poderia ser usado para obter recursos elevados sem a permissão explícita do usuário.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] Moderado All Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 29 de fev de 2016

Vulnerabilidade de elevação de privilégio na NFC

Uma vulnerabilidade de elevação de privilégio na NFC pode permitir que um aplicativo em segundo plano malicioso local acesse informações de um aplicativo em primeiro plano. Esse problema foi classificado como Moderado, pois poderia ser usado para obter recursos elevados sem a permissão explícita do usuário.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3761 A-28300969 Moderado All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 Abr 2016

Vulnerabilidade de elevação de privilégio em soquetes

Uma vulnerabilidade de elevação de privilégio nos soquetes pode permitir que um aplicativo mal-intencionado local obtenha acesso a certos tipos incomuns de soquetes, possivelmente levando à execução arbitrária de código no contexto do kernel. Esse problema foi classificado como Moderado, pois poderia permitir um desvio das medidas de segurança para aumentar a dificuldade dos invasores de explorar a plataforma.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3762 A-28612709 Moderado All Nexus 5.0.2, 5.1.1, 6.0, 6.0.1 21 Abr 2016

Vulnerabilidade de divulgação de informações na configuração automática de proxy

Uma vulnerabilidade de divulgação de informações no componente Configuração automática do proxy pode permitir que um aplicativo acesse informações confidenciais. Este problema foi classificado como Moderado porque poderia ser usado para acessar dados sem permissão.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3763 A-27593919 Moderado All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Mar 2016

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo mal-intencionado local acesse informações confidenciais. Esse problema foi classificado como Moderado, pois poderia ser usado para acessar dados sem permissão.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3764 A-28377502 Moderado All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 Abr 2016
CVE-2016-3765 A-28168413 Moderado All Nexus 6.0, 6.0.1 8 Abr 2016

Vulnerabilidade de negação de serviço no Mediaserver

Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar uma parada ou reinicialização do dispositivo. Esse problema foi classificado como moderado devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Nexus atualizados Versões atualizadas do AOSP Data relatada
CVE-2016-3766 A-28471206 [ 2 ] Moderado All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 Abr 2016

05-07-2016 nível de patch de segurança - Detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 05/07/2016. Há uma descrição do problema, uma justificativa da gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos Nexus atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de elevação de privilégio no driver da Qualcomm GPU

Uma vulnerabilidade de elevação de privilégio no driver da Qualcomm GPU pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema foi classificado como crítico devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2503 A-28084795 * QC-CR1006067 Crítico Nexus 5X, Nexus 6P 5 Abr 2016
CVE-2016-2067 A-28305757 QC-CR988993 Crítico Nexus 5X, Nexus 6, Nexus 6P 20 Abr 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver MediaTek Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema foi classificado como crítico devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-3767 A-28169363 *
M-ALPS02689526
Crítico Android One 6 Abr 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm

Uma vulnerabilidade de elevação de privilégio no componente de desempenho da Qualcomm pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema foi classificado como Gravidade crítica devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-3768 A-28172137 * QC-CR1010644 Crítico Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 Abr 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver de vídeo da NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema foi classificado como crítico devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-3769 A-28376656 *
N-CVE20163769
Crítico Nexus 9 18 Abr 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio nos drivers MediaTek (específico do dispositivo)

Uma vulnerabilidade de elevação de privilégio em vários drivers MediaTek pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema foi classificado como crítico devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-3770 A-28346752 *
M-ALPS02703102
Crítico Android One 22 Abr 2016
CVE-2016-3771 A-29007611 *
M-ALPS02703102
Crítico Android One 22 Abr 2016
CVE-2016-3772 A-29008188 *
M-ALPS02703102
Crítico Android One 22 Abr 2016
CVE-2016-3773 A-29008363 *
M-ALPS02703102
Crítico Android One 22 Abr 2016
CVE-2016-3774 A-29008609 *
M-ALPS02703102
Crítico Android One 22 Abr 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema foi classificado como crítico devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-3775 A-28588279 * Crítico Nexus 5X, Nexus 6, Nexus 6P e Nexus Player, Pixel C 4 de maio de 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio no driver USB

Uma vulnerabilidade de elevação de privilégio no driver USB pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Gravidade crítica devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2015-8816 A-28712303 * Crítico Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 de maio de 2016

* O patch para este problema não está disponível ao público. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do desenvolvedor do Google .

Vulnerabilidade de elevação de privilégio nos componentes da Qualcomm

A tabela abaixo contém vulnerabilidades de segurança que afetam os componentes da Qualcomm, incluindo o carregador de inicialização, o driver da câmera, o driver de caracteres, a rede, o driver de som e o driver de vídeo.

O mais grave desses problemas é classificado como Crítico devido à possibilidade de execução arbitrária de código, levando à possibilidade de um comprometimento permanente local do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade* Dispositivos Nexus atualizados Data relatada
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
Crítico Nexus 5 8 de agosto de 2014
CVE-2014-9794 A-28821172
QC-CR646385
Crítico Nexus 7 (2013) 8 de agosto de 2014
CVE-2015-8892 A-28822807
QC-CR902998
Crítico Nexus 5X, Nexus 6P 30 Dez 2015
CVE-2014-9781 A-28410333
QC-CR556471
Alto Nexus 7 (2013) 6 Fev 2014
CVE-2014-9786 A-28557260
QC-CR545979
Alto Nexus 5, Nexus 7 (2013) 13 Mar 2014
CVE-2014-9788 A-28573112
QC-CR548872
Alto Nexus 5 13 Mar 2014
CVE-2014-9779 A-28598347
QC-CR548679
Alto Nexus 5 13 Mar 2014
CVE-2014-9780 A-28602014
QC-CR542222
Alto Nexus 5, Nexus 5X, Nexus 6P 13 Mar 2014
CVE-2014-9789 A-28749392
QC-CR556425
Alto Nexus 5 13 Mar 2014
CVE-2014-9793 A-28821253
QC-CR580567
Alto Nexus 7 (2013) 13 Mar 2014
CVE-2014-9782 A-28431531
QC-CR511349
Alto Nexus 5, Nexus 7 (2013) 31 Mar 2014
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
Alto Nexus 7 (2013) 31 Mar 2014
CVE-2014-9785 A-28469042
QC-CR545747
Alto Nexus 7 (2013) 31 Mar 2014
CVE-2014-9787 A-28571496
QC-CR545764
Alto Nexus 7 (2013) 31 Mar 2014
CVE-2014-9784 A-28442449
QC-CR585147
Alto Nexus 5, Nexus 7 (2013) 30 Abr 2014
CVE-2014-9777 A-28598501
QC-CR563654
Alto Nexus 5, Nexus 7 (2013) 30 Abr 2014
CVE-2014-9778 A-28598515
QC-CR563694
Alto Nexus 5, Nexus 7 (2013) 30 Abr 2014
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
Alto Nexus 5, Nexus 7 (2013) 30 Abr 2014
CVE-2014-9792 A-28769399
QC-CR550606
Alto Nexus 5 30 Abr 2014
CVE-2014-9797 A-28821090
QC-CR674071
Alto Nexus 5 3 Jul 2014
CVE-2014-9791 A-28803396
QC-CR659364
Alto Nexus 7 (2013) 29 de agosto de 2014
CVE-2014-9796 A-28820722
QC-CR684756
Alto Nexus 5, Nexus 7 (2013) 30 Set 2014
CVE-2014-9800 A-28822150
QC-CR692478
Alto Nexus 5, Nexus 7 (2013) 31 Out 2014
CVE-2014-9799 A-28821731
QC-CR691916
Alto Nexus 5, Nexus 7 (2013) 31 Out 2014
CVE-2014-9801 A-28822060
QC-CR705078
Alto Nexus 5 28 Nov 2014
CVE-2014-9802 A-28821965
QC-CR705108
Alto Nexus 5, Nexus 7 (2013) 31 Dez 2014
CVE-2015-8891 A-28842418
QC-CR813930
Alto Nexus 5, Nexus 7 (2013) 29 de maio de 2015
CVE-2015-8888 A-28822465
QC-CR813933
Alto Nexus 5 30 Jun 2015
CVE-2015-8889 A-28822677
QC-CR804067
Alto Nexus 6P 30 Jun 2015
CVE-2015-8890 A-28822878
QC-CR823461
Alto Nexus 5, Nexus 7 (2013) 19 Ago 2015

* A classificação de gravidade para esses problemas é fornecida diretamente pela Qualcomm.

Vulnerabilidade de elevação de privilégio no driver USB da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver USB da Qualcomm pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como alto, porque primeiro requer comprometer um processo privilegiado.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-2502 A-27657963 QC-CR997044 Alto Nexus 5X, Nexus 6P 11 Mar 2016

Vulnerabilidade de elevação de privilégio no driver Wi-Fi da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver Wi-Fi da Qualcomm pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como alto, porque primeiro requer comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Nexus atualizados Data relatada
CVE-2016-3792 A-27725204 QC-CR561022 Alto Nexus 7 (2013) 17 Mar 2016

Vulnerabilidade de elevação de privilégio no driver da câmera Qualcomm

An elevation of privilege vulnerability in the Qualcomm camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-2501 A-27890772* QC-CR1001092 High Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Mar 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in NVIDIA camera driver

An elevation of privilege vulnerability in the NVIDIA camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3793 A-28026625*
N-CVE20163793
High Nexus 9 Apr 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power driver

An elevation of privilege in the MediaTek power driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3795 A-28085222*
M-ALPS02677244
High Android One Apr 7, 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
High Android One Apr 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm Wi-Fi driver

An elevation of privilege vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3797 A-28085680* QC-CR1001450 High Nexus 5X Apr 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek hardware sensor driver

An elevation of privilege vulnerability in the MediaTek hardware sensor driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3798 A-28174490*
M-ALPS02703105
High Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek video driver

An elevation of privilege vulnerability in the MediaTek video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3799 A-28175025*
M-ALPS02693738
High Android One Apr 11, 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
High Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek GPS driver

An elevation of privilege vulnerability in the MediaTek GPS driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3801 A-28174914*
M-ALPS02688853
High Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel file system

An elevation of privilege vulnerability in the kernel file system could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* High Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* High Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
High Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
High Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
High Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* High Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* High Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 High Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
Upstream kernel
High Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* High All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
High Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* Moderate Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
Moderate Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
Moderate Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
Moderate Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* Moderate Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
Upstream kernel
Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 Moderate Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 Moderate Nexus 5, Nexus 7 (2013) Aug 19, 2015

Common questions and answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818