Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

ประกาศความปลอดภัยของ Android - กรกฎาคม 2016

เผยแพร่เมื่อ 06 กรกฎาคม 2016 | อัปเดตเมื่อวันที่ 1 เมษายน 2019

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวเราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์ของ Nexus ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer ระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 5 กรกฎาคม 2016 หรือใหม่กว่าจะแก้ไขปัญหาที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารนี้ ดู เอกสารประกอบ เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัย

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 6 มิถุนายน 2016 หรือก่อนหน้านั้น หากเป็นไปได้แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ในที่เก็บ Android Open Source Project (AOSP) กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลดการให้บริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ประกาศ

  • กระดานข่าวนี้กำหนดสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการเคลื่อนย้ายได้เร็วขึ้นเพื่อแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทั้งหมด ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2016-07-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-07-01 ได้รับการแก้ไขแล้ว
    • 2016-07-05 : สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-07-01 และ 2016-07-05 ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA เพียงครั้งเดียวพร้อมด้วยระดับแพตช์ความปลอดภัยวันที่ 05 กรกฎาคม 2016

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ห้ามใช้เครื่องมือรูทอุปกรณ์ใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งเป็นที่รู้จักซึ่งใช้ช่องโหว่ในการเพิ่มสิทธิ์ หากแอปพลิเคชันดังกล่าวได้รับการติดตั้งแล้ว Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสมแอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งผ่านสื่อไปยังกระบวนการต่างๆเช่น Mediaserver โดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Donenfeld และคณะ ของ Check Point Software Technologies Ltd: CVE-2016-2503
  • Adam Powell จาก Google: CVE-2016-3752
  • Alex Chapman และ Paul Stone จาก Context Information Security: CVE-2016-3763
  • Andy Tyler ( @ticarpi ) จาก e2e-assure : CVE-2016-2457
  • Ben Hawkes จาก Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Christopher Tate จาก Google: CVE-2016-3759
  • Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-3762
  • Gengjia Chen ( @ chengjia4574 ), pjf ( weibo.com/jfpan ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Greg Kaiser แห่งทีม Google Android: CVE-2016-3758
  • Guang Gong (龚广) ( @oldfresher ) จาก Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3764
  • Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd : CVE-2016-3792, CVE-2016-3768
  • Hao Qin จาก Security Research Lab, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf ( weibo.com/jfpan ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Marco Nelissen แห่ง Google: CVE-2016-3818
  • Mark Brand ของ Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang Ssong จาก Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-3793
  • Ricky Wai จาก Google: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Vasily Vasilev: CVE-2016-2507
  • Weichao Sun ( @sunblate ) จาก Alibaba Inc. : CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Xiling Gong จาก Tencent Security Platform Department: CVE-2016-3745
  • Yacong Gu จาก TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) แห่ง Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) และ Wei Wei ( @Danny__Wei ) จาก Xuanwu LAB, Tencent: CVE-2016-2506
  • Yulong Zhang และ Tao (Lenx) Wei แห่ง Baidu X-Lab: CVE-2016-3744

2016-07-01 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2016-07-01 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้องความรุนแรงอุปกรณ์ Nexus ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้รหัสระยะไกลใน Mediaserver

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver กระบวนการ Mediaserver สามารถเข้าถึงสตรีมเสียงและวิดีโอตลอดจนการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

ฟังก์ชันการทำงานที่ได้รับผลกระทบจัดให้เป็นส่วนหลักของระบบปฏิบัติการและมีแอปพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อบนเบราว์เซอร์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2506 A-28175045 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 เม.ย. 2559
CVE-2016-2505 A-28333006 สำคัญ Nexus ทั้งหมด 6.0, 6.0.1 21 เม.ย. 2559
CVE-2016-2507 A-28532266 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 พฤษภาคม 2559
CVE-2016-2508 A-28799341 [ 2 ] สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 พฤษภาคม 2559
CVE-2016-3741 ก -28165661 [ 2 ] สำคัญ Nexus ทั้งหมด 6.0, 6.0.1 ภายในของ Google
CVE-2016-3742 A-28165659 สำคัญ Nexus ทั้งหมด 6.0, 6.0.1 ภายในของ Google
CVE-2016-3743 A-27907656 สำคัญ Nexus ทั้งหมด 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การเรียกใช้รหัสระยะไกลใน OpenSSL & BoringSSL

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน OpenSSL และ BoringSSL อาจทำให้ผู้โจมตีที่ใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์และข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการที่ได้รับผลกระทบ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2108 A-28175332 สำคัญ Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 พฤษภาคม 2559

ช่องโหว่การเรียกใช้รหัสระยะไกลในบลูทู ธ

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในบลูทู ธ อาจทำให้ผู้โจมตีที่อยู่ใกล้สามารถเรียกใช้รหัสโดยอำเภอใจในระหว่างกระบวนการจับคู่ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลในระหว่างการเริ่มต้นอุปกรณ์ Bluetooth

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3744 A-27930580 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 มี.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน libpng

การเพิ่มช่องโหว่ของสิทธิพิเศษใน libpng อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของแอปพลิเคชันระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเพราะมันสามารถนำมาใช้เพื่อให้เข้าถึงท้องถิ่นเพื่อความสามารถในการยกระดับเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3751 A-23265085 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 ธ.ค. 2558

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของแอปพลิเคชันระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเพราะมันสามารถนำมาใช้เพื่อให้เข้าถึงท้องถิ่นเพื่อความสามารถในการยกระดับเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3745 A-28173666 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 เม.ย. 2559
CVE-2016-3746 A-27890802 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 มี.ค. 2559
CVE-2016-3747 A-27903498 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 มี.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในซ็อกเก็ต

การเพิ่มช่องโหว่ของสิทธิพิเศษในซ็อกเก็ตอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเข้าถึงการโทรของระบบนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากอาจอนุญาตให้มีการข้ามมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากของผู้โจมตีที่ใช้ประโยชน์จากแพลตฟอร์ม

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3748 A-28171804 สูง Nexus ทั้งหมด 6.0, 6.0.1 13 เม.ย. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน LockSettingsService

การเพิ่มช่องโหว่ของสิทธิพิเศษใน LockSettingsService อาจทำให้แอปพลิเคชั่นที่เป็นอันตรายรีเซ็ตรหัสผ่านล็อกหน้าจอโดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบกับผู้ใช้สำหรับการปรับเปลี่ยนการตั้งค่าความปลอดภัยของนักพัฒนาหรือการรักษาความปลอดภัย

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3749 A-28163930 สูง Nexus ทั้งหมด 6.0, 6.0.1 ภายในของ Google

การเพิ่มช่องโหว่ของสิทธิ์ใน Framework API

การเพิ่มช่องโหว่ของสิทธิพิเศษใน API ของ Parcels Framework อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่มีสิทธิ์เข้าถึง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3750 A-28395952 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 ธ.ค. 2558

การเพิ่มช่องโหว่ของสิทธิพิเศษในบริการ ChooserTarget

การเพิ่มช่องโหว่ของสิทธิพิเศษในบริการ ChooserTarget อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถรันโค้ดในบริบทของแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับสูงเนื่องจากสามารถใช้เพื่อเข้าถึงกิจกรรมที่เป็นของแอปพลิเคชันอื่นโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3752 A-28384423 สูง Nexus ทั้งหมด 6.0, 6.0.1 ภายในของ Google

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้ผู้โจมตีระยะไกลสามารถเข้าถึงข้อมูลที่ได้รับการป้องกันโดยปกติจะเข้าถึงได้เฉพาะแอปที่ติดตั้งในเครื่องที่ขออนุญาตเท่านั้น ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3753 A-27210135 สูง ไม่มี* 4.4.4 15 ก.พ. 2559

* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL

ช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL อาจทำให้ผู้โจมตีระยะไกลสามารถเข้าถึงข้อมูลที่ได้รับการป้องกันโดยปกติจะเข้าถึงได้เฉพาะแอปที่ติดตั้งในเครื่องที่ขออนุญาตเท่านั้น ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2107 A-28550804 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1 13 เมษายน 2559

* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการระยะไกลชั่วคราว

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3754 ก -28615448 [ 2 ] สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 พฤษภาคม 2559
CVE-2016-3755 A-28470138 สูง Nexus ทั้งหมด 6.0, 6.0.1 29 เม.ย. 2559
CVE-2016-3756 A-28556125 สูง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

การปฏิเสธช่องโหว่ของบริการใน libc

ช่องโหว่การปฏิเสธบริการใน libc อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3818 A-28740702 [ 2 ] สูง ไม่มี* 4.4.4 ภายในของ Google

* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิพิเศษใน lsof

การเพิ่มช่องโหว่ของสิทธิพิเศษใน lsof อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถรันโค้ดโดยอำเภอใจซึ่งอาจนำไปสู่การบุกรุกอุปกรณ์ถาวร ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องใช้ขั้นตอนที่ผิดปกติด้วยตนเอง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3757 A-28175237 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 เม.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษใน DexClassLoader

การยกระดับช่องโหว่ของสิทธิพิเศษใน DexClassLoader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องใช้ขั้นตอนที่ผิดปกติด้วยตนเอง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3758 A-27840771 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

การเพิ่มช่องโหว่ของสิทธิ์ใน Framework API

การยกระดับช่องโหว่ของสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถขอสิทธิ์การสำรองข้อมูลและสกัดกั้นข้อมูลสำรองทั้งหมดได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องใช้สิทธิ์เฉพาะในการข้ามการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่น

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3759 A-28406080 ปานกลาง Nexus ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

การเพิ่มช่องโหว่ของสิทธิ์ในบลูทู ธ

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในคอมโพเนนต์บลูทู ธ อาจทำให้ผู้โจมตีในพื้นที่สามารถเพิ่มอุปกรณ์บลูทู ธ ที่ได้รับการรับรองความถูกต้องซึ่งยังคงมีอยู่สำหรับผู้ใช้หลัก ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเพิ่มขีดความสามารถโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3760 ก -27410683 [ 2 ] [ 3 ] ปานกลาง Nexus ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1 29 ก.พ. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน NFC

การเพิ่มช่องโหว่ของสิทธิ์พิเศษใน NFC อาจทำให้แอปพลิเคชันพื้นหลังที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลจากแอปพลิเคชันเบื้องหน้าได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเพิ่มขีดความสามารถโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3761 A-28300969 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 เม.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในซ็อกเก็ต

การเพิ่มช่องโหว่ของสิทธิพิเศษในซ็อกเก็ตอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเข้าถึงซ็อกเก็ตที่ผิดปกติบางประเภทซึ่งอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากอาจอนุญาตให้มีการข้ามมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากของผู้โจมตีที่ใช้ประโยชน์จากแพลตฟอร์ม

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3762 A-28612709 ปานกลาง Nexus ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1 21 เม.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Proxy Auto-Config

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบ Proxy Auto-Config อาจทำให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3763 A-27593919 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 มี.ค. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3764 A-28377502 ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 เม.ย. 2559
CVE-2016-3765 A-28168413 ปานกลาง Nexus ทั้งหมด 6.0, 6.0.1 8 เม.ย. 2559

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากอาจมีการปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-3766 A-28471206 [ 2 ] ปานกลาง Nexus ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 เม.ย. 2559

2016-07-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2016-07-05 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้องความรุนแรงอุปกรณ์ Nexus ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm GPU

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2503 A-28084795 * QC-CR1006067 สำคัญ Nexus 5X, Nexus 6P 5 เม.ย. 2559
CVE-2016-2067 A-28305757 QC-CR988993 สำคัญ Nexus 5X, Nexus 6, Nexus 6P 20 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ MediaTek Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ MediaTek Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการ reflashing ระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3767 A-28169363 *
M-ALPS02689526
สำคัญ Android One 6 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในองค์ประกอบประสิทธิภาพของ Qualcomm

การเพิ่มช่องโหว่ของสิทธิพิเศษในองค์ประกอบประสิทธิภาพของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องทำการ reflashing ระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3768 A-28172137 * QC-CR1010644 สำคัญ Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ NVIDIA

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3769 A-28376656 *
N-CVE20163769
สำคัญ Nexus 9 18 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ MediaTek (เฉพาะอุปกรณ์)

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ MediaTek หลายตัวอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3770 A-28346752 *
M-ALPS02703102
สำคัญ Android One 22 เม.ย. 2559
CVE-2016-3771 A-29007611 *
M-ALPS02703102
สำคัญ Android One 22 เม.ย. 2559
CVE-2016-3772 A-29008188 *
M-ALPS02703102
สำคัญ Android One 22 เม.ย. 2559
CVE-2016-3773 A-29008363 *
M-ALPS02703102
สำคัญ Android One 22 เม.ย. 2559
CVE-2016-3774 A-29008609 *
M-ALPS02703102
สำคัญ Android One 22 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนล

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3775 A-28588279 * สำคัญ Nexus 5X, Nexus 6, Nexus 6P และ Nexus Player, Pixel C 4 พฤษภาคม 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ USB

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ USB อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้เป็นความรุนแรงที่สำคัญเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องทำการ reflashing ระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2015-8816 A-28712303 * สำคัญ Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, พิกเซล C 4 พฤษภาคม 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในส่วนประกอบ Qualcomm

ตารางด้านล่างนี้มีช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อส่วนประกอบของ Qualcomm ซึ่งรวมถึงโปรแกรมโหลดบูตไดรเวอร์กล้องไดรเวอร์ตัวละครระบบเครือข่ายไดรเวอร์เสียงและไดรเวอร์วิดีโอ

ปัญหาที่รุนแรงที่สุดเหล่านี้ได้รับการจัดอันดับให้เป็นวิกฤตเนื่องจากความเป็นไปได้ของการใช้รหัสโดยอำเภอใจซึ่งทำให้อุปกรณ์มีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจจำเป็นต้องทำการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง * อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
สำคัญ Nexus 5 8 ส.ค. 2557
CVE-2014-9794 A-28821172
QC-CR646385
สำคัญ Nexus 7 (2013) 8 ส.ค. 2557
CVE-2015-8892 A-28822807
QC-CR902998
สำคัญ Nexus 5X, Nexus 6P 30 ธ.ค. 2558
CVE-2014-9781 A-28410333
QC-CR556471
สูง Nexus 7 (2013) 6 ก.พ. 2557
CVE-2014-9786 A-28557260
QC-CR545979
สูง Nexus 5, Nexus 7 (2013) 13 มี.ค. 2557
CVE-2014-9788 A-28573112
QC-CR548872
สูง Nexus 5 13 มี.ค. 2557
CVE-2014-9779 A-28598347
QC-CR548679
สูง Nexus 5 13 มี.ค. 2557
CVE-2014-9780 ก -28602014
QC-CR542222
สูง Nexus 5, Nexus 5X, Nexus 6P 13 มี.ค. 2557
CVE-2014-9789 A-28749392
QC-CR556425
สูง Nexus 5 13 มี.ค. 2557
CVE-2014-9793 A-28821253
QC-CR580567
สูง Nexus 7 (2013) 13 มี.ค. 2557
CVE-2014-9782 A-28431531
QC-CR511349
สูง Nexus 5, Nexus 7 (2013) 31 มี.ค. 2557
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
สูง Nexus 7 (2013) 31 มี.ค. 2557
CVE-2014-9785 A-28469042
QC-CR545747
สูง Nexus 7 (2013) 31 มี.ค. 2557
CVE-2014-9787 A-28571496
QC-CR545764
สูง Nexus 7 (2013) 31 มี.ค. 2557
CVE-2014-9784 A-28442449
QC-CR585147
สูง Nexus 5, Nexus 7 (2013) 30 เม.ย. 2557
CVE-2014-9777 A-28598501
QC-CR563654
สูง Nexus 5, Nexus 7 (2013) 30 เม.ย. 2557
CVE-2014-9778 A-28598515
QC-CR563694
สูง Nexus 5, Nexus 7 (2013) 30 เม.ย. 2557
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
สูง Nexus 5, Nexus 7 (2013) 30 เม.ย. 2557
CVE-2014-9792 A-28769399
QC-CR550606
สูง Nexus 5 30 เม.ย. 2557
CVE-2014-9797 A-28821090
QC-CR674071
สูง Nexus 5 3 ก.ค. 2557
CVE-2014-9791 A-28803396
QC-CR659364
สูง Nexus 7 (2013) 29 ส.ค. 2557
CVE-2014-9796 A-28820722
QC-CR684756
สูง Nexus 5, Nexus 7 (2013) 30 ก.ย. 2557
CVE-2014-9800 A-28822150
QC-CR692478
สูง Nexus 5, Nexus 7 (2013) 31 ต.ค. 2557
CVE-2014-9799 A-28821731
QC-CR691916
สูง Nexus 5, Nexus 7 (2013) 31 ต.ค. 2557
CVE-2014-9801 A-28822060
QC-CR705078
สูง Nexus 5 28 พ.ย. 2557
CVE-2014-9802 A-28821965
QC-CR705108
สูง Nexus 5, Nexus 7 (2013) 31 ธ.ค. 2557
CVE-2015-8891 A-28842418
QC-CR813930
สูง Nexus 5, Nexus 7 (2013) 29 พฤษภาคม 2558
CVE-2015-8888 A-28822465
QC-CR813933
สูง Nexus 5 30 มิ.ย. 2558
CVE-2015-8889 A-28822677
QC-CR804067
สูง Nexus 6P 30 มิ.ย. 2558
CVE-2015-8890 A-28822878
QC-CR823461
สูง Nexus 5, Nexus 7 (2013) 19 ส.ค. 2558

* การจัดระดับความรุนแรงสำหรับปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ USB ของ Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm USB อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2502 A-27657963 QC-CR997044 สูง Nexus 5X, Nexus 6P 11 มี.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3792 A-27725204 QC-CR561022 สูง Nexus 7 (2013) 17 มี.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-2501 A-27890772 * QC-CR1001092 สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 มี.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง NVIDIA

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้อง NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3793 A-28026625 *
N-CVE20163793
สูง Nexus 9 5 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในโปรแกรมควบคุมพลังงาน MediaTek

การยกระดับสิทธิ์ในโปรแกรมควบคุมพลังงาน MediaTek สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในระบบเพื่อเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Nexus วันที่รายงาน
CVE-2016-3795 A-28085222 *
M-ALPS02677244
สูง Android One 7 เม.ย. 2559
CVE-2016-3796 A-29008443 *
M-ALPS02677244
สูง Android One 7 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

An elevation of privilege vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3797 A-28085680* QC-CR1001450 High Nexus 5X Apr 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek hardware sensor driver

An elevation of privilege vulnerability in the MediaTek hardware sensor driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3798 A-28174490*
M-ALPS02703105
High Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek video driver

An elevation of privilege vulnerability in the MediaTek video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3799 A-28175025*
M-ALPS02693738
High Android One Apr 11, 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
High Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek GPS driver

An elevation of privilege vulnerability in the MediaTek GPS driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3801 A-28174914*
M-ALPS02688853
High Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel file system

An elevation of privilege vulnerability in the kernel file system could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* High Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* High Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
High Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
High Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
High Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* High Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* High Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 High Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
Upstream kernel
High Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* High All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
High Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* Moderate Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
Moderate Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
Moderate Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
Moderate Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* Moderate Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
Upstream kernel
Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 Moderate Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 Moderate Nexus 5, Nexus 7 (2013) Aug 19, 2015

Common questions and answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818