نشرة أمان Android - أغسطس 2016

تم النشر في 01 أغسطس 2016 | تم التحديث في 21 أكتوبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 أغسطس 2016 أو ما بعده تعالج هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى تصحيح الأمان.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 06 يوليو 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تمت مراجعة النشرة لتصحيح CVE-2016-3856 إلى CVE-2016-2060.
  • تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 2016-08-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-08-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2016-08-05 : استكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-08-01 و 2016-08-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر OTA بمستوى تصحيح الأمان في 05 أغسطس 2016.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Abhishek Arya و Oliver Chang و Martin Barbella من فريق Google Chrome Security Team: CVE-2016-3821، CVE-2016-3837
  • آدم دوننفيلد وآخرون. of Check Point Software Technologies Ltd: CVE-2016-2504
  • Chiachih Wu ( chiachih_wu ) و Mingjian Zhou (Mingjian_Zhou) و Xuxian Jiang من فريق C0RE : CVE-2016-3844
  • Chiachih Wu ( chiachih_wu ) و Yuan-Tsung Lo ( computernik@gmail.com) و Xuxian Jiang من فريق C0RE : CVE-2016-3857
  • David Benjamin and Kenny Root of Google: CVE-2016-3840
  • Dawei Peng ( Vinc3nt4H ) من فريق Alibaba Mobile Security Team : CVE-2016-3822
  • Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3842
  • Dianne Hackborn من Google: CVE-2016-2497
  • ديمتري فيوكوف من فريق Google Dynamic Tools: CVE-2016-3841
  • Gengjia Chen ( @ chengjia4574 ) ، pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
  • Guang Gong (龚 广) ( oldfresher ) من فريق Alpha ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
  • Kai Lu ( @ K3vinLuSec ) من FortiGuard Labs في Fortinet: CVE-2016-3820
  • Kandala Shivaram reddy و DS و Uppi: CVE-2016-3826
  • Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3823، CVE-2016-3835، CVE-2016-3824، CVE-2016-3825
  • ناثان كراندال ( natecray ) من فريق أمان منتجات Tesla Motors: CVE-2016-3847، CVE-2016-3848
  • Peng Xiao و Chengming Yang و Ning You و Chao Yang و Yang Song of Alibaba Mobile Security Group: CVE-2016-3845
  • Peter Pi ( heisecode ) من Trend Micro: CVE-2016-3849
  • Qianwei Hu ( rayxcp@gmail.com ) من WooYun TangLab : CVE-2016-3846
  • Qidan He ( flanker_hqd ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3832
  • Sharvil Nanavati من Google: CVE-2016-3839
  • شينجو بارك ( ad_ili_rai ) وألتاف شيخ من الأمن في الاتصالات : CVE-2016-3831
  • توم Rootjunky: CVE-2016-3853
  • فاسيلي فاسيلييف: CVE-2016-3819
  • Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-3827، CVE-2016-3828، CVE-2016-3829
  • Wish Wu (吴 潍 浠) ( wish_wu ) من Trend Micro Inc .: CVE-2016-3843
  • Yongke Wang ( Rudykewang ) من Tencent's Xuanwu LAB: CVE-2016-3836

نود أن نشكر دانيال ميكاي من شركة Copperhead Security ، و Jeff Vander Stoep و Yabin Cui من Google لمساهمتهم في تحديثات مستوى النظام الأساسي للتخفيف من فئة من الثغرات الأمنية مثل CVE-2016-3843. يستند هذا التخفيف إلى عمل براد شبنجلر من Grsecurity.

2016-08-01 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-08-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3819 أ -28533562 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 2 مايو 2016
CVE-2016-3820 أ -28673410 حرج كل Nexus 6.0 ، 6.0.1 6 مايو 2016
CVE-2016-3821 أ -28166152 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في libjhead

قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في libjhead إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في التطبيقات التي تستخدم هذه المكتبة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3822 أ -28868315 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3823 أ -28815329 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 17 مايو 2016
CVE-2016-3824 أ -28816827 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 17 مايو 2016
CVE-2016-3825 A-28816964 عالٍ كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 17 مايو 2016
CVE-2016-3826 A-29251553 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 9 يونيو 2016

ضعف رفض الخدمة في Mediaserver

قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3827 أ -28816956 عالٍ كل Nexus 6.0.1 16 مايو 2016
CVE-2016-3828 أ -28835995 عالٍ كل Nexus 6.0 ، 6.0.1 17 مايو 2016
CVE-2016-3829 أ -29023649 عالٍ كل Nexus 6.0 ، 6.0.1 27 مايو 2016
CVE-2016-3830 أ -29153599 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ضعف رفض الخدمة في ساعة النظام

قد يؤدي رفض وجود ثغرة أمنية في ساعة النظام إلى تمكين مهاجم بعيد من تعطل الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3831 أ -29083635 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 31 مايو 2016

رفع مستوى ضعف الامتياز في واجهات برمجة التطبيقات الخاصة بإطار العمل

قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة التطبيقات لإطار العمل إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الموجودة خارج مستويات أذونات التطبيق.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3832 أ -28795098 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 15 مايو 2016

رفع مستوى ضعف الامتيازات في شل

قد يؤدي رفع الامتياز في Shell إلى تمكين تطبيق ضار محلي من تجاوز قيود الجهاز مثل قيود المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لأذونات المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3833 A-29189712 [ 2 ] معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ثغرة الكشف عن المعلومات في OpenSSL

قد تسمح ثغرة الكشف عن المعلومات في OpenSSL لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2842 أ -29060514 لا أحد* كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 29 مارس 2016

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية

ثغرة الكشف عن المعلومات في واجهات برمجة التطبيقات الخاصة بالكاميرا

قد تسمح ثغرة الكشف عن المعلومات في واجهات برمجة تطبيقات الكاميرا لتطبيق ضار محلي بالوصول إلى هياكل البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3834 أ -28466701 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 28 أبريل 2016

ضعف الكشف عن المعلومات في Mediaserver

قد تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3835 A-28920116 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 23 مايو 2016

ثغرة الكشف عن المعلومات في SurfaceFlinger

قد تؤدي ثغرة الكشف عن المعلومات في خدمة SurfaceFlinger إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3836 أ -28592402 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 4 مايو 2016

ثغرة الكشف عن المعلومات في شبكة Wi-Fi

قد تسمح ثغرة الكشف عن المعلومات في شبكة Wi-Fi لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3837 أ -28164077 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ضعف رفض الخدمة في واجهة مستخدم النظام

قد يؤدي رفض وجود ثغرة أمنية في واجهة مستخدم النظام إلى تمكين تطبيق ضار محلي من منع مكالمات 911 من شاشة مقفلة. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة في وظيفة حرجة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3838 أ -28761672 معتدل كل Nexus 6.0 ، 6.0.1 جوجل الداخلية

ضعف رفض الخدمة في البلوتوث

قد يؤدي رفض الخدمة في البلوتوث إلى تمكين تطبيق ضار محلي من منع مكالمات 911 من جهاز Bluetooth. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة في وظيفة حرجة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3839 أ -28885210 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

2016-08-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-08-05. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين المهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال اختراق جهاز محلي دائم.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-9902 أ -28668638

QC-CR # 553937
QC-CR # 553941

حرج Nexus 7 (2013) 31 مارس 2014

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Conscrypt

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Conscrypt إلى تمكين مهاجم بعيد من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال تنفيذ التعليمات البرمجية عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3840 أ -28751153 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتيازات في مكونات Qualcomm

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، بما في ذلك محمل الإقلاع وبرنامج تشغيل الكاميرا ومحرك الأحرف والشبكات وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.

تم تصنيف أخطر هذه المشكلات على أنها حرجة نظرًا لاحتمال أن يقوم تطبيق ضار محلي بتنفيذ تعليمات برمجية عشوائية في سياق النواة مما يؤدي إلى حل محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-9863 أ -28768146

QC-CR # 549470

حرج Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9864 أ -28747998

QC-CR # 561841

عالٍ Nexus 5 و Nexus 7 (2013) 27 مارس 2014
CVE-2014-9865 أ -28748271

QC-CR # 550013

عالٍ Nexus 5 و Nexus 7 (2013) 27 مارس 2014
CVE-2014-9866 أ -28747684

QC-CR # 511358

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9867 أ -28749629

QC-CR # 514702

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9868 أ -28749721

QC-CR # 511976

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9869 أ -28749728

QC-CR # 514711 [ 2 ]

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9870 أ -28749743

QC-CR # 561044

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9871 أ -28749803

QC-CR # 514717

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9872 أ -28750155

QC-CR # 590721

عالٍ نيكزس 5 31 مارس 2014
CVE-2014-9873 أ -28750726

QC-CR # 556860

عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9874 أ -28751152

QC-CR # 563086

عالٍ Nexus 5 و Nexus 5X و Nexus 6P و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9875 أ -28767589

QC-CR # 483310

عالٍ Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9876 أ -28767796

QC-CR # 483408

عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9877 أ -28768281

QC-CR # 547231

عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9878 أ -28769208

QC-CR # 547479

عالٍ نيكزس 5 30 أبريل 2014
CVE-2014-9879 أ -28769221

QC-CR # 524490

عالٍ نيكزس 5 30 أبريل 2014
CVE-2014-9880 أ -28769352

QC-CR # 556356

عالٍ Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9881 أ -28769368

QC-CR # 539008

عالٍ Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9882 أ -28769546

QC-CR # 552329 [ 2 ]

عالٍ Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9883 أ -28769912

QC-CR # 565160

عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9884 أ -28769920

QC-CR # 580740

عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9885 أ -28769959

QC-CR # 562261

عالٍ نيكزس 5 30 أبريل 2014
CVE-2014-9886 أ -28815575

QC-CR # 555030

عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9887 أ -28804057

QC-CR # 636633

عالٍ Nexus 5 و Nexus 7 (2013) 3 يوليو 2014
CVE-2014-9888 أ -28803642

QC-CR # 642735

عالٍ Nexus 5 و Nexus 7 (2013) 29 أغسطس 2014
CVE-2014-9889 أ -28803645

QC-CR # 674712

عالٍ نيكزس 5 31 أكتوبر 2014
CVE-2015-8937 أ -28803962

QC-CR # 770548

عالٍ Nexus 5 و Nexus 6 و Nexus 7 (2013) 31 مارس 2015
CVE-2015-8938 أ -28804030

QC-CR # 766022

عالٍ نيكزس 6 31 مارس 2015
CVE-2015-8939 أ -28398884

QC-CR # 779021

عالٍ Nexus 7 (2013) 30 أبريل 2015
CVE-2015-8940 أ -28813987

QC-CR # 792367

عالٍ نيكزس 6 30 أبريل 2015
CVE-2015-8941 أ -28814502

QC-CR # 792473

عالٍ Nexus 6 و Nexus 7 (2013) 29 مايو 2015
CVE-2015-8942 أ -28814652

QC-CR # 803246

عالٍ نيكزس 6 30 يونيو 2015
CVE-2015-8943 أ -28815158

QC-CR # 794217

QC-CR # 836226

عالٍ نيكزس 5 11 سبتمبر 2015
CVE-2014-9891 أ -28749283

QC-CR # 550061

معتدل نيكزس 5 13 مارس 2014
CVE-2014-9890 أ -28770207

QC-CR # 529177

معتدل Nexus 5 و Nexus 7 (2013) 2 يونيو 2014

رفع مستوى ضعف الامتياز في مكون شبكات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون شبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-2686 أ -28759139

نواة المنبع

حرج كل Nexus 23 مارس 2015
CVE-2016-3841 أ -28746669

نواة المنبع

حرج كل Nexus 3 ديسمبر 2015

رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2504 أ -28026365

QC-CR # 1002974

حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) 5 أبريل 2016
CVE-2016-3842 أ -28377352

QC-CR # 1002974

حرج Nexus 5X و Nexus 6 و Nexus 6P 25 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتياز في مكون أداء Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون أداء Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

ملاحظة: يوجد أيضًا تحديث على مستوى النظام الأساسي في هذه النشرة ضمن A-29119870 مصمم للتخفيف من هذه الفئة من الثغرات الأمنية.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3843 A-28086229 *

QC-CR # 1011071

حرج Nexus 5X و Nexus 6P 7 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في النواة

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3857 A-28522518 * حرج Nexus 7 (2013) 2 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في نظام ذاكرة kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-1593 A-29577822

نواة المنبع

عالٍ نيكزس بلاير 13 فبراير 2015
CVE-2016-3672 أ -28763575

نواة المنبع

عالٍ نيكزس بلاير 25 مارس 2016

ارتفاع ضعف الامتياز في مكون صوت النواة

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون صوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2544 A-28695438

نواة المنبع

عالٍ كل Nexus 19 من كانون الثاني 2016
CVE-2016-2546 أ -28694392

نواة المنبع

عالٍ بكسل سي 19 من كانون الثاني 2016
CVE-2014-9904 A-28592007

نواة المنبع

عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player 4 مايو 2016

ارتفاع ضعف الامتياز في نظام ملفات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2012-6701 أ -28939037

نواة المنبع

عالٍ Nexus 5 و Nexus 7 (2013) 2 مارس 2016

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3844 A-28299517 *

N-CVE-2016-3844

عالٍ Nexus 9 ، Pixel C 19 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل فيديو kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل فيديو kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3845 A-28399876 * عالٍ نيكزس 5 20 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل Serial Peripheral Interface

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Serial Peripheral Interface إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3846 A-28817378 * عالٍ Nexus 5X و Nexus 6P 17 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في الامتياز في برنامج تشغيل وسائط NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل وسائط NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3847 A-28871433 *

N-CVE-2016-3847

عالٍ نيكزس 9 19 مايو 2016
CVE-2016-3848 A-28919417 *

N-CVE-2016-3848

عالٍ نيكزس 9 19 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل ION

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3849 أ -28939740 عالٍ بكسل سي 24 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتيازات في محمل إقلاع Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في محمل إقلاع Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3850 A-27917291

QC-CR # 945164

عالٍ Nexus 5 و Nexus 5X و Nexus 6P و Nexus 7 (2013) 28 مارس 2016

ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel

قد يؤدي رفع نقاط ضعف الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية بسبب سطح هجوم kernel المتاح للمهاجمين لاستغلاله.

ملاحظة: هذا تحديث على مستوى النظام الأساسي مصمم للتخفيف من فئة من الثغرات الأمنية مثل CVE-2016-3843 (A-28086229).

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3843 A-29119870 * عالٍ كل Nexus 6.0 ، 6.1 جوجل الداخلية

* تصحيح هذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتيازات في محمل الإقلاع من LG Electronics

قد يؤدي ارتفاع ثغرة الامتياز في محمل الإقلاع من LG Electronics إلى تمكين المهاجم من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3851 A-29189941 * عالٍ جهاز Nexus 5X جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات Qualcomm

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، بما في ذلك محمل الإقلاع وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف والشبكات وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.

تم تصنيف أخطر هذه المشكلات على أنها عالية نظرًا لاحتمال وصول تطبيق ضار محلي إلى بيانات خارج مستويات الأذونات الخاصة به مثل البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-9892 أ -28770164

QC-CR # 568717

عالٍ Nexus 5 و Nexus 7 (2013) 2 يونيو 2014
CVE-2015-8944 أ -28814213

QC-CR # 786116

عالٍ Nexus 6 و Nexus 7 (2013) 30 أبريل 2015
CVE-2014-9893 أ -28747914

QC-CR # 542223

معتدل نيكزس 5 27 مارس 2014
CVE-2014-9894 أ -28749708

QC-CR # 545736

معتدل Nexus 7 (2013) 31 مارس 2014
CVE-2014-9895 أ -28750150

QC-CR # 570757

معتدل Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9896 أ -28767593

QC-CR # 551795

معتدل Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9897 أ -28769856

QC-CR # 563752

معتدل نيكزس 5 30 أبريل 2014
CVE-2014-9898 أ -28814690

QC-CR # 554575

معتدل Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9899 أ -28803909

QC-CR # 547910

معتدل نيكزس 5 3 يوليو 2014
CVE-2014-9900 أ -28803952

QC-CR # 570754

معتدل Nexus 5 و Nexus 7 (2013) 8 أغسطس 2014

ثغرة الكشف عن المعلومات في برنامج جدولة kernel

قد تؤدي ثغرة الكشف عن المعلومات في برنامج جدولة kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-9903 أ -28731691

نواة المنبع

عالٍ Nexus 5X و Nexus 6P 21 فبراير 2014

ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi (خاص بالجهاز)

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3852 A-29141147 *

M-ALPS02751738

عالٍ Android One 12 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة الكشف عن المعلومات في برنامج تشغيل USB

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل USB إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع Severity Updated Nexus devices Date reported
CVE-2016-4482 A-28619695

Upstream kernel

High All Nexus May 3, 2016

Denial of service vulnerability in Qualcomm components

The table below contains security vulnerabilities affecting Qualcomm components, potentially including the Wi-Fi driver.

The most severe of these issues is rated as High due to the possibility that an attacker could cause a temporary remote denial of service resulting in a device hang or reboot.

CVE References Severity Updated Nexus devices Date reported
CVE-2014-9901 A-28670333

QC-CR#548711

High Nexus 7 (2013) Mar 31, 2014

Elevation of privilege vulnerability in Google Play services

An elevation of privilege vulnerability in Google Play services could allow a local attacker to bypass the Factory Reset Protection and gain access to the device. This is rated as Moderate due to the possibility of bypassing Factory Reset Protection, which could lead to successfully resetting the device and erasing all its data.

CVE References Severity Updated Nexus devices Updated AOSP versions Date reported
CVE-2016-3853 A-26803208* Moderate All Nexus لا أحد May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Framework APIs

An elevation of privilege vulnerability in the framework APIs could enable a pre-installed application to increase its intent filter priority when the application is being updated without the user being notified. This issue is rated as Moderate because it could be used to gain elevated capabilities without explicit user permission.

CVE References Severity Updated Nexus devices Updated AOSP versions Date reported
CVE-2016-2497 A-27450489 Moderate All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google internal

Information disclosure vulnerability in kernel networking component

An information disclosure vulnerability in the kernel networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-4486 A-28620102

Upstream kernel

Moderate All Nexus May 3, 2016

Information disclosure vulnerability in kernel sound component

An information disclosure vulnerability in the kernel sound component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-4569 A-28980557

Upstream kernel

Moderate All Nexus May 9, 2016
CVE-2016-4578 A-28980217

Upstream kernel [ 2 ]

Moderate All Nexus May 11, 2016

Vulnerabilities in Qualcomm components

The table below contains security vulnerabilities affecting Qualcomm components, potentially including the bootloader, camera driver, character driver, networking, sound driver, and video driver.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3854 QC-CR#897326 High لا أحد Feb 2016
CVE-2016-3855 QC-CR#990824 High لا أحد May 2016
CVE-2016-2060 QC-CR#959631 Moderate لا أحد Apr 2016

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

Security Patch Levels of 2016-08-01 or later address all issues associated with the 2016-08-01 security patch string level. Security Patch Levels of 2016-08-05 or later address all issues associated with the 2016-08-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-08-01] or [ro.build.version.security_patch]:[2016-08-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of August 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the August 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use August 1, 2016 security patch level may also include a subset of fixes associated with the August 5, 2016 security patch level.

3 . How do I determine which Nexus devices are affected by each issue?

In the 2016-08-01 and 2016-08-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

بادئة المرجعي
أ- معرف خطأ Android
QC- الرقم المرجعي لشركة Qualcomm
M- MediaTek reference number
N- NVIDIA reference number

Revisions

  • August 01, 2016: Bulletin published.
  • August 02, 2016: Bulletin revised to include AOSP links.
  • August 16, 2016: CVE-2016-3856 corrected to CVE-2016-2060 and updated the reference URL.
  • October 21, 2016: Corrected typo in CVE-2016-4486.