Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Android Security Bulletin - September 2016

Veröffentlicht am 06. September 2016 | Aktualisiert am 12. September 2016

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Sicherheits-Patch-Levels vom 06. September 2016 oder höher beheben diese Probleme. In der Dokumentation erfahren Sie, wie Sie die Sicherheits-Patch-Stufe überprüfen. Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit der Sicherheits-Patch-Stufe vom 06. September 2016.

Die Partner wurden am 05. August 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Surfen im Internet und MMS bei der Verarbeitung von Mediendateien ermöglichen kann. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Ausbeutung oder den Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt zur Minderung von Android- und Google-Diensten .

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Dieses Bulletin enthält drei Zeichenfolgen auf Sicherheits-Patch-Ebene, um Android-Partnern die Flexibilität zu bieten, schneller vorzugehen, um eine Teilmenge von Schwachstellen zu beheben, die auf allen Android-Geräten ähnlich sind. Weitere Informationen finden Sie unter Allgemeine Fragen und Antworten :
    • 2016-09-01 : Teilweise Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle mit dem 01.09.2016 verbundenen Probleme (und alle vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben sind.
    • 2016-09-05 : Teilweise Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle mit dem 01.09.2016 und dem 05.09.2016 verbundenen Probleme (und alle vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben sind.
    • 2016-09-06 : Vollständige Sicherheits-Patch-Level-Zeichenfolge, die Probleme behebt, die entdeckt wurden, nachdem Partner über die meisten Probleme in diesem Bulletin informiert wurden. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit dem 01.09.2016, dem 05.09.2016 und dem 06.09.2016 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben sind.
  • Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit der Sicherheits-Patch-Stufe vom 06. September 2016.

Minderung von Android- und Google-Diensten

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv den Missbrauch, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Überprüfen Sie, ob Apps auf Geräten mit Google Mobile Services standardmäßig aktiviert sind. Dies ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten. Verify Apps warnt Benutzer jedoch, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren - unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Cory Pruce von der Carnegie Mellon University: CVE-2016-3897
  • Gengjia Chen ( @ chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
  • Hao Qin vom Sicherheitsforschungslabor, Cheetah Mobile : CVE-2016-3863
  • Jann Horn von Google Project Zero: CVE-2016-3885
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-3858
  • Joshua Drake ( @jduck ): CVE-2016-3861
  • Madhu Priya Murugan von CISPA, Universität des Saarlandes: CVE-2016-3896
  • Makoto Onuki von Google: CVE-2016-3876
  • Mark Brand von Google Project Zero: CVE-2016-3861
  • Max Spector für Android-Sicherheit: CVE-2016-3888
  • Max Spector und Quan To der Android-Sicherheit: CVE-2016-3889
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3895
  • Nathan Crandall ( @natecray ) vom Tesla Motors Product Security Team: Entdeckung zusätzlicher Probleme im Zusammenhang mit CVE-2016-2446
  • Oleksiy Vyalov von Google: CVE-2016-3890
  • Oliver Chang vom Google Chrome-Sicherheitsteam: CVE-2016-3880
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang Song der Alibaba Mobile Security Group: CVE-2016-3859
  • Ronald L. Loor Vargas ( @loor_rlv ) von TEAM Lv51: CVE-2016-3886
  • Sagi Kedmi, IBM Security X-Force-Forscher: CVE-2016-3873
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
  • Sieben Shen ( @lingtongshen ) von TrendMicro: CVE-2016-3894
  • Tim Strazzere ( @timstrazz ) von SentinelOne / RedNaga: CVE-2016-3862
  • trotmaster ( @ trotmaster99 ): CVE-2016-3883
  • Victor Chang von Google: CVE-2016-3887
  • Vignesh Venkatasubramanian von Google: CVE-2016-3881
  • Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2016-3878
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
  • Wünschen Sie Wu ( 吴 潍 浠 ) ( @wish_wu ) von Trend Micro Inc .: CVE-2016-3892
  • Xingyu He (何星宇) ( @ Spid3r_ ) von Alibaba Inc : CVE-2016-3879
  • Yacong Gu vom TCA Lab, Institut für Software, Chinesische Akademie der Wissenschaften: CVE-2016-3884
  • Yuru Shao von der University of Michigan Ann Arbor: CVE-2016-3898

2016-09-01 Sicherheits-Patch-Level - Details zu Sicherheitslücken

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-09-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, den aktualisierten Nexus-Geräten, den aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in LibUtils

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in LibUtils kann es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in Anwendungen, die diese Bibliothek verwenden, als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3861 A-29250543 [ 2 ] [ 3 ] [ 4 ] Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 9. Juni 2016

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver kann es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei Speicherbeschädigungen während der Verarbeitung von Mediendateien und Daten zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3862 A-29270469 Kritisch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10. Juni 2016

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in MediaMuxer

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in MediaMuxer kann es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einer Anwendung, die MediaMuxer verwendet, als hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3863 A-29161888 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 6. Juni 2016

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3870 A-29421804 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15. Juni 2016
CVE-2016-3871 A-29422022 [ 2 ] [ 3 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15. Juni 2016
CVE-2016-3872 A-29421675 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15. Juni 2016

Sicherheitsanfälligkeit bezüglich Erhöhung der Berechtigungen beim Gerätestart

Eine Erhöhung der Berechtigungen während der Startsequenz kann es einem lokalen böswilligen Angreifer ermöglichen, im abgesicherten Modus zu starten, obwohl dieser deaktiviert ist. Dieses Problem wird als "Hoch" eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen an Entwicklern oder Sicherheitseinstellungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3875 A-26251884 Hoch Keiner* 6.0, 6.0.1 Google intern

* Unterstützte Nexus-Geräte unter Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Erhöhung der Berechtigungsanfälligkeit in den Einstellungen

Eine Erhöhung der Berechtigungen in den Einstellungen kann es einem lokalen böswilligen Angreifer ermöglichen, im abgesicherten Modus zu starten, obwohl dieser deaktiviert ist. Dieses Problem wird als "Hoch" eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen an Entwicklern oder Sicherheitseinstellungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3876 A-29900345 Hoch Alles Nexus 6.0, 6.0.1, 7.0 Google intern

Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver

Eine Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver kann es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3899 A-29421811 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16. Juni 2016
CVE-2016-3878 A-29493002 Hoch Alle Nexus * 6.0, 6.0.1 17. Juni 2016
CVE-2016-3879 A-29770686 Hoch Alle Nexus * 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25. Juni 2016
CVE-2016-3880 A-25747670 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google intern
CVE-2016-3881 A-30013856 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google intern

* Unterstützte Nexus-Geräte unter Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Erhöhung der Sicherheitslücke in der Telefonie

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Telefoniekomponente kann es einer lokalen böswilligen Anwendung ermöglichen, nicht autorisierte Premium-SMS-Nachrichten zu senden. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne ausdrückliche Benutzerberechtigung erweiterte Funktionen zu erhalten.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3883 A-28557603 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 3. Mai 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Notification Manager-Dienst

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Notification Manager-Dienst kann es einer lokalen böswilligen Anwendung ermöglichen, den Betriebssystemschutz zu umgehen, der Anwendungsdaten von anderen Anwendungen isoliert. Dieses Problem wird als mittel eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen handelt, z. B. um den Zugriff auf Funktionen, für die normalerweise entweder eine Benutzerinitiierung oder eine Benutzerberechtigung erforderlich ist.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3884 A-29421441 Mäßig Alles Nexus 6.0, 6.0.1, 7.0 15. Juni 2016

Erhöhung der Sicherheitsanfälligkeit in Debuggerd

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im integrierten Android-Debugger kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Android-Debuggers auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Ausführung von lokalem beliebigen Code in einem privilegierten Prozess als mittelschwer eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3885 A-29555636 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 21. Juni 2016

Erhöhung der Sicherheitsanfälligkeit in System UI Tuner

Eine Erhöhung der Berechtigungen im System UI Tuner kann es einem lokalen böswilligen Benutzer ermöglichen, geschützte Einstellungen zu ändern, wenn ein Gerät gesperrt ist. Dieses Problem wird als mittel eingestuft, da es sich um eine lokale Umgehung von Benutzerberechtigungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3886 A-30107438 Mäßig Alles Nexus 7.0 23. Juni 2016

Erhöhung der Berechtigungsanfälligkeit in den Einstellungen

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in den Einstellungen kann es einer lokalen bösartigen Anwendung ermöglichen, den Betriebssystemschutz für VPN-Einstellungen zu umgehen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um Zugriff auf Daten zu erhalten, die außerhalb der Berechtigungsstufen der Anwendung liegen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3887 A-29899712 Mäßig Alles Nexus 7.0 Google intern

Erhöhung der Sicherheitsanfälligkeit in SMS

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in SMS kann es einem lokalen Angreifer ermöglichen, Premium-SMS-Nachrichten zu senden, bevor das Gerät bereitgestellt wird. Dies wird aufgrund der Möglichkeit, den Werksreset-Schutz zu umgehen, als moderat eingestuft, wodurch verhindert werden sollte, dass das Gerät vor dem Einrichten verwendet wird.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3888 A-29420123 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google intern

Erhöhung der Berechtigungsanfälligkeit in den Einstellungen

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in den Einstellungen kann es einem lokalen Angreifer ermöglichen, den Schutz zum Zurücksetzen auf die Werkseinstellungen zu umgehen und Zugriff auf das Gerät zu erhalten. Dies wird aufgrund der Möglichkeit, den Werksreset-Schutz zu umgehen, als mittel eingestuft. Dies kann dazu führen, dass das Gerät erfolgreich zurückgesetzt und alle Daten gelöscht werden.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3889 A-29194585 [ 2 ] Mäßig Alles Nexus 6.0, 6.0.1, 7.0 Google intern

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Java Debug Wire Protocol

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Java Debug Wire Protocol kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext einer Anwendung mit erhöhtem System auszuführen. Dieses Problem wird als mittel eingestuft, da eine ungewöhnliche Gerätekonfiguration erforderlich ist.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3890 A-28347842 [ 2 ] Mäßig Keiner* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google intern

* Unterstützte Nexus-Geräte unter Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Mediaserver kann es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne Erlaubnis auf vertrauliche Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3895 A-29983260 Mäßig Alles Nexus 6.0, 6.0.1, 7.0 4. Juli 2016

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in AOSP Mail

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in AOSP Mail kann es einer lokalen bösartigen Anwendung ermöglichen, auf die privaten Informationen des Benutzers zuzugreifen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne Erlaubnis nicht ordnungsgemäß auf Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3896 A-29767043 Mäßig Keiner* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24. Juli 2016

* Unterstützte Nexus-Geräte unter Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Sicherheitslücke bei der Offenlegung von Informationen in Wi-Fi

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in der Wi-Fi-Konfiguration kann einer Anwendung den Zugriff auf vertrauliche Informationen ermöglichen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne Erlaubnis auf Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3897 A-25624963 [ 2 ] Mäßig Keiner* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5. November 2015

* Unterstützte Nexus-Geräte unter Android 7.0, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Denial-of-Service-Sicherheitslücke in der Telefonie

Eine Denial-of-Service-Sicherheitsanfälligkeit in der Telefoniekomponente kann es einer lokalen bösartigen Anwendung ermöglichen, 911 TTY-Anrufe von einem gesperrten Bildschirm aus zu verhindern. Dieses Problem wird aufgrund der Möglichkeit eines Denial-of-Service für eine kritische Funktion als mittel eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3898 A-29832693 Mäßig Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28. Juni 2016

Sicherheits-Patch-Stufe 2016-09-05 - Details zur Sicherheitsanfälligkeit

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-09-05 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, den aktualisierten Nexus-Geräten, den aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Kernel-Sicherheitssubsystem

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Sicherheitssubsystem kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2014-9529 A-29510361

Upstream-Kernel

Kritisch Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One 6. Januar 2015
CVE-2016-4470 A-29823941

Upstream-Kernel

Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player 15. Juni 2016

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Kernel-Netzwerksubsystem

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Netzwerksubsystem könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2013-7446 A-29119002

Upstream-Kernel

Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 18. November 2015

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Kernel-Netfilter-Subsystem

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Netfilter-Subsystem könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3134 A-28940694

Upstream-Kernel

Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 9. März 2016

Sicherheitsanfälligkeit bezüglich Erhöhung der Berechtigungen im Kernel-USB-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-USB-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3951 A-28744625

Upstream-Kernel [ 2 ]

Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 6. April 2016

Erhöhung der Sicherheitsanfälligkeit im Kernel-Sound-Subsystem

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Sound-Subsystem könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2014-4655 A-29916012

Upstream-Kernel

Hoch Nexus 5, Nexus 6, Nexus 9, Nexus Player 26. Juni 2014

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Kernel-ASN.1-Decoder

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-ASN.1-Decoder könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2053 A-28751627

Upstream-Kernel

Hoch Nexus 5X, Nexus 6P 25. Januar 2016

Erhöhung der Sicherheitsanfälligkeit in der Qualcomm-Funkschnittstellenschicht

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Funkschnittstellenschicht könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3864 A-28823714 *
QC-CR # 913117
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 29. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Qualcomm-Subsystemtreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Subsystemtreiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3858 A-28675151
QC-CR # 1022641
Hoch Nexus 5X, Nexus 6P 9. Mai 2016

Erhöhung der Berechtigungsanfälligkeit im Kernel-Netzwerktreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Netzwerktreiber könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-4805 A-28979703

Upstream-Kernel

Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 15. Mai 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Synaptics-Touchscreen-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Synaptics-Touchscreen-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3865 A-28799389 * Hoch Nexus 5X, Nexus 9 16. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm-Kameratreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Kameratreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3859 A-28815326 *
QC-CR # 1034641
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 17. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm-Soundtreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Soundtreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3866 A-28868303 *
QC-CR # 1032820
Hoch Nexus 5X, Nexus 6, Nexus 6P 18. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Qualcomm IPA-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm IPA-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3867 A-28919863 *
QC-CR # 1037897
Hoch Nexus 5X, Nexus 6P 21. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm Power Power

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Leistungstreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3868 A-28967028 *
QC-CR # 1032875
Hoch Nexus 5X, Nexus 6P 25. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Broadcom Wi-Fi-Treibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Broadcom Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3869 A-29009982 *
B-RB # 96070
Hoch Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C. 27. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Kernel-eCryptfs-Dateisystem

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im eCryptfs-Dateisystem des Kernels kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-1583 A-29444228
Upstream-Kernel [ 2 ] [ 3 ]
Hoch Pixel C. 1. Juni 2016

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im NVIDIA-Kernel

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im NVIDIA-Kernel kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hochgradig eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3873 A-29518457 *
N-CVE-2016-3873
Hoch Nexus 9 20. Juni 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Qualcomm Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3874 A-29944562
QC-CR # 997797 [ 2 ]
Hoch Nexus 5X 1. Juli 2016

Denial-of-Service-Sicherheitsanfälligkeit im Kernel-Netzwerksubsystem

Eine Denial-of-Service-Sicherheitsanfälligkeit im Kernel-Netzwerksubsystem kann es einem Angreifer ermöglichen, ein Gerät hängen zu lassen oder neu zu starten. This issue is rated as High due to the possibility of a temporary remote denial of service.

CVE References Severity Updated Nexus devices Date reported
CVE-2015-1465 A-29506807

Upstream kernel

High Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One Feb 3, 2015
CVE-2015-5364 A-29507402

Upstream kernel

High Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One Jun 30, 2015

Denial of service vulnerability in kernel ext4 file system

A denial of service vulnerability in the kernel ext4 file system could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Nexus devices Date reported
CVE-2015-8839 A-28760453* High Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One Apr 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm SPMI driver

An information disclosure vulnerability in the Qualcomm SPMI driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3892 A-28760543*
QC-CR#1024197
Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P May 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound codec

An information disclosure vulnerability in the Qualcomm sound codec could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3893 A-29512527
QC-CR#856400
Moderate Nexus 6P Jun 20, 2016

Information disclosure vulnerability in Qualcomm DMA component

An information disclosure vulnerability in the Qualcomm DMA component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3894 A-29618014*
QC-CR#1042033
Moderate Nexus 6 Jun 23, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel networking subsystem

An information disclosure vulnerability in the kernel networking subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-4998 A-29637687
Upstream kernel [ 2 ]
Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One Jun 24, 2016

Denial of service vulnerability in kernel networking subsystem

A denial of service vulnerability in the kernel networking subsystem could enable an attacker to block access to Wi-Fi capabilities.This issue is rated as Moderate due to the possibility of a temporary remote denial of service of the Wi-Fi capabilities.

CVE References Severity Updated Nexus devices Date reported
CVE-2015-2922 A-29409847

Upstream kernel

Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One Apr 4, 2015

Vulnerabilities in Qualcomm components

The table below contains security vulnerabilities affecting Qualcomm components, potentially including the bootloader, camera driver, character driver, networking, sound driver, and video driver.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-2469 QC-CR#997025 High None Jun 2016
CVE-2016-2469 QC-CR#997015 Moderate None Jun 2016

2016-09-06 security patch level—Vulnerability details

In the sections below, we provide details for each of the security vulnerabilities that apply to the 2016-09-06 patch level. There is a description of the issue, a severity rationale, and a table with the CVE, associated references, severity, updated Nexus devices, updated AOSP versions (where applicable), and date reported. When available, we will link the public change that addressed the issue to the bug ID, like the AOSP change list. When multiple changes relate to a single bug, additional references are linked to numbers following the bug ID.

Elevation of privilege vulnerability in kernel shared memory subsystem

An elevation of privilege vulnerability in the kernel shared memory subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-5340 A-30652312
QC-CR#1008948
Critical Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One Jul 26, 2016

Elevation of privilege vulnerability in Qualcomm networking component

An elevation of privilege vulnerability in the Qualcomm networking component could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-2059 A-27045580
QC-CR#974577
High Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One Feb 4, 2016

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

Security Patch Levels of 2016-09-01 or later address all issues associated with the 2016-09-01 security patch string level. Security Patch Levels of 2016-09-05 or later address all issues associated with the 2016-09-05 security patch string level. Security Patch Levels of 2016-09-06 or later address all issues associated with the 2016-09-06 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], or [ro.build.version.security_patch]:[2016-09-06].

2. Why does this bulletin have three security patch level strings?

This bulletin has three security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the September 6, 2016 security patch level or newer must include all applicable patches in this (and previous) security bulletins. This patch level was created to addresses issues that were discovered after partners were first notified of most issues in this bulletin.

Devices that use September 5, 2016 security patch level must include all issues associated with that security patch level, the September 1, 2016 security patch level and fixes for all issues reported in previous security bulletins. Devices that use the September 5, 2016 security patch level may also include a subset of fixes associated with the September 6, 2016 security patch level.

Devices that use September 1, 2016 security patch level must include all issues associated with that security patch level as well as fixes for all issues reported in previous security bulletins. Devices that use the September 1, 2016 security patch level may also include a subset of fixes associated with the September 5, 2016 and September 6, 2016 security patch levels.

3 . How do I determine which Nexus devices are affected by each issue?

In the 2016-09-01 , 2016-09-05 , and 2016-09-06 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • September 06, 2016: Bulletin published.
  • September 07, 2016: Bulletin revised to include AOSP links.
  • September 12, 2016: Bulletin revised to update attribution for CVE-2016-3861 and remove CVE-2016-3877.