Google setzt sich dafür ein, die Rassengerechtigkeit für schwarze Gemeinschaften zu fördern. Siehe wie.
Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Android Security Bulletin - Oktober 2016

Veröffentlicht am 03. Oktober 2016 | Aktualisiert am 04. Oktober 2016

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein OTA-Update (Over-the-Air) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht . Sicherheits-Patch-Levels vom 05. Oktober 2016 oder höher beheben diese Probleme. In der Dokumentation erfahren Sie, wie Sie die Sicherheits-Patch-Stufe überprüfen. Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit der Sicherheits-Patch-Stufe vom 05. Oktober 2016.

Die Partner wurden am 06. September 2016 oder früher über die im Bulletin beschriebenen Probleme informiert. Gegebenenfalls wurden Quellcode-Patches für diese Probleme im AOSP-Repository (Android Open Source Project) veröffentlicht. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Das schwerwiegendste dieser Probleme sind kritische Sicherheitslücken in gerätespezifischem Code, die die Ausführung von Remotecode im Kontext des Kernels ermöglichen können. Dies kann zu einem lokalen permanenten Gerätekompromiss führen, bei dem das Betriebssystem möglicherweise neu gestartet werden muss, um das Gerät zu reparieren . Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.

Wir haben keine Berichte über die aktive Ausbeutung oder den Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt zur Minderung von Android- und Google-Diensten .

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Dieses Bulletin enthält zwei Sicherheits-Patch-Level-Zeichenfolgen, die Android-Partnern die Flexibilität bieten, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Allgemeine Fragen und Antworten :
    • 2016-10-01 : Teilweise Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle mit dem 01.10.2016 verbundenen Probleme (und alle vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben sind.
    • 2016-10-05 : Vollständige Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle mit dem 01.10.2016 und dem 05.10.2016 verbundenen Probleme (und alle vorherigen String-Level-Sicherheitszeichenfolgen) behoben sind.
  • Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit der Sicherheits-Patch-Stufe vom 05. Oktober 2016.

Minderung von Android- und Google-Diensten

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie SafetyNet. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.

  • Die Nutzung vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv den Missbrauch, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Das Überprüfen von Apps ist auf Geräten mit Google Mobile Services standardmäßig aktiviert und besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten. Verify Apps warnt Benutzer jedoch, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren - unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagung

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Andre Teixeira Rizzo: CVE-2016-3882
  • Andrea Biondo: CVE-2016-3921
  • Daniel Micay von Copperhead Security: CVE-2016-3922
  • Dmitry Vyukov von Google: CVE-2016-7117
  • Dosomder: CVE-2016-3931
  • Ecular Xu (徐健) von Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @ chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
  • Hang Zhang , Dongdong She und Zhiyun Qian von UC Riverside: CVE-2015-8950
  • Hao Chen vom Alpha-Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • Jann Horn von Google Project Zero: CVE-2016-3900, CVE-2016-3885
  • Jason Rogena : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
  • Joshua Drake ( @jduck ): CVE-2016-3920
  • Maciej Szawłowski vom Google-Sicherheitsteam: CVE-2016-3905
  • Mark Brand von Google Project Zero: CVE-2016-6689
  • Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3933, CVE-2016-3932
  • Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5348
  • Roee Hay, IBM Security X-Force-Forscher: CVE-2016-6678
  • Samuel Tan von Google: CVE-2016-3925
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • Sieben Shen ( @lingtongshen ) vom Trend Micro Mobile Threat Research Team: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3909
  • Wenlin Yang und Guang Gong (old 广) ( @oldfresher ) vom Alpha-Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Wünschen Sie Wu ( 吴 潍 浠 ) ( @wish_wu) von Trend Micro Inc . : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • Yong Shi vom Eagleye-Team, SCC, Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行 之) ( @ 0xr0ot ) vom Sicherheitsforschungslabor, Cheetah Mobile : CVE-2016-3908

Sicherheits-Patch-Stufe 2016-10-01 - Details zur Sicherheitsanfälligkeit

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-10-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, den aktualisierten Nexus-Geräten, den aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in ServiceManager

Eine Erhöhung der Berechtigungen in ServiceManager kann es einer lokalen böswilligen Anwendung ermöglichen, beliebige Dienste zu registrieren, die normalerweise von einem privilegierten Prozess wie dem system_server bereitgestellt werden. Dieses Problem wird aufgrund der Möglichkeit eines Identitätswechsels als hochgradig eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3900 A-29431260 [ 2 ] Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15. Juni 2016

Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Sperreinstellungsdienst

Durch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Dienst für Sperreinstellungen kann eine lokale böswillige Anwendung die PIN oder das Kennwort des Geräts löschen. Dieses Problem wird als hoch eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen an Entwicklern oder Sicherheitseinstellungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3908 A-30003944 Hoch Alles Nexus 6.0, 6.0.1, 7.0 6. Juli 2016

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3909 A-30033990 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 8. Juli 2016
CVE-2016-3910 A-30148546 Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13. Juli 2016
CVE-2016-3913 A-30204103 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18. Juli 2016

Erhöhung der Sicherheitsanfälligkeit im Zygote-Prozess

Eine Erhöhung der Berechtigungen im Zygote-Prozess kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3911 A-30143607 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12. Juli 2016

Erhöhung der Sicherheitsanfälligkeit in Framework-APIs

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in den Framework-APIs kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3912 A-30202481 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 17. Juli 2016

Erhöhung der Sicherheitslücke in der Telefonie

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Telefoniekomponente kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3914 A-30481342 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28. Juli 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Kameradienst

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kameradienst kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3915 A-30591838 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 1. August 2016
CVE-2016-3916 A-30741779 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 2. August 2016

Erhöhung der Sicherheitsanfälligkeit bei der Anmeldung von Fingerabdrücken

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen während der Anmeldung per Fingerabdruck kann es einem böswilligen Gerätebesitzer ermöglichen, sich als ein anderes Benutzerkonto auf dem Gerät anzumelden. Dieses Problem wird aufgrund der Möglichkeit eines Bypasses des Sperrbildschirms als hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3917 A-30744668 Hoch Alles Nexus 6.0.1, 7.0 5. August 2016

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in AOSP Mail

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in AOSP Mail kann es einer lokalen bösartigen Anwendung ermöglichen, den Schutz des Betriebssystems zu umgehen, der Anwendungsdaten von anderen Anwendungen isoliert. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um ohne Erlaubnis auf Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3918 A-30745403 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5. August 2016

Denial-of-Service-Sicherheitslücke in Wi-Fi

Eine Denial-of-Service-Sicherheitsanfälligkeit in Wi-Fi kann es einem lokalen Angreifer in der Nähe ermöglichen, einen Hotspot zu erstellen und einen Neustart des Geräts zu veranlassen. Dieses Problem wird aufgrund der Möglichkeit eines vorübergehenden Remote-Denial-of-Service als hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3882 A-29464811 Hoch Alles Nexus 6.0, 6.0.1, 7.0 17. Juni 2016

Denial-of-Service-Sicherheitslücke in GPS

Eine Denial-of-Service-Sicherheitsanfälligkeit in der GPS-Komponente kann es einem Remote-Angreifer ermöglichen, ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit eines vorübergehenden Remote-Denial-of-Service als hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-5348 A-29555864 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 20. Juni 2016

Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver

Eine Denial-of-Service-Sicherheitsanfälligkeit in Mediaserver kann es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3920 A-30744884 Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5. August 2016

Erhöhung der Sicherheitsanfälligkeit in Framework Listener

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Framework Listener kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als mittel eingestuft, da zunächst ein privilegierter Prozess gefährdet werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3921 A-29831647 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 25. Juni 2016

Erhöhung der Sicherheitslücke in der Telefonie

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Telefonie kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als mittel eingestuft, da zunächst ein privilegierter Prozess gefährdet werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3922 A-30202619 Mäßig Alles Nexus 6.0, 6.0.1, 7.0 17. Juli 2016

Erhöhung der Sicherheitsanfälligkeit für Berechtigungen in Eingabehilfen

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in den Eingabehilfediensten kann es einer lokalen böswilligen Anwendung ermöglichen, unerwartete Berührungsereignisse auf dem Gerät zu generieren, die dazu führen können, dass Anwendungen Berechtigungsdialoge ohne die ausdrückliche Zustimmung des Benutzers akzeptieren. Dieses Problem wird als mittel eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen handelt, für die normalerweise entweder eine Benutzerinitiierung oder eine Benutzerberechtigung erforderlich ist.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3923 A-30647115 Mäßig Alles Nexus 7.0 Google intern

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen in Mediaserver kann es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es verwendet werden kann, um ohne Erlaubnis auf vertrauliche Daten zuzugreifen.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3924 A-30204301 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18. Juli 2016

Denial-of-Service-Sicherheitslücke in Wi-Fi

Eine Denial-of-Service-Sicherheitsanfälligkeit im Wi-Fi-Dienst kann es einer lokalen bösartigen Anwendung ermöglichen, Wi-Fi-Anrufe zu verhindern. Dieses Problem wird aufgrund der Möglichkeit eines Denial-of-Service für die Anwendungsfunktionalität als mittel eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum der Meldung
CVE-2016-3925 A-30230534 Mäßig Alles Nexus 6.0, 6.0.1, 7.0 Google intern

Sicherheits-Patch-Stufe 2016-10-05 - Details zur Sicherheitsanfälligkeit

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2016-10-05 gelten. Es gibt eine Beschreibung des Problems, eine Begründung des Schweregrads und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, den aktualisierten Nexus-Geräten, den aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern verknüpft, die auf die Fehler-ID folgen.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Kernel-ASN.1-Decoder

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-ASN.1-Decoder könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-0758 A-29814470
Upstream-Kernel
Kritisch Nexus 5X, Nexus 6P 12. Mai 2016

Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Kernel-Netzwerksubsystem

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Kernel-Netzwerksubsystem kann es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-7117 A-30515201
Upstream-Kernel
Kritisch Alles Nexus Google intern

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im MediaTek-Grafiktreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im MediaTek-Grafiktreiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3928 A-30019362 *
M-ALPS02829384
Kritisch Keiner 6. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im gemeinsam genutzten Kernel-Speichertreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im gemeinsam genutzten Kernel-Speichertreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines lokalen permanenten Gerätekompromisses als kritisch eingestuft, der möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-5340 A-30652312
QC-CR # 1008948
Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 26. Juli 2016

Sicherheitslücken in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die sich auf Qualcomm-Komponenten auswirken, und wird in den Sicherheitsbulletins Qualcomm AMSS März 2016 und Qualcomm AMSS April 2016 ausführlicher beschrieben.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3926 A-28823953 * Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Qualcomm intern
CVE-2016-3927 A-28823244 * Kritisch Nexus 5X, Nexus 6P Qualcomm intern
CVE-2016-3929 A-28823675 * Hoch Nexus 5X, Nexus 6P Qualcomm intern

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen in der Qualcomm-Netzwerkkomponente

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Qualcomm-Netzwerkkomponente kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-2059 A-27045580
QC-CR # 974577
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 4. Februar 2016

Sicherheitsanfälligkeit bezüglich Erhöhung der Berechtigungen im NVIDIA MMC-Testtreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im NVIDIA MMC-Testtreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3930 A-28760138 *
N-CVE-2016-3930
Hoch Nexus 9 12. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Qualcomm QSEE Communicator-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm QSEE Communicator-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3931 A-29157595
QC-CR # 1036418
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 4. Juni 2016

Erhöhung der Sicherheitsanfälligkeit in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Mediaserver kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3932 A-29161895
M-ALPS02770870
Hoch Keiner 6. Juni 2016
CVE-2016-3933 A-29421408 *
N-CVE-2016-3933
Hoch Nexus 9, Pixel C. 14. Juni 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm-Kameratreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Kameratreiber könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3903 A-29513227
QC-CR # 1040857
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 20. Juni 2016
CVE-2016-3934 A-30102557
QC-CR # 789704
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 12. Juli 2016

Erhöhung der Sicherheitsanfälligkeit in Qualcomm-Soundtreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Soundtreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2015-8951 A-30142668
QC-CR # 948902
QC-CR # 948902
Hoch Nexus 5X, Nexus 6P, Android One 20. Juni 2016

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Qualcomm Crypto Engine-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im kryptografischen Qualcomm-Engine-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3901 A-29999161
QC-CR # 1046434
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 6. Juli 2016
CVE-2016-3935 A-29999665
QC-CR # 1046507
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 6. Juli 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im MediaTek-Grafiktreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im MediaTek-Grafiktreiber kann es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3936 A-30019037 *
M-ALPS02829568
Hoch Keiner 6. Juli 2016
CVE-2016-3937 A-30030994 *
M-ALPS02834874
Hoch Keiner 7. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm-Videotreibern

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm-Videotreiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3938 A-30019716
QC-CR # 1049232
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 7. Juli 2016
CVE-2016-3939 A-30874196
QC-CR # 1001224
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 15. August 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Synaptics-Touchscreen-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Synaptics-Touchscreen-Treiber kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3940 A-30141991 * Hoch Nexus 6P, Android One 12. Juli 2016
CVE-2016-6672 A-30537088 * Hoch Nexus 5X 31. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitsanfälligkeit bezüglich Erhöhung der Berechtigungen im NVIDIA-Kameratreiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im NVIDIA-Kameratreiber könnte es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-6673 A-30204201 *
N-CVE-2016-6673
Hoch Nexus 9 17. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in system_server

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in system_server kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als hoch eingestuft, da es verwendet werden kann, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die normalerweise keine Drittanbieteranwendung zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-6674 A-30445380 * Hoch Alles Nexus 26. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Qualcomm Wi-Fi-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-3905 A-28061823
QC-CR # 1001449
Hoch Nexus 5X Google intern
CVE-2016-6675 A-30873776
QC-CR # 1000861
Hoch Nexus 5X, Android One 15. August 2016
CVE-2016-6676 A-30874066
QC-CR # 1000853
Hoch Nexus 5X, Android One 15. August 2016
CVE-2016-5342 A-30878283
QC-CR # 1032174
Hoch Android One 15. August 2016

Erhöhung der Sicherheitsanfälligkeit bezüglich Berechtigungen im Kernel-Leistungssubsystem

Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen im Kernel-Leistungssubsystem kann es einer lokalen böswilligen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2015-8955 A-29508816
Upstream-Kernel
Hoch Nexus 5X, Nexus 6P, Pixel C, Android One Google intern

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen im Kernel-ION-Subsystem

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen im Kernel-ION-Subsystem kann es einer lokalen böswilligen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als hoch eingestuft, da es ohne ausdrückliche Benutzerberechtigung für den Zugriff auf vertrauliche Daten verwendet werden kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2015-8950 A-29795245
QC-CR # 1041735
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 12. Mai 2016

Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen im NVIDIA GPU-Treiber

Eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen im NVIDIA-GPU-Treiber kann es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als hoch eingestuft, da zunächst ein privilegierter Prozess kompromittiert werden muss.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum der Meldung
CVE-2016-6677 A-30259955 *
N-CVE-2016-6677
Hoch Nexus 9 19. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Erhöhung der Sicherheitsanfälligkeit in Qualcomm-Charaktertreibern

An elevation of privilege vulnerability in the Qualcomm character driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process, and the vulnerable code is currently not accessible.

CVE References Severity Updated Nexus devices Date reported
CVE-2015-0572 A-29156684
QC-CR#848489
Moderate Nexus 5X, Nexus 6P May 28, 2016

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3860 A-29323142
QC-CR#1038127
Moderate Nexus 5X, Nexus 6P, Android One Jun 13, 2016

Information disclosure vulnerability in Motorola USBNet driver

An information disclosure vulnerability in the Motorola USBNet driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6678 A-29914434* Moderate Nexus 6 Jun 30, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm components

An information disclosure vulnerability in Qualcomm components, including the sound driver, IPA driver and Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6679 A-29915601
QC-CR#1000913 [ 2 ]
Moderate Nexus 5X, Android One Jun 30, 2016
CVE-2016-3902 A-29953313*
QC-CR#1044072
Moderate Nexus 5X, Nexus 6P, Jul 2, 2016
CVE-2016-6680 A-29982678*
QC-CR#1048052
Moderate Nexus 5X, Android One Jul 3, 2016
CVE-2016-6681 A-30152182
QC-CR#1049521
Moderate Nexus 5X, Nexus 6P, Android One Jul 14, 2016
CVE-2016-6682 A-30152501
QC-CR#1049615
Moderate Nexus 5X, Nexus 6P, Android One Jul 14, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components, including Binder, Sync, Bluetooth, and Sound driver, could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6683 A-30143283* Moderate All Nexus Jul 13, 2016
CVE-2016-6684 A-30148243* Moderate Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One Jul 13, 2016
CVE-2015-8956 A-30149612* Moderate Nexus 5, Nexus 6P, Android One Jul 14, 2016
CVE-2016-6685 A-30402628* Moderate Nexus 6P Jul 25, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA profiler

An information disclosure vulnerability in the NVIDIA profiler could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6686 A-30163101*
N-CVE-2016-6686
Moderate Nexus 9 Jul 15, 2016
CVE-2016-6687 A-30162222*
N-CVE-2016-6687
Moderate Nexus 9 Jul 15, 2016
CVE-2016-6688 A-30593080*
N-CVE-2016-6688
Moderate Nexus 9 Aug 2, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel

An information disclosure vulnerability in Binder could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6689 A-30768347* Moderate All Nexus Aug 9, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel networking subsystem

A denial of service vulnerability in the kernel networking subsystem could enable an attacker to block access to TCP connections and cause a temporary remote denial of service. This issue is rated as Moderate because cellular services are still available and the device is still usable.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-5696 A-30809774
Upstream kernel
Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One Jul 12, 2016

Denial of service vulnerability in kernel sound driver

A denial of service vulnerability in the kernel could allow a local malicious application to cause a device reboot. This issue is rated as Low because it is a temporary denial of service.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6690 A-28838221* Low Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player May 18, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Vulnerabilities in Qualcomm components

The table below contains a list of security vulnerabilities that affect Qualcomm components.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-6691 QC-CR#978452 High None Jul 2016
CVE-2016-6692 QC-CR#1004933 High None Aug 2016
CVE-2016-6693 QC-CR#1027585 High None Aug 2016
CVE-2016-6694 QC-CR#1033525 High None Aug 2016
CVE-2016-6695 QC-CR#1033540 High None Aug 2016
CVE-2016-6696 QC-CR#1041130 High None Aug 2016
CVE-2016-5344 QC-CR#993650 Moderate None Aug 2016
CVE-2016-5343 QC-CR#1010081 Moderate None Aug 2016

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

Security Patch Levels of 2016-10-01 or later address all issues associated with the 2016-10-01 security patch string level. Security Patch Levels of 2016-10-05 or later address all issues associated with the 2016-10-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-10-01] or [ro.build.version.security_patch]:[2016-10-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of October 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the October 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-10-01 and 2016-10-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • October 03, 2016: Bulletin published.
  • October 04, 2016: Bulletin revised to include AOSP links and update attributions for CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695, and CVE-2016-6696.