Google s'est engagé à promouvoir l'équité raciale pour les communautés noires. Regarde comment.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Bulletin de sécurité Android - novembre 2016

Publié le 7 novembre 2016 | Mis à jour le 21 décembre 2016

Le bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Parallèlement au bulletin, nous avons publié une mise à jour de sécurité pour les appareils Google via une mise à jour OTA (over-the-air). Les images du micrologiciel de l'appareil Google ont également été publiées sur le site des développeurs Google . Les niveaux de correctif de sécurité du 6 novembre 2016 ou version ultérieure résolvent tous ces problèmes. Reportez-vous au calendrier de mise à jour du Pixel et du Nexus pour savoir comment vérifier le niveau de correctif de sécurité d'un appareil.

Les partenaires ont été informés des problèmes décrits dans le bulletin le 20 octobre 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le référentiel Android Open Source Project (AOSP). Ce bulletin comprend également des liens vers des correctifs en dehors d'AOSP.

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes telles que le courrier électronique, la navigation Web et les MMS lors du traitement de fichiers multimédias. L' évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité aurait éventuellement sur un périphérique affecté, en supposant que les atténuations de plate-forme et de service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation active ou d'abus de la part des clients de ces problèmes récemment signalés. Reportez-vous à la section Atténuation des services Android et Google pour plus de détails sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet , qui améliorent la sécurité de la plate-forme Android.

Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.

Annonces

  • Avec l'introduction des appareils Pixel et Pixel XL, le terme pour tous les appareils pris en charge par Google est «appareils Google» au lieu de «appareils Nexus».
  • Ce bulletin comporte trois niveaux de correctifs de sécurité pour offrir aux partenaires Android la flexibilité nécessaire pour corriger plus rapidement un sous-ensemble de vulnérabilités similaires sur tous les appareils Android. Voir Questions et réponses courantes pour plus d'informations:
    • 01/11/2016 : Niveau de correctif de sécurité partiel. Ce niveau de correctif de sécurité indique que tous les problèmes associés à 2016-11-01 (et tous les niveaux de correctif de sécurité précédents) sont résolus.
    • 05/11/2016 : Niveau de correctif de sécurité complet. Ce niveau de correctif de sécurité indique que tous les problèmes associés aux 01/11/2016 et 05/11/2016 (et tous les niveaux de correctifs de sécurité précédents) sont résolus.
    • Niveaux de correctifs de sécurité supplémentaires

      Des niveaux de correctifs de sécurité supplémentaires sont fournis pour identifier les périphériques qui contiennent des correctifs pour les problèmes qui ont été divulgués publiquement après la définition du niveau de correctif. Il n'est pas nécessaire de remédier à ces vulnérabilités récemment révélées avant le niveau de correctif de sécurité 2016-12-01.

      • 2016-11-06 : Ce niveau de correctif de sécurité indique que l'appareil a résolu tous les problèmes associés à 2016-11-05 et CVE-2016-5195, qui a été divulgué publiquement le 19 octobre 2016.
  • Les appareils Google pris en charge recevront une seule mise à jour OTA avec le niveau de correctif de sécurité du 5 novembre 2016.

Atténuations des services Android et Google

Ceci est un résumé des atténuations fournies par la plate - forme de sécurité Android et les protections de service, telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android si possible.
  • L'équipe de sécurité Android surveille activement les abus avec Verify Apps et SafetyNet , qui sont conçus pour avertir les utilisateurs des applications potentiellement dangereuses . La vérification des applications est activée par défaut sur les appareils équipés des services mobiles Google et est particulièrement importante pour les utilisateurs qui installent des applications en dehors de Google Play. Les outils d'enracinement des appareils sont interdits dans Google Play, mais Verify Apps avertit les utilisateurs lorsqu'ils tentent d'installer une application d'enracinement détectée, peu importe d'où elle vient. En outre, Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une vulnérabilité d'escalade de privilèges. Si une telle application a déjà été installée, Verify Apps informera l'utilisateur et tentera de supprimer l'application détectée.
  • Le cas échéant, les applications Google Hangouts et Messenger ne transmettent pas automatiquement les fichiers multimédias à des processus tels que Mediaserver.

Remerciements

Nous remercions ces chercheurs pour leurs contributions:

  • Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité de Google Chrome: CVE-2016-6722
  • Andrei Kapishnikov et Miriam Gershenson de Google: CVE-2016-6703
  • Ao Wang ( @ArayzSegment ) et Zinuo Han de PKAV , Silence Information Technology: CVE-2016-6700, CVE-2016-6702
  • Askyshang du département de la plateforme de sécurité, Tencent: CVE-2016-6713
  • Billy Lau d'Android Security: CVE-2016-6737
  • Constantinos Patsakis et Efthimios Alepis de l'Université du Pirée: CVE-2016-6715
  • dragonltx de l'équipe de sécurité mobile d'Alibaba: CVE-2016-6714
  • Gal Beniamini de Project Zero: CVE-2016-6707, CVE-2016-6717
  • Gengjia Chen ( @ chengjia4574 ) et pjf d'IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
  • Guang Gong (龚 广) ( @oldfresher ) de l'équipe Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
  • Jianqiang Zhao ( @jianqiangzhao ) et pjf d'IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698
  • Marco Grassi ( @marcograss ) de Keen Lab of Tencent ( @keen_lab ): CVE-2016-6828
  • Marquez la marque de Project Zero: CVE-2016-6706
  • Mark Renouf de Google: CVE-2016-6724
  • Michał Bednarski ( github.com/michalbednarski ): CVE-2016-6710
  • Min Chong de la sécurité Android: CVE-2016-6743
  • Peter Pi ( @heisecode ) de Trend Micro: CVE-2016-6721
  • Qidan He (何 淇 丹) ( @flanker_hqd ) et Gengming Liu (刘 耕 铭) ( @dmxcsnsbh ) de KeenLab, Tencent: CVE-2016-6705
  • Robin Lee de Google: CVE-2016-6708
  • Scott Bauer ( @ ScottyBauer1 ): CVE-2016-6751
  • Sergey Bobrov ( @ Black2Fan ) de Kaspersky Lab: CVE-2016-6716
  • Seven Shen ( @lingtongshen ) de l'équipe de recherche sur les menaces mobiles de Trend Micro: CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
  • Victor van der Veen, Herbert Bos, Kaveh Razavi et Cristiano Giuffrida de la Vrije Universiteit Amsterdam et Yanick Fratantonio, Martina Lindorfer et Giovanni Vigna de l'Université de Californie, Santa Barbara: CVE-2016-6728
  • Weichao Sun ( @sunblate ) d'Alibaba Inc: CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
  • Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE : CVE-2016-6720
  • Wish Wu (吴 潍 浠) ( @wish_wu ) de Trend Micro Inc.: CVE-2016-6704
  • Yakov Shafranovich de Nightwatch Cybersecurity : CVE-2016-6723
  • Yuan-Tsung Lo , Yao Jun , Tong Lin , Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE : CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
  • Yuan-Tsung Lo , Yao Jun , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) et Xuxian Jiang de l' équipe C0RE : CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746

Remerciements supplémentaires à Zach Riggle d'Android Security pour ses contributions à plusieurs numéros de ce bulletin.

Niveau du correctif de sécurité du 01/11/2016 - Détails de vulnérabilité

Dans les sections ci-dessous, nous fournissons des détails sur chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif 2016-11-01. Il existe une description du problème, une justification de la gravité et un tableau avec la CVE, les références associées, la gravité, les appareils Google mis à jour, les versions AOSP mises à jour (le cas échéant) et la date indiquée. Lorsqu'il sera disponible, nous lierons la modification publique qui a résolu le problème à l'ID de bogue, comme la liste des modifications AOSP. Lorsque plusieurs modifications concernent un seul bogue, des références supplémentaires sont liées à des numéros suivant l'ID du bogue.

Vulnérabilité d'exécution de code à distance dans Mediaserver

Une vulnérabilité d'exécution de code à distance dans Mediaserver pourrait permettre à un attaquant utilisant un fichier spécialement conçu de corrompre la mémoire lors du traitement du fichier multimédia et des données. Ce problème est considéré comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du processus Mediaserver.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6699 A-31373622 Critique Tout 7,0 27 juil.2016

Vulnérabilité d'élévation de privilèges dans libzipfile

Une vulnérabilité d'élévation de privilèges dans libzipfile pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un processus privilégié. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6700 A-30916186 Critique Aucun* 4.4.4, 5.0.2, 5.1.1 17 août 2016

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas affectés par cette vulnérabilité.

Vulnérabilité d'exécution de code à distance dans Skia

Une vulnérabilité d'exécution de code à distance dans libskia pourrait permettre à un attaquant utilisant un fichier spécialement conçu de corrompre la mémoire lors du traitement du fichier multimédia et des données. Ce problème est considéré comme élevé en raison de la possibilité d'exécution de code à distance dans le contexte du processus de galerie.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6701 A-30190637 Haute Tout 7,0 Google interne

Vulnérabilité d'exécution de code à distance dans libjpeg

Une vulnérabilité d'exécution de code à distance dans libjpeg pourrait permettre à un attaquant utilisant un fichier spécialement conçu d'exécuter du code arbitraire dans le contexte d'un processus non privilégié. Ce problème est évalué comme élevé en raison de la possibilité d'exécution de code à distance dans une application qui utilise libjpeg.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6702 A-30259087 Haute Aucun* 4.4.4, 5.0.2, 5.1.1 19 juil.2016

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas affectés par cette vulnérabilité.

Vulnérabilité d'exécution de code à distance dans l'environnement d'exécution Android

Une vulnérabilité d'exécution de code à distance dans une bibliothèque d'exécution Android pourrait permettre à un attaquant utilisant une charge utile spécialement conçue d'exécuter du code arbitraire dans le contexte d'un processus non privilégié. Ce problème est considéré comme élevé en raison de la possibilité d'exécution de code à distance dans une application qui utilise l'environnement d'exécution Android.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6703 A-30765246 Haute Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google interne

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas affectés par cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans Mediaserver

Une vulnérabilité d'élévation de privilèges dans Mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un processus privilégié. Ce problème est noté Élevé car il pourrait être utilisé pour obtenir un accès local à des capacités élevées, qui ne sont normalement pas accessibles à une application tierce.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6704 A-30229821 [ 2 ] [ 3 ] Haute Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 juil.2016
CVE-2016-6705 A-30907212 [ 2 ] Haute Tout 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 août 2016
CVE-2016-6706 A-31385713 Haute Tout 7,0 8 sept. 2016

Vulnérabilité d'élévation de privilèges dans System Server

Une vulnérabilité d'élévation de privilèges dans System Server pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un processus privilégié. Ce problème est noté Élevé car il pourrait être utilisé pour obtenir un accès local à des capacités élevées, qui ne sont normalement pas accessibles à une application tierce.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6707 A-31350622 Haute Tout 6.0, 6.0.1 et 7.0 7 sept. 2016

Vulnérabilité d'élévation des privilèges dans l'interface utilisateur système

Une élévation de privilèges dans l'interface utilisateur système pourrait permettre à un utilisateur malveillant local de contourner l'invite de sécurité d'un profil professionnel en mode multi-fenêtres. Ce problème est considéré comme élevé car il s'agit d'un contournement local des exigences d'interaction de l'utilisateur pour tout développeur ou toute modification des paramètres de sécurité.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6708 A-30693465 Haute Tout 7,0 Google interne

Vulnérabilité de divulgation d'informations dans Conscrypt

Une vulnérabilité de divulgation d'informations dans Conscrypt pourrait permettre à un attaquant d'accéder à des informations sensibles si une API de chiffrement héritée est utilisée par une application. Ce problème est considéré comme élevé, car il peut être utilisé pour accéder aux données sans autorisation.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6709 A-31081987 Haute Tout 6.0, 6.0.1 et 7.0 9 octobre 2015

Vulnérabilité de divulgation d'informations dans le gestionnaire de téléchargement

Une vulnérabilité de divulgation d'informations dans le gestionnaire de téléchargement pourrait permettre à une application malveillante locale de contourner les protections du système d'exploitation qui isolent les données d'application des autres applications. Ce problème est considéré comme élevé car il peut être utilisé pour accéder à des données auxquelles l'application n'a pas accès.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6710 A-30537115 [ 2 ] Haute Tout 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 juil.2016

Vulnérabilité de déni de service dans Bluetooth

Une vulnérabilité de déni de service dans Bluetooth pourrait permettre à un attaquant proche de bloquer l'accès Bluetooth à un appareil affecté. Ce problème est considéré comme élevé en raison de la possibilité d'un déni de service à distance.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2014-9908 A-28672558 Haute Aucun* 4.4.4, 5.0.2, 5.1.1 5 mai 2014

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas affectés par cette vulnérabilité.

Vulnérabilité de déni de service dans OpenJDK

Une vulnérabilité de déni de service à distance dans OpenJDK pourrait permettre à un attaquant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est considéré comme élevé en raison de la possibilité d'un déni de service à distance.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2015-0410 A-30703445 Haute Tout 7,0 16 janv.2015

Vulnérabilité de déni de service dans Mediaserver

Une vulnérabilité de déni de service à distance dans Mediaserver pourrait permettre à un attaquant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est considéré comme élevé en raison de la possibilité d'un déni de service à distance.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6711 A-30593765 Haute Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 août 2016
CVE-2016-6712 A-30593752 Haute Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 août 2016
CVE-2016-6713 A-30822755 Haute Tout 6.0, 6.0.1 et 7.0 11 août 2016
CVE-2016-6714 A-31092462 Haute Tout 6.0, 6.0.1 et 7.0 22 août 2016

* Les appareils Google pris en charge sur Android 7.0 ou version ultérieure qui ont installé toutes les mises à jour disponibles ne sont pas affectés par cette vulnérabilité.

Vulnérabilité d'élévation des privilèges dans les API Framework

Une vulnérabilité d'élévation de privilège dans les API Framework pourrait permettre à une application malveillante locale d'enregistrer de l'audio sans l'autorisation de l'utilisateur. Ce problème est considéré comme modéré car il s'agit d'un contournement local des exigences d'interaction de l'utilisateur (accès à des fonctionnalités qui nécessiteraient normalement l'initiation ou l'autorisation de l'utilisateur).

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6715 A-29833954 Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 juin 2016

Vulnérabilité d'élévation de privilèges dans AOSP Launcher

Une vulnérabilité d'élévation de privilèges dans le lanceur AOSP pourrait permettre à une application malveillante locale de créer des raccourcis dotés de privilèges élevés sans le consentement de l'utilisateur. Ce problème est considéré comme modéré car il s'agit d'un contournement local des exigences d'interaction de l'utilisateur (accès à des fonctionnalités qui nécessiteraient normalement l'initiation ou l'autorisation de l'utilisateur).

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6716 A-30778130 Modérer Tout 7,0 5 août 2016

Vulnérabilité d'élévation de privilèges dans Mediaserver

Une vulnérabilité d'élévation de privilèges dans Mediaserver pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'un processus privilégié. Ce problème est considéré comme modéré car il nécessite d'abord l'exploitation d'une vulnérabilité distincte.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6717 A-31350239 Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 7 sept. 2016

Vulnérabilité d'élévation des privilèges dans le service Account Manager

Une vulnérabilité d'élévation de privilèges dans le service Account Manager pourrait permettre à une application malveillante locale de récupérer des informations sensibles sans intervention de l'utilisateur. Ce problème est considéré comme modéré, car il s'agit d'un contournement local des exigences d'interaction de l'utilisateur (accès à des fonctionnalités qui nécessiteraient normalement l'initiation ou l'autorisation de l'utilisateur).

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6718 A-30455516 Modérer Tout 7,0 Google interne

Vulnérabilité d'élévation des privilèges dans Bluetooth

Une vulnérabilité d'élévation de privilèges dans le composant Bluetooth pourrait permettre à une application malveillante locale de s'associer à n'importe quel appareil Bluetooth sans le consentement de l'utilisateur. Ce problème est considéré comme modéré car il s'agit d'un contournement local des exigences d'interaction de l'utilisateur (accès à des fonctionnalités qui nécessiteraient normalement l'initiation ou l'autorisation de l'utilisateur).

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6719 A-29043989 [ 2 ] Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google interne

Vulnérabilité de divulgation d'informations dans Mediaserver

Une vulnérabilité de divulgation d'informations dans Mediaserver pourrait permettre à une application malveillante locale d'accéder à des données en dehors de ses niveaux d'autorisation. Ce problème est considéré comme modéré car il peut être utilisé pour accéder à des données sensibles sans autorisation.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6720 A-29422020 [ 2 ] [ 3 ] [ 4 ] Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 juin 2016
CVE-2016-6721 A-30875060 Modérer Tout 6.0, 6.0.1 et 7.0 13 août 2016
CVE-2016-6722 A-31091777 Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 août 2016

Vulnérabilité de déni de service dans Proxy Auto Config

Une vulnérabilité de déni de service dans Proxy Auto Config pourrait permettre à un attaquant distant d'utiliser un fichier spécialement conçu pour provoquer le blocage ou le redémarrage d'un appareil. Ce problème est considéré comme modéré car il nécessite une configuration de périphérique inhabituelle.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6723 A-30100884 [ 2 ] Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 11 juil.2016

Vulnérabilité de déni de service dans le service Input Manager

Une vulnérabilité de déni de service dans le service Input Manager pourrait permettre à une application malveillante locale de provoquer le redémarrage continu de l'appareil. Ce problème est considéré comme modéré car il s'agit d'un déni de service temporaire qui nécessite une réinitialisation d'usine pour le résoudre.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-6724 A-30568284 Modérer Tout 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google interne

Niveau du correctif de sécurité du 05/11/2016 - Détails de vulnérabilité

Dans les sections ci-dessous, nous fournissons des détails pour chacune des vulnérabilités de sécurité qui s'appliquent au niveau de correctif du 05/11/2016. Il existe une description du problème, une justification de la gravité et un tableau avec la CVE, les références associées, la gravité, les appareils Google mis à jour, les versions AOSP mises à jour (le cas échéant) et la date indiquée. Lorsque disponible, nous lierons la modification publique qui a résolu le problème à l'ID de bogue, comme la liste des modifications AOSP. Lorsque plusieurs modifications concernent un seul bogue, des références supplémentaires sont liées à des numéros suivant l'ID du bogue.

Vulnérabilité d'exécution de code à distance dans le pilote de cryptage Qualcomm

Une vulnérabilité d'exécution de code à distance dans le pilote de cryptage Qualcomm pourrait permettre à un attaquant distant d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du noyau.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-6725 A-30515053
QC-CR # 1050970
Critique Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 25 juil.2016

Vulnérabilité d'élévation des privilèges dans le système de fichiers du noyau

Une vulnérabilité d'élévation de privilèges dans le système de fichiers du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2015-8961 A-30952474
Noyau en amont
Critique Pixel, Pixel XL 18 octobre 2015
CVE-2016-7911 A-30946378
Noyau en amont
Critique Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 01 juil.2016
CVE-2016-7910 A-30942273
Noyau en amont
Critique Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 29 juil.2016

Vulnérabilité d'élévation de privilèges dans le pilote SCSI du noyau

Une vulnérabilité d'élévation de privilèges dans le pilote SCSI du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2015-8962 A-30951599
Noyau en amont
Critique Pixel, Pixel XL 30 octobre 2015

Vulnérabilité d'élévation des privilèges dans le pilote de support du noyau

Une vulnérabilité d'élévation de privilèges dans le pilote de support du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-7913 A-30946097
Noyau en amont
Critique Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL 28 janv.2016

Vulnérabilité d'élévation de privilèges dans le pilote USB du noyau

Une vulnérabilité d'élévation de privilèges dans le pilote USB du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-7912 A-30950866
Noyau en amont
Critique Pixel C, Pixel, Pixel XL 14 avr.2016

Vulnérabilité d'élévation de privilèges dans le sous-système ION du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système ION du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-6728 A-30400942 * Critique Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 25 juil.2016

* Le correctif de ce problème n'est pas accessible au public. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Google disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans le chargeur de démarrage Qualcomm

Une vulnérabilité d'élévation de privilèges dans le chargeur de démarrage Qualcomm pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-6729 A-30977990 *
QC-CR # 977684
Critique Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 25 juil.2016

* Le correctif de ce problème n'est pas accessible au public. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Google disponibles sur le site Google Developer .

Vulnérabilité d'élévation des privilèges dans le pilote GPU NVIDIA

Une vulnérabilité d'élévation de privilèges dans le pilote de GPU NVIDIA pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-6730 A-30904789 *
N-CVE-2016-6730
Critique Pixel C 16 août 2016
CVE-2016-6731 A-30906023 *
N-CVE-2016-6731
Critique Pixel C 16 août 2016
CVE-2016-6732 A-30906599 *
N-CVE-2016-6732
Critique Pixel C 16 août 2016
CVE-2016-6733 A-30906694 *
N-CVE-2016-6733
Critique Pixel C 16 août 2016
CVE-2016-6734 A-30907120 *
N-CVE-2016-6734
Critique Pixel C 16 août 2016
CVE-2016-6735 A-30907701 *
N-CVE-2016-6735
Critique Pixel C 16 août 2016
CVE-2016-6736 A-30953284 *
N-CVE-2016-6736
Critique Pixel C 18 août 2016

* Le correctif de ce problème n'est pas accessible au public. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Google disponibles sur le site Google Developer .

Vulnérabilité d'élévation de privilèges dans le sous-système de mise en réseau du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système de réseau du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-6828 A-31183296
Noyau en amont
Critique Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 18 août 2016

Vulnérabilité d'élévation des privilèges dans le sous-système de son du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système de son du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-2184 A-30952477
Noyau en amont
Critique Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 31 mars 2016

Vulnérabilité d'élévation de privilèges dans le sous-système ION du noyau

Une vulnérabilité d'élévation de privilèges dans le sous-système ION du noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est considéré comme critique en raison de la possibilité d'une compromission permanente de l'appareil local, ce qui peut nécessiter de reflasher le système d'exploitation pour réparer l'appareil.

CVE Références Gravité Appareils Google mis à jour Date signalée
CVE-2016-6737 A-30928456 * Critique Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Google interne

* Le correctif de ce problème n'est pas accessible au public. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Google disponibles sur le site Google Developer .

Vulnérabilités dans les composants Qualcomm

Le tableau ci-dessous contient des vulnérabilités de sécurité affectant les composants Qualcomm et sont décrits plus en détail dans le bulletin de sécurité Qualcomm AMSS de juin 2016 et dans l'alerte de sécurité 80-NV606-17.

CVE Références Gravité* Appareils Google mis à jour Date signalée
CVE-2016-6727 A-31092400 ** Critique Android One Interne Qualcomm
CVE-2016-6726 A-30775830 ** Haute Nexus 6, Android One Interne Qualcomm

* L'indice de gravité de ces vulnérabilités a été déterminé par le fournisseur.

** Le correctif de ce problème n'est pas accessible au public. La mise à jour est contenue dans les derniers pilotes binaires pour les appareils Google disponibles sur le site Google Developer .

Vulnérabilité d'exécution de code à distance dans Expat

Le tableau ci-dessous contient les vulnérabilités de sécurité affectant la bibliothèque Expat. Le plus grave de ces problèmes est une vulnérabilité d'élévation de privilèges dans l'analyseur XML Expat, qui pourrait permettre à un attaquant utilisant un fichier spécialement conçu d'exécuter du code arbitraire dans un processus non privilégié. Ce problème est considéré comme élevé en raison de la possibilité d'exécution de code arbitraire dans une application qui utilise Expat.

CVE Références Gravité Appareils Google mis à jour Versions AOSP mises à jour Date signalée
CVE-2016-0718 A-28698301 Haute Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 mai 2016
CVE-2012-6702 A-29149404 Modérer Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 06 mars 2016
CVE-2016-5300 A-29149404 Modérer Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 04 juin 2016
CVE-2015-1283 A-27818751 Faible Aucun* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 juil.2015

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Remote code execution vulnerability in Webview

A remote code execution vulnerability in Webview could enable a remote attacker to execute arbitrary code when the user is navigating to a website. This issue is rated as High due to the possibility of remote code execution in an unprivileged process.

CVE References Severity Updated Google devices Updated AOSP versions Date reported
CVE-2016-6754 A-31217937 High None* 5.0.2, 5.1.1, 6.0, 6.0.1 Aug 23, 2016

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Remote code execution vulnerability in Freetype

A remote code execution vulnerability in Freetype could enable a local malicious application to load a specially crafted font to cause memory corruption in an unprivileged process. This issue is rated as High due to the possibility of remote code execution in applications that use Freetype.

CVE References Severity Updated Google devices Updated AOSP versions Date reported
CVE-2014-9675 A-24296662 [ 2 ] High None* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google internal

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Elevation of privilege vulnerability in kernel performance subsystem

An elevation of privilege vulnerability in the kernel performance subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2015-8963 A-30952077
Upstream kernel
High Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Dec 15, 2015

Elevation of privilege vulnerability in kernel system-call auditing subsystem

An elevation of privilege vulnerability in the kernel system-call auditing subsystem could enable a local malicious application to disrupt system-call auditing in the kernel. This issue is rated as High because it is a general bypass for a kernel-level defense in depth or exploit mitigation technology.

CVE References Severity Updated Google devices Date reported
CVE-2016-6136 A-30956807
Upstream kernel
High Android One, Pixel C, Nexus Player Jul 1, 2016

Elevation of privilege vulnerability in Qualcomm crypto engine driver

An elevation of privilege vulnerability in the Qualcomm crypto engine driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6738 A-30034511
QC-CR#1050538
High Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jul 7, 2016

Elevation of privilege vulnerability in Qualcomm camera driver

An elevation of privilege vulnerability in the Qualcomm camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6739 A-30074605*
QC-CR#1049826
High Nexus 5X, Nexus 6P, Pixel, Pixel XL Jul 11, 2016
CVE-2016-6740 A-30143904
QC-CR#1056307
High Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jul 12, 2016
CVE-2016-6741 A-30559423
QC-CR#1060554
High Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jul 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm bus driver

An elevation of privilege vulnerability in the Qualcomm bus driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-3904 A-30311977
QC-CR#1050455
High Nexus 5X, Nexus 6P, Pixel, Pixel XL Jul 22, 2016

Elevation of privilege vulnerability in Synaptics touchscreen driver

An elevation of privilege vulnerability in the Synaptics touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6742 A-30799828* High Nexus 5X, Android One Aug 9, 2016
CVE-2016-6744 A-30970485* High Nexus 5X Aug 19, 2016
CVE-2016-6745 A-31252388* High Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Sep 1, 2016
CVE-2016-6743 A-30937462* High Nexus 9, Android One Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components, including the human interface device driver, file system, and Teletype driver, could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Google devices Date reported
CVE-2015-8964 A-30951112
Upstream kernel
High Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Nov 27, 2015
CVE-2016-7915 A-30951261
Upstream kernel
High Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Jan 19, 2016
CVE-2016-7914 A-30513364
Upstream kernel
High Pixel C, Pixel, Pixel XL Apr 06, 2016
CVE-2016-7916 A-30951939
Upstream kernel
High Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL May 05, 2016

Information disclosure vulnerability in NVIDIA GPU driver

An information disclosure vulnerability in the NVIDIA GPU driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-6746 A-30955105*
N-CVE-2016-6746
High Pixel C Aug 18, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Denial of service vulnerability in Mediaserver

A denial of service vulnerability in Mediaserver could enable an attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-6747 A-31244612*
N-CVE-2016-6747
High Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components, including the process-grouping subsystem and the networking subsystem, could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-7917 A-30947055
Upstream kernel
Moderate Pixel C, Pixel, Pixel XL Feb 02, 2016
CVE-2016-6753 A-30149174* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL Jul 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm components

An information disclosure vulnerability in Qualcomm components including the GPU driver, power driver, SMSM Point-to-Point driver, and sound driver, could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6748 A-30076504
QC-CR#987018
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jul 12, 2016
CVE-2016-6749 A-30228438
QC-CR#1052818
Moderate Nexus 5X, Nexus 6P, Pixel, Pixel XL Jul 12, 2016
CVE-2016-6750 A-30312054
QC-CR#1052825
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jul 21, 2016
CVE-2016-3906 A-30445973
QC-CR#1054344
Moderate Nexus 5X, Nexus 6P Jul 27, 2016
CVE-2016-3907 A-30593266
QC-CR#1054352
Moderate Nexus 5X, Nexus 6P, Pixel, Pixel XL Aug 2, 2016
CVE-2016-6698 A-30741851
QC-CR#1058826
Moderate Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL Aug 2, 2016
CVE-2016-6751 A-30902162*
QC-CR#1062271
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Aug 15, 2016
CVE-2016-6752 A-31498159
QC-CR#987051
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

2016-11-06 security patch level—Vulnerability details

In the sections below, we provide details for each of the security vulnerabilities listed in the 2016-11-06 security patch level—Vulnerability summary above. There is a description of the issue, a severity rationale, and a table with the CVE, associated references, severity, updated Google devices, updated AOSP versions (where applicable), and date reported. When available, we will link the public change that addressed the issue to the bug ID, like the AOSP change list. When multiple changes relate to a single bug, additional references are linked to numbers following the bug ID.

Elevation of privilege vulnerability in kernel memory subsystem

An elevation of privilege vulnerability in the kernel memory subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.

Note: A security patch level of 2016-11-06 indicates that this issue, as well as all issues associated with 2016-11-01 and 2016-11-05 are addressed.

CVE References Severity Updated kernel versions Date reported
CVE-2016-5195 A-32141528
Upstream kernel [ 2 ]
Critical 3.10, 3.18 Oct 12, 2016

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2016-11-01 or later address all issues associated with the 2016-11-01 security patch level.
  • Security patch levels of 2016-11-05 or later address all issues associated with the 2016-11-05 security patch level and all previous patch levels.
  • Security patch levels of 2016-11-06 or later address all issues associated with the 2016-11-06 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch level string to:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06].

2. Why does this bulletin have three security patch levels?

This bulletin has three security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the November 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of November 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.
  • Devices that use the security patch level of November 6, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-11-01 , 2016-11-05 , and 2016-11-06 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects all Nexus and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • November 07, 2016: Bulletin published.
  • November 08: Bulletin revised to include AOSP links and updated description for CVE-2016-6709.
  • November 17: Bulletin revised to include attribution for CVE-2016-6828.
  • December 21: Updated researcher credit.