Android Güvenlik Bülteni—Aralık 2016

05 Aralık 2016 tarihinde yayınlandı | 21 Aralık 2016 güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) bir güncelleme aracılığıyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazı donanım yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Aralık 2016 veya sonraki güvenlik yaması seviyeleri, tüm bu sorunları giderir. Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 07 Kasım 2016 veya daha önce bilgilendirildi. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantı verildi. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.

Bu sorunların en ciddi olanı, çekirdek bağlamında rastgele kod yürütülmesine olanak tanıyan ve aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesine yol açan aygıta özel koddaki kritik güvenlik açıklarıdır. . Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
    • 2016-12-01 : Kısmi güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-12-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik düzeltme eki düzeyi dizelerinin) ele alındığını gösterir.
    • 2016-12-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik yaması düzeyi dizesi, 2016-12-01 ve 2016-12-05 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizelerinin) ele alındığını gösterir.
  • Desteklenen Google cihazları, 05 Aralık 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.

Android ve Google hizmeti azaltmaları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirildi. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

  • Alibaba Mobil Güvenlik Grubundan Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang ve Yang Song: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
  • Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6789, CVE-2016-6790
  • Christian Seel: CVE-2016-6769
  • Google'dan David Benjamin ve Kenny Root: CVE-2016-6767
  • Di Shen ( @returnsme ) of KeenLab ( @keen_lab ), Tencent: CVE-2016-6776, CVE-2016-6787
  • MS509Team'den O ( @heeeeen4x ) : CVE-2016-6763
  • Gengjia Chen ( @chengjia4574 ), IceSword Lab'ın pjf'si , Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
  • Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd'nin pjf'si: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
  • C0RE Ekibinden Lubo Zhang , Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang : CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
  • Sıfır Projesi Marka Markası: CVE-2016-6772
  • Michał Bednarski : CVE-2016-6770, CVE-2016-6774
  • Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6760
  • C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-6759
  • Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ): CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
  • Nightwatch Siber Güvenlik Araştırması ( @nightwatchcyber ): CVE-2016-5341
  • Baidu X-Lab'dan Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬): CVE-2016-6755, CVE-2016-6756
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
  • Qidan He (何淇丹) ( @flanker_hqd ) of KeenLab, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
  • Qidan He (何淇丹) ( @flanker_hqd ) ve Marco Grassi ( @marcograss ) KeenLab, Tencent (腾讯科恩实验室): CVE-2016-6768
  • Richard Shupak: CVE-2016-5341
  • IBM X-Force Research'ten Sagi Kedmi: CVE-2016-8393, CVE-2016-8394
  • Trend Micro Inc. Mobil Tehdit Araştırma Ekibinden Seven Shen ( @lingtongshen ): CVE-2016-6757
  • Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-6773
  • Wenke Dou , Chi Zhang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6765
  • Trend Micro Inc. , Mobile Threat Response Team'den Wish Wu ( @wish_wu ) (吴潍浠) : CVE-2016-6704
  • Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
  • Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6777
  • Tencent Güvenlik Platformu Departmanından Yuxiang Li: CVE-2016-6771
  • Chengdu Güvenlik Müdahale Merkezi'nden Zhe Jin (金哲), Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766
  • Qihoo 360 Technology Co. Ltd.'nin Chengdu Güvenlik Müdahale Merkezi'nden Zinuo Han : CVE-2016-6762

Bottle Tech'den MengLuo Gou'ya ( @idhyt3r ), Yong Wang'a (王勇) ( @ThomasKing2014 ) ve Google'dan Zubin Mithra'ya bu güvenlik bültenine katkılarından dolayı ayrıca teşekkür ederiz.

2016-12-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-12-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

CURL/LIBCURL'de uzaktan kod yürütme güvenlik açığı

Tablo, CURL ve LIBCURL kitaplıklarını etkileyen güvenlik açıklarını içerir. En ciddi sorun, sahte bir sertifika kullanan ortadaki adam saldırganının ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Saldırganın sahte bir sertifikaya ihtiyaç duyması nedeniyle bu sorun Yüksek olarak derecelendirildi.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-5419 A-31271247 Yüksek Herşey 7.0 3 Ağu 2016
CVE-2016-5420 A-31271247 Yüksek Herşey 7.0 3 Ağu 2016
CVE-2016-5421 A-31271247 Yüksek Herşey 7.0 3 Ağu 2016

libziparchive'de ayrıcalık yükselmesi güvenlik açığı

libziparchive kitaplığındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6762 A-31251826 [ 2 ] Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 Ağu 2016

Telefonda hizmet reddi güvenlik açığı

Telephony'deki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın özel hazırlanmış bir dosyayı kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmasına olanak verebilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6763 A-31530456 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 Eylül 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6766 A-31318219 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 Eylül 2016
CVE-2016-6765 A-31449945 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 7.0 13 Eylül 2016
CVE-2016-6764 A-31681434 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 22 Eylül 2016
CVE-2016-6767 A-31833604 Yüksek Hiçbiri* 4.4.4 Google dahili

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Framesequence kitaplığında Uzaktan Kod Yürütme güvenlik açığı

Framesequence kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6768 A-31631842 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 Eylül 2016

Smart Lock'ta ayrıcalık yükselmesi güvenlik açığı

Smart Lock'taki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü niyetli bir kullanıcının PIN olmadan Smart Lock ayarlarına erişmesine olanak verebilir. Bu sorun, ilk olarak, Smart Lock'un kullanıcı tarafından erişilen son ayarlar bölmesi olduğu, kilidi açılmış bir cihaza fiziksel erişim gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6769 A-29055171 Ilıman Hiçbiri* 5.0.2, 5.1.1, 6.0, 6.0.1 27 Mayıs 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı

Framework API'sindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, erişim düzeyinin ötesinde sistem işlevlerine erişmesine olanak sağlayabilir. Bu sorun, kısıtlı bir süreçteki kısıtlamaların yerel olarak atlanması olduğu için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6770 A-30202228 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 Tem 2016

Telefonda ayrıcalık yükselmesi güvenlik açığı

Telefondaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, erişim düzeyinin ötesinde sistem işlevlerine erişmesine olanak sağlayabilir. Bu sorun, kısıtlı bir süreçteki kısıtlamaların yerel olarak atlanması olduğu için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6771 A-31566390 Ilıman Herşey 6.0, 6.0.1, 7.0 17 Eylül 2016

Wi-Fi'de ayrıcalık yükselmesi güvenlik açığı

Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6772 A-31856351 [ 2 ] Ilıman Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 Eylül 2016

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6773 A-30481714 [ 2 ] Ilıman Herşey 6.0, 6.0.1, 7.0 27 Tem 2016

Paket Yöneticisi'nde bilginin açığa çıkması güvenlik açığı

Paket Yöneticisi'ndeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-6774 A-31251489 Ilıman Herşey 7.0 29 Ağu 2016

2016-12-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-12-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-4794 A-31596597
Yukarı akış çekirdeği [ 2 ]
kritik Piksel C, Piksel, Piksel XL 17 Nis 2016
CVE-2016-5195 A-32141528
Yukarı akış çekirdeği [ 2 ]
kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 12 Ekim 2016

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6775 A-31222873*
N-CVE-2016-6775
kritik Bağlantı Noktası 9 25 Ağu 2016
CVE-2016-6776 A-31680980*
N-CVE-2016-6776
kritik Bağlantı Noktası 9 22 Eylül 2016
CVE-2016-6777 A-31910462*
N-CVE-2016-6777
kritik Bağlantı Noktası 9 3 Eki 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2015-8966 A-31435731
yukarı akış çekirdeği
kritik Hiçbiri* 10 Eylül 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6915 A-31471161*
N-CVE-2016-6915
kritik Bağlantı Noktası 9 13 Eylül 2016
CVE-2016-6916 A-32072350*
N-CVE-2016-6916
kritik Nexus 9, Piksel C 13 Eylül 2016
CVE-2016-6917 A-32072253*
N-CVE-2016-6917
kritik Bağlantı Noktası 9 13 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Çekirdek ION sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ION sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-9120 A-31568617
yukarı akış çekirdeği
kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Oynatıcı 16 Eylül 2016

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Kasım 2015 güvenlik bülteninde daha ayrıntılı olarak açıklanmıştır.

CVE Referanslar önem* Google cihazları güncellendi Bildirilen tarih
CVE-2016-8411 A-31805216** kritik Nexus 6, Nexus 6P, Android Bir Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2014-4014 A-31252187
yukarı akış çekirdeği
Yüksek Nexus 6, Nexus Oynatıcı 10 Haz 2014

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrı bir güvenlik açığından yararlanılmasını gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2015-8967 A-31703084
yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6P, Nexus 9, Piksel C, Piksel, Piksel XL 8 Ocak 2015

HTC ses codec sürücüsünde ayrıcalık yükselmesi güvenlik açığı

HTC ses codec bileşeni sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6778 A-31384646* Yüksek Bağlantı Noktası 9 25 Şub 2016
CVE-2016-6779 A-31386004* Yüksek Bağlantı Noktası 9 25 Şub 2016
CVE-2016-6780 A-31251496* Yüksek Bağlantı Noktası 9 30 Ağu 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6492 A-28175122
MT-ALPS02696413
Yüksek Hiçbiri* 11 Nis 2016
CVE-2016-6781 A-31095175
MT-ALPS02943455
Yüksek Hiçbiri* 22 Ağu 2016
CVE-2016-6782 A-31224389
MT-ALPS02943506
Yüksek Hiçbiri* 24 Ağu 2016
CVE-2016-6783 A-31350044
MT-ALPS02943437
Yüksek Hiçbiri* 6 Eylül 2016
CVE-2016-6784 A-31350755
MT-ALPS02961424
Yüksek Hiçbiri* 6 Eylül 2016
CVE-2016-6785 A-31748056
MT-ALPS02961400
Yüksek Hiçbiri* 25 Eylül 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm medya kodeklerinde ayrıcalık yükselmesi güvenlik açığı

Qualcomm medya kodeklerindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6761 A-29421682*
QC-CR#1055792
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 16 Haz 2016
CVE-2016-6760 A-29617572*
QC-CR#1055783
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 23 Haz 2016
CVE-2016-6759 A-29982686*
QC-CR#1055766
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 4 Tem 2016
CVE-2016-6758 A-30148882*
QC-CR#1071731
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 13 Tem 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6755 A-30740545
QC-CR#1065916
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 3 Ağu 2016

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6786 A-30955111 Yukarı akış çekirdeği Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 18 Ağu 2016
CVE-2016-6787 A-31095224 Yukarı akış çekirdeği Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 22 Ağu 2016

MediaTek I2C sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek I2C sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6788 A-31224428
MT-ALPS02943467
Yüksek Hiçbiri* 24 Ağu 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA libomx kitaplığında ayrıcalık yükselmesi güvenlik açığı

NVIDIA libomx kitaplığındaki (libnvomx) bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6789 A-31251973*
N-CVE-2016-6789
Yüksek Piksel C 29 Ağu 2016
CVE-2016-6790 A-31251628*
N-CVE-2016-6790
Yüksek Piksel C 28 Ağu 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6791 A-31252384
QC-CR#1071809
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 31 Ağu 2016
CVE-2016-8391 A-31253255
QC-CR#1072166
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 31 Ağu 2016
CVE-2016-8392 A-31385862
QC-CR#1073136
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 8 Eylül 2016

Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2015-7872 A-31253168
yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 31 Ağu 2016

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8393 A-31911920* Yüksek Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 Eylül 2016
CVE-2016-8394 A-31913197* Yüksek Nexus 9, Android Bir 8 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2014-9909 A-31676542
B-RB#26684
Yüksek Hiçbiri* 21 Eylül 2016
CVE-2014-9910 A-31746399
B-RB#26710
Yüksek Hiçbiri* 26 Eylül 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek video sürücüsünde bilginin açığa çıkması güvenlik açığı

MediaTek video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8396 A-31249105 Yüksek Hiçbiri* 26 Ağu 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8397 A-31385953*
N-CVE-2016-8397
Yüksek Bağlantı Noktası 9 8 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

GPS'de hizmet reddi güvenlik açığı

Qualcomm GPS bileşenindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-5341 A-31470303* Yüksek Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 21 Haz 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

NVIDIA kamera sürücüsünde hizmet reddi güvenlik açığı

NVIDIA kamera sürücüsündeki bir hizmet reddi güvenlik açığı, bir saldırganın aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı hizmet reddine neden olmasına olanak verebilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
Yüksek Piksel C 9 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği ve mevcut derleyici optimizasyonları güvenlik açığı bulunan koda erişimi kısıtladığı için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8399 A-31349935* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 5 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Qualcomm bileşenlerinde bilgi ifşa güvenlik açığı

Kamera sürücüsü ve video sürücüsü de dahil olmak üzere Qualcomm bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-6756 A-29464815
QC-CR#1042068 [ 2 ]
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 17 Haz 2016
CVE-2016-6757 A-30148242
QC-CR#1052821
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL 13 Tem 2016

NVIDIA librm kitaplığında bilgi ifşası güvenlik açığı

NVIDIA librm kitaplığındaki (libnvrm) bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
Ilıman Piksel C 29 Ağu 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı

ION alt sistemi, Binder, USB sürücüsü ve ağ alt sistemi dahil olmak üzere çekirdek bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8401 A-31494725* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 Eylül 2016
CVE-2016-8402 A-31495231* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 Eylül 2016
CVE-2016-8403 A-31495348* Ilıman Bağlantı Noktası 9 13 Eylül 2016
CVE-2016-8404 A-31496950* Ilıman Bağlantı Noktası 9 13 Eylül 2016
CVE-2016-8405 A-31651010* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 21 Eylül 2016
CVE-2016-8406 A-31796940* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 27, 2016
CVE-2016-8407 A-31802656* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
Ilıman Nexus 9 Sep 13, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
Ilıman Nexus 9 Sep 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8410 A-31498403
QC-CR#987010
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One Google internal

Common Questions and Answers

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.

  • Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
  • Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. These prefixes map as follows:

Önek Referans
A- Android hata kimliği
KK- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revisions

  • December 05, 2016: Bulletin published.
  • December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
  • December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.