نشرة أمان Android - كانون الأول (ديسمبر) 2016

تم النشر في 05 ديسمبر 2016 | تم التحديث في 21 ديسمبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، أصدرنا تحديثًا أمنيًا لأجهزة Google من خلال تحديث عبر الأثير (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 ديسمبر 2016 أو ما بعده تعالج كل هذه المشكلات. راجع الجدول الزمني لتحديث Pixel و Nexus للتعرف على كيفية التحقق من مستوى تصحيح أمان الجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 07 نوفمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP) وربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

أخطر هذه المشكلات هي الثغرات الأمنية الحرجة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تتيح تنفيذ تعليمات برمجية عشوائية في سياق النواة ، مما يؤدي إلى إمكانية حدوث اختراق محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل ملفات نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 2016-12-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-12-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2016-12-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-12-01 و2016-12-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديث OTA واحد بمستوى تصحيح الأمان في 05 ديسمبر 2016.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي للأمان في Android وإجراءات حماية الخدمة ، مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Baozeng Ding و Chengming Yang و Peng Xiao و Ning You و Yang Dong و Chao Yang و Yi Zhang و Yang Song of Alibaba Mobile Security Group: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
  • Chi Zhang ، Mingjian Zhou (Mingjian_Zhou) ، Chiachih Wu ( chiachih_wu ) ، و Xuxian Jiang من فريق C0RE : CVE-2016-6789، CVE-2016-6790
  • كريستيان سيل: CVE-2016-6769
  • David Benjamin and Kenny Root of Google: CVE-2016-6767
  • Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-6776 ، CVE-2016-6787
  • En He ( @ heeeeen4x ) من MS509Team : CVE-2016-6763
  • Gengjia Chen ( @ chengjia4574pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6779، CVE-2016-6778، CVE-2016-8401، CVE-2016-8402، CVE-2016-8403، CVE-2016-8409 ، CVE-2016-8408 ، CVE-2016-8404
  • Jianqiang Zhao ( jianqiangzhao ) و pjf من IceSword Lab ، Qihoo 360 Technology Co. Ltd: CVE-2016-6788، CVE-2016-6781، CVE-2016-6782، CVE-2016-8396
  • Lubo Zhang و Tong Lin و Yuan-Tsung Lo و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6791، CVE-2016-8391، CVE-2016-8392
  • وضع علامة على العلامة التجارية للمشروع صفر: CVE-2016-6772
  • Michał Bednarski : CVE-2016-6770، CVE-2016-6774
  • Mingjian Zhou ( Mingjian_Zhou ) و Chi Zhang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
  • Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6760
  • Mingjian Zhou ( Mingjian_Zhou ) و Hanxiang Wen و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6759
  • ناثان كراندال ( natecray ) من فريق أمان منتجات Tesla Motors: CVE-2016-6915، CVE-2016-6916، CVE-2016-6917
  • Nightwatch Cybersecurity Research ( nightwatchcyber ): CVE-2016-5341
  • Pengfei Ding (丁鹏飞)، Chenfu Bao (包 沉浮)، Lenx Wei (韦 韬) من Baidu X-Lab: CVE-2016-6755، CVE-2016-6756
  • Peter Pi ( heisecode ) من Trend Micro: CVE-2016-8397، CVE-2016-8405، CVE-2016-8406، CVE-2016-8407
  • Qidan He (何 淇 丹) ( flanker_hqd ) من KeenLab ، Tencent (腾讯 科恩 实验室): CVE-2016-8399، CVE-2016-8395
  • كيدان هي (何 淇 丹) ( flanker_hqd ) وماركو غراسي ( marcograss ) من كين لاب ، تينسنت (腾讯 科恩 实验室): CVE-2016-6768
  • ريتشارد شوباك: CVE-2016-5341
  • Sagi Kedmi من IBM X-Force Research: CVE-2016-8393، CVE-2016-8394
  • Seven Shen ( lingtongshen ) من فريق Mobile Threat Research Team ، Trend Micro Inc .: CVE-2016-6757
  • Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-6773
  • Wenke Dou و Chi Zhang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6765
  • Wish Wu ( wish_wu ) (吴 潍 浠) من Mobile Threat Response Team ، Trend Micro Inc .: CVE-2016-6704
  • Yuan-Tsung Lo و Tong Lin و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6786، CVE-2016-6780، CVE-2016-6775
  • Yuan-Tsung Lo و Xiaodong Wang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6777
  • Yuxiang Li من Tencent Security Platform Department: CVE-2016-6771
  • Zhe Jin (金 哲) من مركز Chengdu Security Response Center ، شركة Qihoo 360 Technology Co. Ltd .: CVE-2016-6764، CVE-2016-6766
  • Zinuo Han of Chengdu Security Response Center التابع لشركة Qihoo 360 Technology Co. Ltd .: CVE-2016-6762

شكر إضافي لشكر MengLuo Gou ( @ idhyt3r ) من Bottle Tech و Yong Wang (王勇) ( @ ThomasKing2014 ) وزوبين ميثرا من Google على مساهماتهم في نشرة الأمان هذه.

2016-12-01 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2016-12-01. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في CURL / LIBCURL

يحتوي الجدول على ثغرات أمنية تؤثر على مكتبات CURL و LIBCURL. قد تؤدي المشكلة الأكثر خطورة إلى تمكين مهاجم الرجل الوسيط باستخدام شهادة مزورة لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لحاجة المهاجم إلى شهادة مزورة.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-5419 A-31271247 عالٍ الجميع 7.0 3 أغسطس 2016
CVE-2016-5420 A-31271247 عالٍ الجميع 7.0 3 أغسطس 2016
CVE-2016-5421 A-31271247 عالٍ الجميع 7.0 3 أغسطس 2016

ارتفاع ضعف الامتياز في libziparchive

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكتبة libziparchive إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6762 A-31251826 [ 2 ] عالٍ الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 28 أغسطس 2016

ضعف رفض الخدمة في الهتفية

قد يؤدي رفض وجود ثغرة أمنية في الخدمة في Telephony إلى تمكين تطبيق ضار محلي من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة المحلي الدائم.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6763 A-31530456 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 12 سبتمبر 2016

ضعف رفض الخدمة في Mediaserver

قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6766 A-31318219 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 5 سبتمبر 2016
CVE-2016-6765 A-31449945 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 7.0 13 سبتمبر 2016
CVE-2016-6764 A-31681434 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 22 سبتمبر 2016
CVE-2016-6767 A-31833604 عالٍ لا أحد* 4.4.4 جوجل الداخلية

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بامتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم مكتبة Framesequence.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6768 A-31631842 عالٍ الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 19 سبتمبر 2016

ارتفاع مستوى ضعف الامتيازات في Smart Lock

يمكن أن يؤدي ارتفاع ثغرة الامتياز في Smart Lock إلى تمكين مستخدم ضار محلي من الوصول إلى إعدادات Smart Lock بدون رمز PIN. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً وصولاً فعليًا إلى جهاز غير مؤمن حيث كان Smart Lock هو آخر جزء من الإعدادات التي تم الوصول إليها من قبل المستخدم.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6769 أ -29055171 معتدل لا أحد* 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 27 مايو 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework

قد يؤدي ارتفاع ثغرة الامتياز في Framework API إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي للقيود على عملية مقيدة.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6770 أ -30202228 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 16 يوليو 2016

رفع مستوى ضعف الامتياز في الاتصالات الهاتفية

يمكن أن يؤدي ارتفاع ثغرة الامتياز في الهاتف إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي للقيود على عملية مقيدة.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6771 A-31566390 معتدل الجميع 6.0 ، 6.0.1 ، 7.0 17 سبتمبر 2016

ارتفاع ضعف الامتياز في شبكة Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في شبكة Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6772 A-31856351 [ 2 ] معتدل الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 30 سبتمبر 2016

ضعف الكشف عن المعلومات في Mediaserver

قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6773 A-30481714 [ 2 ] معتدل الجميع 6.0 ، 6.0.1 ، 7.0 27 يوليو 2016

ثغرة أمنية في الكشف عن المعلومات في إدارة الحزم

قد تؤدي ثغرة الكشف عن المعلومات في Package Manager إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-6774 A-31251489 معتدل الجميع 7.0 29 أغسطس 2016

2016-12-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2016-12-05. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ارتفاع ضعف الامتياز في النظام الفرعي لذاكرة kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-4794 A-31596597
نواة المنبع [ 2 ]
حرج Pixel C و Pixel و Pixel XL 17 أبريل 2016
CVE-2016-5195 أ -32141528
نواة المنبع [ 2 ]
حرج Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 12 أكتوبر 2016

ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6775 A-31222873 *
N-CVE-2016-6775
حرج نيكزس 9 25 أغسطس 2016
CVE-2016-6776 A-31680980 *
N-CVE-2016-6776
حرج نيكزس 9 22 سبتمبر 2016
CVE-2016-6777 A-31910462 *
N-CVE-2016-6777
حرج نيكزس 9 3 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في النواة

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2015-8966 A-31435731
نواة المنبع
حرج لا أحد* 10 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

زيادة ضعف الامتياز في برنامج تشغيل الفيديو NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6915 A-31471161 *
N-CVE-2016-6915
حرج نيكزس 9 13 سبتمبر 2016
CVE-2016-6916 A-32072350 *
N-CVE-2016-6916
حرج Nexus 9 ، Pixel C 13 سبتمبر 2016
CVE-2016-6917 A-32072253 *
N-CVE-2016-6917
حرج نيكزس 9 13 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل kernel ION

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-9120 A-31568617
نواة المنبع
حرج Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel C و Nexus Player 16 سبتمبر 2016

نقاط الضعف في مكونات Qualcomm

تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة أمان Qualcomm AMSS لشهر نوفمبر 2015.

CVE مراجع خطورة* أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8411 A-31805216 ** حرج Nexus 6 و Nexus 6P و Android One كوالكوم داخلي

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في نظام ملفات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2014-4014 A-31252187
نواة المنبع
عالٍ Nexus 6 ، Nexus Player 10 يونيو 2014

رفع مستوى ضعف الامتياز في النواة

قد يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2015-8967 A-31703084
نواة المنبع
عالٍ Nexus 5X و Nexus 6P و Nexus 9 و Pixel C و Pixel و Pixel XL 8 يناير 2015

ارتفاع ضعف الامتياز في برنامج تشغيل ترميز الصوت HTC

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت من HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6778 A-31384646 * عالٍ نيكزس 9 25 فبراير 2016
CVE-2016-6779 A-31386004 * عالٍ نيكزس 9 25 فبراير 2016
CVE-2016-6780 A-31251496 * عالٍ نيكزس 9 30 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج MediaTek

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6492 أ -28175122
MT-ALPS02696413
عالٍ لا أحد* 11 أبريل 2016
CVE-2016-6781 أ -31095175
MT-ALPS02943455
عالٍ لا أحد* 22 أغسطس 2016
CVE-2016-6782 A-31224389
MT-ALPS02943506
عالٍ لا أحد* 24 أغسطس 2016
CVE-2016-6783 A-31350044
MT-ALPS02943437
عالٍ لا أحد* 6 سبتمبر 2016
CVE-2016-6784 A-31350755
MT-ALPS02961424
عالٍ لا أحد* 6 سبتمبر 2016
CVE-2016-6785 A-31748056
MT-ALPS02961400
عالٍ لا أحد* 25 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

زيادة ضعف الامتياز في برامج ترميز وسائط Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في برامج ترميز وسائط Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6761 A-29421682 *
QC-CR # 1055792
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 16 يونيو 2016
CVE-2016-6760 A-29617572 *
QC-CR # 1055783
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 23 يونيو 2016
CVE-2016-6759 A-29982686 *
QC-CR # 1055766
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 4 يوليو 2016
CVE-2016-6758 A-30148882 *
QC-CR # 1071731
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 13 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6755 A-30740545
QC-CR # 1065916
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 3 أغسطس 2016

ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6786 A-30955111 نواة المنبع عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 18 أغسطس 2016
CVE-2016-6787 A-31095224 نواة المنبع عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 22 أغسطس 2016

ارتفاع ضعف الامتياز في برنامج تشغيل MediaTek I2C

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek I2C إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6788 A-31224428
MT-ALPS02943467
عالٍ لا أحد* 24 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ارتفاع ثغرة أمنية في مكتبة NVIDIA libomx

قد يؤدي ارتفاع ثغرة الامتياز في مكتبة NVIDIA libomx (libnvomx) إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6789 A-31251973 *
N-CVE-2016-6789
عالٍ بكسل سي 29 أغسطس 2016
CVE-2016-6790 A-31251628 *
N-CVE-2016-6790
عالٍ بكسل سي 28 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6791 A-31252384
QC-CR # 1071809
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 31 أغسطس 2016
CVE-2016-8391 A-31253255
QC-CR # 1072166
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 31 أغسطس 2016
CVE-2016-8392 A-31385862
QC-CR # 1073136
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 8 سبتمبر 2016

رفع مستوى ضعف الامتياز في النظام الفرعي لأمان kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2015-7872 A-31253168
نواة المنبع
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 31 أغسطس 2016

ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8393 A-31911920 * عالٍ Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL 8 سبتمبر 2016
CVE-2016-8394 A-31913197 * عالٍ Nexus 9 و Android One 8 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل Broadcom Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2014-9909 A-31676542
B-RB # 26684
عالٍ لا أحد* 21 سبتمبر 2016
CVE-2014-9910 A-31746399
B-RB # 26710
عالٍ لا أحد* 26 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8396 A-31249105 عالٍ لا أحد* 26 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8397 A-31385953 *
N-CVE-2016-8397
عالٍ نيكزس 9 8 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

رفض الخدمة في نظام تحديد المواقع العالمي (GPS)

قد يؤدي رفض وجود ثغرة أمنية في مكون Qualcomm GPS إلى تمكين المهاجم عن بُعد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-5341 A-31470303 * عالٍ Nexus 6 و Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL 21 من حزيران 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

رفض الخدمة في برنامج تشغيل الكاميرا NVIDIA

قد يؤدي رفض ثغرة أمنية في برنامج تشغيل كاميرا NVIDIA إلى تمكين المهاجم من التسبب في رفض محلي دائم للخدمة ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة المحلي الدائم.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8395 A-31403040 *
N-CVE-2016-8395
عالٍ بكسل سي 9 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في النظام الفرعي لشبكات kernel

قد يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لشبكات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتيازات وتحسينات المحول البرمجي الحالية تقيد الوصول إلى التعليمات البرمجية الضعيفة.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8399 A-31349935 * معتدل Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 5 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm بما في ذلك برنامج تشغيل الكاميرا وبرنامج تشغيل الفيديو إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-6756 أ -29464815
QC-CR # 1042068 [ 2 ]
معتدل Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 17 من حزيران 2016
CVE-2016-6757 أ -30148242
QC-CR # 1052821
معتدل Nexus 5X و Nexus 6 و Nexus 6P و Pixel و Pixel XL 13 يوليو 2016

ثغرة أمنية في الكشف عن المعلومات في مكتبة NVIDIA librm

قد تؤدي ثغرة الكشف عن المعلومات في مكتبة NVIDIA librm (libnvrm) إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8400 A-31251599 *
N-CVE-2016-8400
معتدل بكسل سي 29 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات النواة

قد تؤدي ثغرة الكشف عن المعلومات في مكونات kernel بما في ذلك النظام الفرعي ION و Binder و USB driver والنظام الفرعي للشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8401 A-31494725 * معتدل Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 13 سبتمبر 2016
CVE-2016-8402 A-31495231 * معتدل Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 13 سبتمبر 2016
CVE-2016-8403 A-31495348 * معتدل نيكزس 9 13 سبتمبر 2016
CVE-2016-8404 A-31496950 * معتدل نيكزس 9 13 سبتمبر 2016
CVE-2016-8405 A-31651010 * معتدل Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 21 سبتمبر 2016
CVE-2016-8406 A-31796940 * معتدل Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 27 سبتمبر 2016
CVE-2016-8407 A-31802656* معتدل Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Google devices Date reported
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
معتدل Nexus 9 Sep 13, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
معتدل Nexus 9 Sep 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Google devices Date reported
CVE-2016-8410 A-31498403
QC-CR#987010
معتدل Nexus 5X, Nexus 6, Nexus 6P, Android One Google internal

Common Questions and Answers

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
  • Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. These prefixes map as follows:

بادئة المرجعي
أ- معرف خطأ Android
QC- الرقم المرجعي لشركة Qualcomm
م- الرقم المرجعي MediaTek
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من Broadcom

Revisions

  • December 05, 2016: Bulletin published.
  • December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
  • December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.