تلتزم Google بتعزيز المساواة العرقية للمجتمعات السوداء. أنظر كيف.
ترجمت واجهة Cloud Translation API‏ هذه الصفحة.
Switch to English

نشرة أمان Android — كانون الأول (ديسمبر) 2016

تم النشر في 05 كانون الأول (ديسمبر) 2016 | تم التحديث في 21 ديسمبر 2016

تحتوي نشرة أمان Android على تفاصيل نقاط الضعف الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، أصدرنا تحديثًا أمنيًا لأجهزة Google من خلال تحديث عن بعد (OTA). كما تم إصدار صور البرامج الثابتة لجهاز Google إلى موقع Google Developer . تعالج مستويات تصحيح الأمان بتاريخ 05 ديسمبر 2016 أو أحدث جميع هذه المشكلات. ارجع إلى جدول تحديث Pixel و Nexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالقضايا الموضحة في النشرة في 07 نوفمبر 2016 أو قبل ذلك. تم إصدار تصحيحات شفرة المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP) وربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

إن أكثر هذه المشكلات خطورة هي الثغرات الأمنية الحرجة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تمكن من تنفيذ التعليمات البرمجية التعسفية في سياق النواة ، مما يؤدي إلى احتمال اختراق الجهاز الدائم المحلي ، والذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يكون لاستغلال الثغرة الأمنية على الجهاز المتأثر ، على افتراض تعطيل النظام الأساسي وعمليات تخفيف الخدمة لأغراض التطوير أو في حالة تجاوزها بنجاح.

ليس لدينا أي تقارير عن استغلال أو إساءة استخدام نشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات التخفيف من خدمة Android و Google للحصول على تفاصيل حول إجراءات الحماية لمنصة أمان Android وحماية الخدمات مثل SafetyNet ، التي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 2016-12-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة كافة المشكلات المرتبطة 2016-12-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2016-12-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة كافة المشكلات المرتبطة 2016-12-01 و 2016-12-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديث OTA واحدًا بمستوى تصحيح الأمان بتاريخ 05 ديسمبر 2016.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعمليات التخفيف التي يوفرها نظام أمان Android وحماية الخدمة ، مثل SafetyNet. تقلل هذه القدرات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.

  • أصبح الاستغلال للعديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن.
  • يراقب فريق Android Security بنشاط إساءة الاستخدام مع Verify Apps و SafetyNet ، المصممة لتحذير المستخدمين من التطبيقات التي يحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الجهاز محظورة في Google Play ، ولكن Verify Apps تحذر المستخدمين عندما يحاولون تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة تصعيد الامتيازات. إذا تم تثبيت مثل هذا التطبيق بالفعل ، فستقوم Verify Apps بإبلاغ المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Baozeng Ding ، Chengming Yang ، Peng Xiao ، Ning You ، Yang Dong ، Chao Yang ، Yi Zhang ، and Yang Song of Alibaba Mobile Security Group: CVE-2016-6783 ، CVE-2016-6784 ، CVE-2016-6785
  • تشي تشانغ ، مينغ جيان تشو ( Mingjian_Zhou )، Chiachih وو ( chiachih_wu )، وXuxian جيانغ فريق C0RE : CVE-2016-6789، CVE-2016-6790
  • كريستيان سيل: CVE-2016-6769
  • ديفيد بنيامين وكيني روت من Google: CVE-2016-6767
  • Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، Tencent: CVE-2016-6776 ، CVE-2016-6787
  • En He ( @ heeeeen4x ) من MS509Team : CVE-2016-6763
  • Gengjia Chen ( @ chengjia4574 ) ، pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6779، CVE-2016-6778، CVE-2016-8401، CVE-2016-8402، CVE-2016-8403 ، CVE-2016-8409 ، CVE-2016-8408 ، CVE-2016-8404
  • Jianqiang Zhao ( jianqiangzhao ) and pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-6788، CVE-2016-6781، CVE-2016-6782، CVE-2016-8396
  • Lubo Zhang و Tong Lin و Yuan-Tsung Lo و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6791 و CVE-2016-8391 و CVE-2016-8392
  • العلامة التجارية لمشروع صفر: CVE-2016-6772
  • اللاعب Michał Bednarski : CVE-2016-6770، CVE-2016-6774
  • مينغ جيان تشو ( Mingjian_Zhouتشي تشانغ ، Chiachih وو ( chiachih_wu )، وXuxian جيانغ فريق C0RE : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
  • مينغ جيان تشو ( Mingjian_Zhou )، Chiachih وو ( chiachih_wu )، وXuxian جيانغ فريق C0RE : CVE-2016-6760
  • مينغ جيان تشو ( Mingjian_ZhouHanxiang ون ، Chiachih وو ( chiachih_wu )، وXuxian جيانغ فريق C0RE : CVE-2016-6759
  • Nathan Crandall ( natecray ) من فريق Tesla Motors Product Security Team: CVE-2016-6915، CVE-2016-6916، CVE-2016-6917
  • أبحاث الأمن السيبراني Nightwatch ( nightwatchcyber ): CVE-2016-5341
  • Pengfei Ding (丁鹏飞) ، Chenfu Bao (包 沉浮) ، Lenx Wei (韦 韬) من Baidu X-Lab: CVE-2016-6755 ، CVE-2016-6756
  • Peter Pi ( heisecode ) من Trend Micro: CVE-2016-8397 ، CVE-2016-8405 ، CVE-2016-8406 ، CVE-2016-8407
  • Qidan He (何 淇 丹) ( flanker_hqd ) من KeenLab ، Tencent (腾讯 科恩 实验室): CVE-2016-8399 ، CVE-2016-8395
  • Qidan He (何 淇 丹) ( flanker_hqd ) وماركو جراسي ( marcograss ) من KeenLab ، Tencent (腾讯 科恩 实验室): CVE-2016-6768
  • ريتشارد شوباك: CVE-2016-5341
  • Sagi Kedmi من IBM X-Force Research: CVE-2016-8393 ، CVE-2016-8394
  • Seven Shen ( lingtongshen ) من فريق أبحاث التهديدات المتنقلة ، Trend Micro Inc .: CVE-2016-6757
  • Weichao Sun ( sunblate ) من Alibaba Inc .: CVE-2016-6773
  • Wenke Dou و Chi Zhang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6765
  • Wish Wu ( wish_wu ) ( 吴 潍 浠 ) من فريق الاستجابة لتهديدات الأجهزة المحمولة ، Trend Micro Inc .: CVE-2016-6704
  • Yuan-Tsung Lo و Tong Lin و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6786 و CVE-2016-6780 و CVE-2016-6775
  • Yuan-Tsung Lo و Xiaodong Wang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6777
  • يوكسيانج لي من قسم منصة الأمن Tencent: CVE-2016-6771
  • زهي جين (金 哲) من مركز تشنغدو للاستجابة الأمنية ، Qihoo 360 Technology Co. Ltd .: CVE-2016-6764، CVE-2016-6766
  • Zinuo Han من مركز الاستجابة الأمنية في تشنغدو التابع لشركة Qihoo 360 Technology Co. Ltd .: CVE-2016-6762

شكر إضافي لشكر MengLuo Gou ( @ idhyt3r ) من Bottle Tech و Yong Wang (王勇) ( @ ThomasKing2014 ) و Zubin Mithra من Google لمساهماتهم في نشرة الأمن هذه.

2016-12-01 مستوى تصحيح الأمان - تفاصيل الثغرة الأمنية

في الأقسام أدناه ، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-12-01. يوجد وصف للمشكلة ، وأساس الشدة ، وجدول به CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، والتاريخ الذي تم الإبلاغ عنه. عندما يكون متاحًا ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرف الخطأ.

ثغرة تنفيذ التعليمات البرمجية عن بُعد في CURL / LIBCURL

يحتوي الجدول على ثغرات أمنية تؤثر على مكتبات CURL و LIBCURL. يمكن أن تمكن المشكلة الأكثر خطورة المهاجم في الوسط باستخدام شهادة مزورة لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لأن المهاجم يحتاج إلى شهادة مزورة.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-5419 A-31271247 عالي الكل 7.0 3 أغسطس 2016
CVE-2016-5420 A-31271247 عالي الكل 7.0 3 أغسطس 2016
CVE-2016-5421 A-31271247 عالي الكل 7.0 3 أغسطس 2016

رفع درجة ضعف الامتياز في libziparchive

يمكن أن يؤدي رفع مستوى ثغرة امتياز في مكتبة libziparchive إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى القدرات المرتفعة ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6762 A-31251826 [ 2 ] عالي الكل 5.0.2 و 5.1.1 و 6.0 و 6.0.1 و 7.0 28 أغسطس 2016

الحرمان من ضعف الخدمة في الاتصالات الهاتفية

قد يؤدي وجود ثغرة أمنية في رفض الخدمة في Telephony إلى تمكين تطبيق ضار محلي من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية بسبب إمكانية رفض الخدمة المحلية الدائمة.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6763 A-31530456 عالي الكل 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 12 سبتمبر 2016

الحرمان من ضعف الخدمة في Mediaserver

يمكن أن يؤدي ضعف رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6766 A-31318219 عالي الكل 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 5 سبتمبر 2016
CVE-2016-6765 A-31449945 عالي الكل 4.4.4 ، 5.0.2 ، 5.1.1 ، 7.0 13 سبتمبر 2016
CVE-2016-6764 A-31681434 عالي الكل 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 22 سبتمبر 2016
CVE-2016-6767 A-31833604 عالي بلا * 4.4.4 جوجل الداخلية

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ثغرة تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence

يمكن أن تؤدي الثغرة الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence إلى تمكين المهاجم من استخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم مكتبة Framesequence.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6768 A-31631842 عالي الكل 5.0.2 و 5.1.1 و 6.0 و 6.0.1 و 7.0 19 سبتمبر 2016

رفع ثغرة الامتياز في Smart Lock

يمكن أن يؤدي رفع مستوى ثغرة الامتياز في Smart Lock إلى تمكين مستخدم ضار محلي من الوصول إلى إعدادات Smart Lock بدون رقم تعريف شخصي. تم تصنيف هذه المشكلة على أنها معتدلة لأنها تتطلب أولاً وصولًا فعليًا إلى جهاز غير مؤمَّن حيث كان Smart Lock هو آخر جزء من الإعدادات تم الوصول إليه بواسطة المستخدم.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6769 A-29055171 معتدل بلا * 5.0.2 و 5.1.1 و 6.0 و 6.0.1 27 مايو 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في واجهات برمجة تطبيقات Framework

يمكن أن يؤدي رفع مستوى ثغرة امتياز في Framework API إلى تمكين تطبيق ضار محلي للوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها معتدلة لأنها تجاوز محلي للقيود المفروضة على عملية مقيدة.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6770 A-30202228 معتدل الكل 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 16 يوليو 2016

رفع ثغرة الامتياز في الاتصالات الهاتفية

يمكن أن يؤدي رفع مستوى ثغرة الامتياز في الهاتفية إلى تمكين تطبيق ضار محلي للوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها معتدلة لأنها تجاوز محلي للقيود المفروضة على عملية مقيدة.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6771 A-31566390 معتدل الكل 6.0 ، 6.0.1 ، 7.0 17 سبتمبر 2016

رفع درجة ضعف الامتياز في Wi-Fi

يمكن أن يؤدي رفع مستوى ثغرة امتياز في Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها معتدلة لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6772 A-31856351 [ 2 ] معتدل الكل 5.0.2 و 5.1.1 و 6.0 و 6.0.1 و 7.0 30 سبتمبر 2016

ضعف الكشف عن المعلومات في Mediaserver

يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الإذن الخاصة به. تم تصنيف هذه المشكلة على أنها معتدلة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة بدون إذن.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6773 A-30481714 [ 2 ] معتدل الكل 6.0 ، 6.0.1 ، 7.0 27 يوليو 2016

ضعف الكشف عن المعلومات في Package Manager

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Package Manager إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها معتدلة لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة إصدارات AOSP محدثة تم الإبلاغ عن التاريخ
CVE-2016-6774 A-31251489 معتدل الكل 7.0 29 أغسطس 2016

2016-12-05 مستوى تصحيح الأمان - تفاصيل الثغرة الأمنية

في الأقسام أدناه ، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 05-05. يوجد وصف للمشكلة ، وأساس الشدة ، وجدول به CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، والتاريخ الذي تم الإبلاغ عنه. عندما يكون متاحًا ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرف الخطأ.

رفع ثغرة الامتياز في النظام الفرعي لذاكرة kernel

يمكن أن يؤدي رفع مستوى ثغرة امتياز في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال وجود اختراق وسط محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-4794 A-31596597
نواة المنبع [ 2 ]
حرج Pixel C و Pixel و Pixel XL 17 أبريل 2016
CVE-2016-5195 A-32141528
نواة المنبع [ 2 ]
حرج Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 12 أكتوبر 2016

رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال وجود اختراق وسط محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6775 A-31222873 *
N-CVE-2016-6775
حرج Nexus 9 25 أغسطس 2016
CVE-2016-6776 A-31680980 *
N-CVE-2016-6776
حرج Nexus 9 22 سبتمبر 2016
CVE-2016-6777 A-31910462 *
N-CVE-2016-6777
حرج Nexus 9 3 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع ثغرة الامتياز في النواة

يمكن أن يؤدي رفع مستوى ثغرة امتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال وجود اختراق وسط محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2015-8966 A-31435731
نواة المنبع
حرج بلا * 10 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في مشغل فيديو NVIDIA

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل فيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال وجود اختراق وسط محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6915 A-31471161 *
N-CVE-2016-6915
حرج Nexus 9 13 سبتمبر 2016
CVE-2016-6916 A-32072350 *
N-CVE-2016-6916
حرج Nexus 9 و Pixel C 13 سبتمبر 2016
CVE-2016-6917 A-32072253 *
N-CVE-2016-6917
حرج Nexus 9 13 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل kernel ION

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال وجود اختراق وسط محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-9120 A-31568617
نواة المنبع
حرج Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel C و Nexus Player 16 سبتمبر 2016

نقاط الضعف في مكونات كوالكوم

تؤثر نقاط الضعف التالية على مكونات Qualcomm وقد تم وصفها بمزيد من التفصيل في نشرة الأمن Qualcomm AMSS لشهر نوفمبر 2015.

CVE المراجع خطورة* أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-8411 A-31805216 ** حرج Nexus 6 و Nexus 6P و Android One كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع ثغرة الامتياز في نظام ملفات النواة

يمكن أن يؤدي رفع مستوى الضعف في الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى القدرات المرتفعة ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2014-4014 A-31252187
نواة المنبع
عالي Nexus 6 ، Nexus Player 10 يونيو 2014

رفع ثغرة الامتياز في النواة

يمكن أن يؤدي رفع مستوى ثغرة امتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2015-8967 A-31703084
نواة المنبع
عالي Nexus 5X و Nexus 6P و Nexus 9 و Pixel C و Pixel و Pixel XL 8 يناير 2015

رفع درجة ضعف الامتياز في برنامج تشغيل برنامج ترميز الصوت HTC

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل برنامج ترميز الصوت HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6778 A-31384646 * عالي Nexus 9 25 فبراير 2016
CVE-2016-6779 A-31386004 * عالي Nexus 9 25 فبراير 2016
CVE-2016-6780 A-31251496 * عالي Nexus 9 30 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع ثغرة الامتياز في مشغل MediaTek

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6492 A-28175122
MT-ALPS02696413
عالي بلا * 11 أبريل 2016
CVE-2016-6781 A-31095175
MT-ALPS02943455
عالي بلا * 22 أغسطس 2016
CVE-2016-6782 A-31224389
MT-ALPS02943506
عالي بلا * 24 أغسطس 2016
CVE-2016-6783 A-31350044
MT-ALPS02943437
عالي بلا * 6 سبتمبر 2016
CVE-2016-6784 A-31350755
MT-ALPS02961424
عالي بلا * 6 سبتمبر 2016
CVE-2016-6785 A-31748056
MT-ALPS02961400
عالي بلا * 25 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

زيادة ثغرة الامتياز في برامج ترميز وسائط Qualcomm

يمكن أن يؤدي رفع مستوى ثغرة الامتياز في برامج ترميز وسائط Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى القدرات المرتفعة ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6761 A-29421682 *
QC-CR # 1055792
عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 16 يونيو 2016
CVE-2016-6760 A-29617572 *
QC-CR # 1055783
عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 23 يونيو 2016
CVE-2016-6759 A-29982686 *
QC-CR # 1055766
عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 4 يوليو 2016
CVE-2016-6758 A-30148882 *
QC-CR # 1071731
عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 13 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع درجة ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6755 A-30740545
QC-CR # 1065916
عالي Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 3 أغسطس 2016

رفع ثغرة الامتياز في النظام الفرعي لأداء النواة

يمكن أن يؤدي رفع مستوى ثغرة امتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6786 A-30955111 نواة المنبع عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 18 أغسطس 2016
CVE-2016-6787 A-31095224 نواة المنبع عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 22 أغسطس 2016

رفع ثغرة الامتياز في برنامج تشغيل MediaTek I2C

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل MediaTek I2C إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6788 A-31224428
MT-ALPS02943467
عالي بلا * 24 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع درجة ضعف الامتيازات في مكتبة NVIDIA libomx

يمكن أن يؤدي رفع مستوى ثغرة امتياز في مكتبة NVIDIA libomx (libnvomx) إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى القدرات المرتفعة ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6789 A-31251973 *
N-CVE-2016-6789
عالي بكسل C 29 أغسطس 2016
CVE-2016-6790 A-31251628 *
N-CVE-2016-6790
عالي بكسل C 28 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع درجة ضعف الامتياز في مشغل الصوت Qualcomm

يمكن أن يؤدي رفع مستوى ثغرة الامتياز في مشغل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-6791 A-31252384
QC-CR # 1071809
عالي Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 31 أغسطس 2016
CVE-2016-8391 A-31253255
QC-CR # 1072166
عالي Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 31 أغسطس 2016
CVE-2016-8392 A-31385862
QC-CR # 1073136
عالي Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 8 سبتمبر 2016

رفع ثغرة الامتياز في النظام الفرعي لأمان kernel

يمكن أن يؤدي رفع مستوى ثغرة امتياز في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2015-7872 A-31253168
نواة المنبع
عالي Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL 31 أغسطس 2016

رفع درجة ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-8393 A-31911920 * عالي Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL 8 سبتمبر 2016
CVE-2016-8394 A-31913197 * عالي Nexus 9 و Android One 8 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

رفع ثغرة الامتياز في مشغل Broadcom Wi-Fi

يمكن أن يؤدي رفع مستوى ثغرة امتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق عملية مميزة.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2014-9909 A-31676542
B-RB # 26684
عالي بلا * 21 سبتمبر 2016
CVE-2014-9910 A-31746399
B-RB # 26710
عالي بلا * 26 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ضعف الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek

يمكن أن تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-8396 A-31249105 عالي بلا * 26 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ضعف الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA

يمكن أن تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-8397 A-31385953 *
N-CVE-2016-8397
عالي Nexus 9 8 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتاحة من موقع Google Developer .

الحرمان من ضعف الخدمة في GPS

قد يؤدي وجود ثغرة أمنية في رفض الخدمة في مكون Qualcomm GPS إلى تمكين المهاجم عن بُعد من تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد بشكل مؤقت.

CVE المراجع خطورة أجهزة Google المحدثة تم الإبلاغ عن التاريخ
CVE-2016-5341 A-31470303 * عالي Nexus 6 و Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL 21 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Denial of service vulnerability in NVIDIA camera driver

A denial of service vulnerability in the NVIDIA camera driver could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
High Pixel C Sep 9, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel networking subsystem

An elevation of privilege vulnerability in the kernel networking subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and current compiler optimizations restrict access to the vulnerable code.

CVE References Severity Updated Google devices Date reported
CVE-2016-8399 A-31349935* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm components

An information disclosure vulnerability in Qualcomm components including the camera driver and video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6756 A-29464815
QC-CR#1042068 [ 2 ]
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jun 17, 2016
CVE-2016-6757 A-30148242
QC-CR#1052821
Moderate Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Jul 13, 2016

Information disclosure vulnerability in NVIDIA librm library

An information disclosure vulnerability in the NVIDIA librm library (libnvrm) could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
Moderate Pixel C Aug 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components including the ION subsystem, Binder, USB driver and networking subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8401 A-31494725* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8402 A-31495231* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8403 A-31495348* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8404 A-31496950* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8405 A-31651010* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 21, 2016
CVE-2016-8406 A-31796940* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 27, 2016
CVE-2016-8407 A-31802656* Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
Moderate Nexus 9 Sep 13, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
Moderate Nexus 9 Sep 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8410 A-31498403
QC-CR#987010
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One Google internal

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
  • Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • December 05, 2016: Bulletin published.
  • December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
  • December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.