Google متعهد به پیشبرد برابری نژادی برای جوامع سیاه است. ببینید چگونه.
این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.
Switch to English

بولتن امنیت Android — دسامبر 2016

منتشر شده در 5 دسامبر 2016 | بروزرسانی شده در 21 دسامبر 2016

بولتن امنیت Android حاوی جزئیاتی از آسیب پذیری های امنیتی در دستگاه های Android است. در کنار بولتن ، ما یک بروزرسانی امنیتی را برای دستگاه های Google از طریق بروزرسانی خارج از هوا (OTA) منتشر کرده ایم. تصاویر سیستم عامل دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح امنیتی امنیتی در تاریخ 5 دسامبر 2016 یا بعد از آن به همه این موارد می پردازد. برای یادگیری چگونگی بررسی سطح امنیتی دستگاه ، به برنامه به روزرسانی Pixel و Nexus مراجعه کنید.

شرکاء از موضوعات شرح داده شده در بولتن در تاریخ 7 نوامبر 2016 یا قبل از آن مطلع شدند. تکه های کد منبع برای این شماره ها به مخزن پروژه Open Source Project (AOSP) منتشر شده و از طریق این بولتن پیوند خورده است. این خبرنامه همچنین شامل پیوندهایی به تکه های خارج از AOSP است.

شدیدترین این موارد آسیب پذیری های امنیتی بحرانی در کدهای اختصاصی دستگاه است که می تواند اجرای کد دلخواه را در چارچوب هسته امکان پذیر کند و منجر به احتمال سازش دستگاه دائمی محلی شود ، که ممکن است به ترمیم سیستم عامل برای ترمیم دستگاه نیاز داشته باشد. . ارزیابی شدت مبتنی بر تأثیر آن است که سوءاستفاده از آسیب پذیری احتمالاً در یک دستگاه آسیب دیده وجود دارد ، با فرض اینکه سکو و کاهش خدمات برای اهداف توسعه غیرفعال شده اند یا اگر با موفقیت پشت سر گذاشته شوند.

ما گزارشی از سوءاستفاده فعال مشتری یا سوءاستفاده از این موارد تازه گزارش نشده است. برای جزئیات بیشتر در مورد محافظت از سکوی امنیتی Android و محافظت از خدمات مانند SafetyNet ، که باعث بهبود امنیت پلتفرم اندرویدی می شود ، به بخش کاهش خدمات Google و Android مراجعه کنید.

ما کلیه مشتریان را ترغیب می کنیم که این به روزرسانی ها را در دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته امنیتی در سطح پچ است تا انعطاف پذیری شرکای Android را در اختیار شما قرار دهد تا سریعتر بتوانند زیر مجموعه ای از آسیب پذیری ها را که در تمام دستگاه های Android مشابه است ، برطرف کنند. برای اطلاعات بیشتر به سؤالات و پاسخهای متداول مراجعه کنید:
    • 2016-12-01 : رشته رشته سطح امنیتی جزئی. این رشته امنیتی سطح پچ نشان می دهد که به همه مسائل مربوط به 2016-12-01 (و همه رشته های سطح امنیتی امنیتی قبلی) پرداخته شده است.
    • 2016-12-05 : رشته رشته سطح امنیتی کامل. این رشته امنیتی سطح پچ نشان می دهد که به کلیه موضوعات مرتبط با 2016-12-01 و 2016-12-05 (و همه رشته های سطح امنیتی امنیتی قبلی) پرداخته شده است.
  • دستگاههای Google پشتیبانی شده یک سطح بروزرسانی OTA را با سطح امنیتی امنیتی 05 دسامبر 2016 دریافت می کنند.

کاهش Android و Google خدمات

این خلاصه ای از کاهش موارد ارائه شده توسط پلتفرم امنیتی اندروید و محافظت از خدمات ، مانند SafetyNet است. این قابلیت ها احتمال استفاده از آسیب پذیری های امنیتی را با موفقیت در اندروید کاهش می دهد.

  • با پیشرفت نسخه های جدیدتر سیستم عامل اندرویدی ، بهره برداری برای بسیاری از موارد در Android دشوارتر می شود. ما کلیه کاربران را تشویق می کنیم تا در صورت امکان ، آخرین نسخه Android را به روز کنند.
  • تیم امنیتی Android به طور جدی برای سوء استفاده با Verify Apps و SafetyNet که به منظور هشدار دادن به کاربران در مورد برنامه های بالقوه مضر شناخته شده است ، نظارت می کند. تأیید برنامه ها به صورت پیش فرض در دستگاههایی با خدمات Google Mobile فعال شده و به ویژه برای کاربرانی که برنامه هایی را از خارج از Google Play نصب می کنند بسیار مهم است. ابزارهای ریشه کن کردن دستگاه در Google Play ممنوع است ، اما تأیید برنامه ها به کاربران هشدار می دهد در هنگام تلاش برای نصب یک برنامه شناسایی ریشه دار - مهم نیست از کجا آمده است. علاوه بر این ، تأیید برنامه ها سعی در شناسایی و مسدود کردن نصب برنامه های مخرب شناخته شده که از آسیب پذیری تشدید امتیاز استفاده می کنند ، می باشد. اگر چنین برنامه ای از قبل نصب شده باشد ، Verify Apps به کاربر اطلاع می دهد و تلاش می کند برنامه شناسایی شده را حذف کند.
  • در صورت لزوم ، برنامه های Google Hangouts و مسنجر به طور خودکار رسانه ها را به پردازش هایی مانند Mediaserver منتقل نمی کنند.

سپاسگزاریها

ما می خواهیم از این محققان بخاطر مشارکتشان تشکر کنیم:

  • Baozeng دینگ ، چنگینگ یانگ ، پنگ شیائو ، نینگ تو ، یانگ دونگ ، چائو یانگ ، یی ژانگ و گروه موسیقی یانگ Alibaba Alibaba: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
  • چی ژانگ ، مینگجیان ژو (Mingjian_Zhou) ، Chiachih Wu ( chiachih_wu ) و Xuxian Jiang از تیم C0RE : CVE-2016-6789 ، CVE-2016-6790
  • Christian Seel: CVE-2016-6769
  • دیوید بنیامین و کنی روت از گوگل: CVE-2016-6767
  • دی شن ( returnsme ) از KeenLab ( keen_lab )، Tencent به: CVE-2016-6776، CVE-2016-6787
  • En He ( @ heeeeen4x ) از MS509Team : CVE-2016-6763
  • Gengjia Chen ( @ chengjia4574 ) ، pjf از آزمایشگاه IceSword ، Qihoo 360 Technology Co. Ltd: CVE-2016-6779، CVE-2016-6778، CVE-2016-8401، CVE-2016-8402، CVE-2016-8403، CVE-2016-8409، CVE-2016-8408، CVE-2016-8404
  • Jianqiang Zhao ( jianqiangzhao ) و pjf از آزمایشگاه IceSword ، Qihoo 360 Technology Co. Ltd: CVE-2016-6788، CVE-2016-6781، CVE-2016-6782، CVE-2016-8396
  • Lubo Zhang ، Tong Lin ، Yuan-Tsung Lo ، Chiachih Wu ( chiachih_wu ) و Xuxian Jiang از تیم C0RE : CVE-2016-6791 ، CVE-2016-8391 ، CVE-2016-8392
  • Mark Mark of Project Zero: CVE-2016-6772
  • Michał Bednarski : CVE-2016-6770، CVE-2016-6774
  • Mingjian ژو ( Mingjian_Zhouچی ژانگ ، Chiachih وو ( chiachih_wu ) و Xuxian جیانگ از C0RE تیم : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
  • Mingjian ژو ( Mingjian_Zhou )، Chiachih وو ( chiachih_wu ) و Xuxian جیانگ از C0RE تیم : CVE-2016-6760
  • مینگجیان ژو (Mingjian_Zhou) ، Hanxiang Wen ، Chiachih Wu ( chiachih_wu ) و Xuxian Jiang از تیم C0RE : CVE-2016-6759
  • ناتان کراندل ( natecray ) تیم امنیتی محصولات تسلا موتورز: CVE-2016-6915 ، CVE-2016-6916 ، CVE-2016-6917
  • تحقیقات سایبری امنیت شبانه ( nightwatchcyber ): CVE-2016-5341
  • Pengfei Ding (丁鹏飞)، Chenfu Bao (包 沉浮)، Lenx Wei (韦 韬) از Baidu X-Lab: CVE-2016-6755، CVE-2016-6756
  • پیتر پی ( heisecode ) از Trend Micro: CVE-2016-8397، CVE-2016-8405، CVE-2016-8406، CVE-2016-8407
  • Qidan He (何 淇 丹) ( flanker_hqd ) از KeenLab ، Tencent (腾讯 科恩 实验室): CVE-2016-8399 ، CVE-2016-8395
  • Qidan He (何 淇 丹) ( flanker_hqd ) و مارکو Grassi ( marcograss ) KeenLab ، Tencent (腾讯 科恩 实验室): CVE-2016-6768
  • ریچارد شوپاک: CVE-2016-5341
  • ساجی قدمی از IBM X-Force Research: CVE-2016-8393، CVE-2016-8394
  • Seven Shen ( lingtongshen ) از تیم تحقیقاتی تهدید موبایل ، Trend Micro Inc .: CVE-2016-6757
  • Weichao Sun ( sunblate ) شرکت Alibaba Inc .: CVE-2016-6773
  • Wenke Dou ، چی Zhang ، Chiachih Wu ( chiachih_wu ) و Xuxian Jiang از تیم C0RE : CVE-2016-6765
  • Wish Wu ( wish_wu ) ( 吴 潍 浠 ) تیم پاسخ تهدید موبایل ، Trend Micro Inc .: CVE-2016-6704
  • Yuan-Tsung Lo ، Tong Lin ، Chiachih Wu ( chiachih_wu ) و Xuxian Jiang از تیم C0RE : CVE-2016-6786، CVE-2016-6780، CVE-2016-6775
  • یوان-سونگ لو ، Xiaodong وانگ ، Chiachih وو ( chiachih_wu ) و Xuxian Jiang از تیم C0RE : CVE-2016-6777
  • Yuxiang لی از بخش بستر های نرم افزاری امنیتی Tencent: CVE-2016-6771
  • Zhe Jin (金 of) از مرکز پاسخگویی امنیتی چنگدو ، Qihoo 360 شرکت فناوری با مسئولیت محدود: CVE-2016-6764 ، CVE-2016-6766
  • Zinuo هان از مرکز پاسخگویی امنیتی چنگدو Qihoo 360 شرکت فناوری با مسئولیت محدود: CVE-2016-6762

با تشکر از شما ، از MengLuo Gou ( @ idhyt3r ) از Bottle Tech ، Yong Wang (Thomas) ( @ ThomasKing2014 ) و Zubin Mithra از Google بخاطر سهم خود در این بولتن امنیتی تشکر می کنم.

2016-12-01 سطح امنیتی امنیتی • جزئیات آسیب پذیری

در بخش های زیر ، جزئیات مربوط به هر یک از آسیب پذیری های امنیتی اعمال شده در سطح پچ 2016-12-01 را ارائه می دهیم. توضیحی در مورد این مسئله ، دلیل منطقی و جدول با CVE ، منابع مرتبط ، شدت ، دستگاه های Google به روز شده ، نسخه های AOSP به روز شده (در صورت وجود) و تاریخ گزارش شده است. در صورت وجود ، ما تغییرات عمومی مربوط به مسئله را با شناسه اشکال ، مانند لیست تغییر AOSP پیوند خواهیم داد. هنگامی که تغییرات چندگانه مربوط به یک اشکال واحد است ، منابع اضافی به شماره های زیر شناسه اشکال مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در CURL / LIBCURL

جدول شامل آسیب پذیری های امنیتی در کتابخانه های CURL و LIBCURL است. شدیدترین مسئله می تواند یک مهاجم میاناب را با استفاده از گواهی جعلی برای اجرای کد دلخواه در چارچوب یک فرآیند ممتاز قادر سازد. این مسئله به دلیل نیاز به مهاجم جعلی ، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-5419 A-31271247 بالا همه 7.0 3 آگوست 2016
CVE-2016-5420 A-31271247 بالا همه 7.0 3 آگوست 2016
CVE-2016-5421 A-31271247 بالا همه 7.0 3 آگوست 2016

افزایش آسیب پذیری امتیاز در libziparchive

افزایش آسیب پذیری امتیاز در کتابخانه libziparchive می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب یک فرآیند ممتاز قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا می تواند برای دستیابی محلی به قابلیتهای بالا که معمولاً برای یک برنامه شخص ثالث در دسترس نیست استفاده شود.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6762 A-31251826 [ 2 ] بالا همه 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 28 آگوست 2016

انکار آسیب پذیری خدمات در تلفن

انکار آسیب پذیری سرویس در تلفن می تواند یک برنامه مخرب محلی را برای استفاده از یک پرونده خاص ساخته شده به وجود آورد تا دستگاه را آویزان یا راه اندازی مجدد کند. به دلیل امکان انکار دائمی خدمات محلی ، این شماره به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6763 A-31530456 بالا همه 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 12 سپتامبر 2016

انکار آسیب پذیری خدمات در Mediaserver

تکذیب آسیب پذیری خدمات در Mediaserver می تواند یک مهاجم را قادر سازد که از یک پرونده دستکاری شده خاص استفاده کند تا باعث قطع یا راه اندازی مجدد دستگاه شود. این شماره به دلیل احتمال انکار از راه دور خدمات بسیار بالاست.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6766 A-31318219 بالا همه 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 5 سپتامبر 2016
CVE-2016-6765 A-31449945 بالا همه 4.4.4 ، 5.0.2 ، 5.1.1 ، 7.0 13 سپتامبر 2016
CVE-2016-6764 A-31681434 بالا همه 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 22 سپتامبر 2016
CVE-2016-6767 A-31833604 بالا هیچ یک* 4.4.4 Google داخلی

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری اجرای Remote Code در کتابخانه Framesequence

آسیب پذیری اجرای کد از راه دور در کتابخانه Framesequence می تواند یک مهاجم را با استفاده از یک فایل خاص ساخته شده برای اجرای کد دلخواه در چارچوب یک فرآیند غیر شخصی قادر سازد. به دلیل امکان اجرای کد از راه دور در برنامه ای که از کتابخانه Framesequence استفاده می کند ، این شماره به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6768 A-31631842 بالا همه 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 19 سپتامبر 2016

افزایش آسیب پذیری امتیاز در Smart Lock

افزایش آسیب پذیری امتیاز در Smart Lock می تواند یک کاربر مخرب محلی را قادر سازد تا بدون PIN به تنظیمات Smart Lock دسترسی پیدا کند. این شماره به دلیل متوسط ​​ارزیابی شده است زیرا در ابتدا نیاز به دسترسی فیزیکی به یک دستگاه قفل نشده در جایی که Smart Lock آخرین صفحه تنظیمات دسترسی کاربر بود ، می باشد.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6769 A-29055171 در حد متوسط هیچ یک* 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 27 مه 2016

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در API های چارچوب

افزایش آسیب پذیری امتیاز در چارچوب API می تواند یک برنامه مخرب محلی را برای دسترسی به توابع سیستم فراتر از سطح دسترسی خود فعال کند. این مسئله به عنوان متوسط ​​تعدیل می شود زیرا این یک دور زدن محلی برای محدودیت ها در یک فرآیند محدود است.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6770 A-30202228 در حد متوسط همه 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 16 ژوئیه 2016

افزایش آسیب پذیری امتیاز در تلفن

افزایش آسیب پذیری امتیاز در تلفن می تواند یک برنامه مخرب محلی را برای دسترسی به توابع سیستم فراتر از سطح دسترسی خود فعال کند. این مسئله به عنوان متوسط ​​تعدیل می شود زیرا این یک دور زدن محلی برای محدودیت ها در یک فرآیند محدود است.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6771 A-31566390 در حد متوسط همه 6.0 ، 6.0.1 ، 7.0 17 سپتامبر 2016

افزایش آسیب پذیری امتیاز در Wi-Fi

افزایش آسیب پذیری امتیاز در Wi-Fi می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب یک فرآیند ممتاز امکان پذیر سازد. این شماره به عنوان معتدل ارزیابی می شود زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6772 A-31856351 [ 2 ] در حد متوسط همه 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 30 سپتامبر 2016

آسیب پذیری افشای اطلاعات در Mediaserver

آسیب پذیری افشای اطلاعات در Mediaserver می تواند یک برنامه مخرب محلی را برای دسترسی به داده های خارج از سطح مجوز خود فعال کند. این شماره به عنوان متوسط ​​تعدیل می شود زیرا می توان بدون دسترسی به داده های حساس دسترسی پیدا کرد.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6773 A-30481714 [ 2 ] در حد متوسط همه 6.0 ، 6.0.1 ، 7.0 27 ژوئیه 2016

آسیب پذیری افشای اطلاعات در مدیر بسته بندی

آسیب پذیری افشای اطلاعات در Package Manager می تواند یک برنامه مخرب محلی را قادر سازد تا از سیستم های عامل که از داده های برنامه از دیگر برنامه ها جدا می شوند محافظت کند. این شماره به عنوان معتدل ارزیابی می شود زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد نسخه های AOSP را به روز کرد تاریخ گزارش شده است
CVE-2016-6774 A-31251489 در حد متوسط همه 7.0 29 آگوست 2016

2016-12-05 سطح امنیتی امنیتی details جزئیات آسیب پذیری

در بخش های زیر ، جزئیات مربوط به هر یک از آسیب پذیری های امنیتی اعمال شده در سطح پچ 2016-12-05 را ارائه می دهیم. توضیحی در مورد این مسئله ، دلیل منطقی و جدول با CVE ، منابع مرتبط ، شدت ، دستگاه های Google به روز شده ، نسخه های AOSP به روز شده (در صورت وجود) و تاریخ گزارش شده است. در صورت وجود ، ما تغییرات عمومی مربوط به مسئله را با شناسه اشکال ، مانند لیست تغییر AOSP پیوند خواهیم داد. هنگامی که تغییرات چندگانه مربوط به یک اشکال واحد است ، منابع اضافی به شماره های زیر شناسه اشکال مرتبط می شوند.

افزایش آسیب پذیری امتیاز در زیر سیستم حافظه هسته

افزایش آسیب پذیری امتیاز در زیر سیستم حافظه هسته می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. با توجه به احتمال سازش دستگاه دائمی محلی ، این مسئله به عنوان بحرانی ارزیابی شده است که ممکن است نیاز به اصلاح سیستم عامل برای ترمیم دستگاه داشته باشد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-4794 A-31596597
هسته بالادست [ 2 ]
بحرانی پیکسل C ، پیکسل ، پیکسل XL 17 آوریل 2016
CVE-2016-5195 A-32141528
هسته بالادست [ 2 ]
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 12 اکتبر 2016

افزایش آسیب پذیری امتیاز در راننده GPU NVIDIA

افزایش آسیب پذیری امتیاز در درایور GPU NVIDIA می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در بستر هسته فعال کند. با توجه به احتمال سازش دستگاه دائمی محلی ، این مسئله به عنوان بحرانی ارزیابی شده است که ممکن است نیاز به اصلاح سیستم عامل برای ترمیم دستگاه داشته باشد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6775 A-31222873 *
N-CVE-2016-6775
بحرانی Nexus 9 25 آگوست 2016
CVE-2016-6776 A-31680980 *
N-CVE-2016-6776
بحرانی Nexus 9 22 سپتامبر 2016
CVE-2016-6777 A-31910462 *
N-CVE-2016-6777
بحرانی Nexus 9 3 اکتبر 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در هسته

افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. با توجه به احتمال سازش دستگاه دائمی محلی ، این مسئله به عنوان بحرانی ارزیابی شده است که ممکن است نیاز به اصلاح سیستم عامل برای ترمیم دستگاه داشته باشد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2015-8966 A-31435731
هسته بالادست
بحرانی هیچ یک* 10 سپتامبر 2016

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور ویدیویی NVIDIA

افزایش آسیب پذیری امتیاز در درایور ویدیویی NVIDIA می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته فعال کند. با توجه به احتمال سازش دستگاه دائمی محلی ، این مسئله به عنوان بحرانی ارزیابی شده است که ممکن است نیاز به اصلاح سیستم عامل برای ترمیم دستگاه داشته باشد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6915 A-31471161 *
N-CVE-2016-6915
بحرانی Nexus 9 13 سپتامبر 2016
CVE-2016-6916 A-32072350 *
N-CVE-2016-6916
بحرانی Nexus 9 ، Pixel C 13 سپتامبر 2016
CVE-2016-6917 A-32072253 *
N-CVE-2016-6917
بحرانی Nexus 9 13 سپتامبر 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در راننده هسته ION

افزایش آسیب پذیری امتیاز در درایور ION هسته می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. با توجه به احتمال سازش دستگاه دائمی محلی ، این مسئله به عنوان بحرانی ارزیابی شده است که ممکن است نیاز به اصلاح سیستم عامل برای ترمیم دستگاه داشته باشد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-9120 A-31568617
هسته بالادست
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel C، Nexus Player 16 سپتامبر 2016

آسیب پذیری در اجزای کوالکام

آسیب پذیری های زیر روی اجزای کوالکام تأثیر می گذارد و در بولتن امنیتی Qualcomm AMSS نوامبر 2015 به تفصیل توضیح داده شده است.

CVE منابع شدت * دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-8411 A-31805216 ** بحرانی Nexus 6، Nexus 6P، Android One داخلی کوالکام

* رتبه بندی شدت این آسیب پذیری ها توسط فروشنده مشخص شد.

** وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در سیستم پرونده هسته

افزایش آسیب پذیری امتیاز در سیستم پرونده هسته می تواند یک برنامه مخرب محلی را قادر سازد که از سیستم عامل های محافظت شده جدا شده و داده های برنامه را از دیگر برنامه ها دور کند. این شماره به دلیل بالا رتبه بندی شده است زیرا می تواند برای دستیابی محلی به قابلیتهای بالا که معمولاً برای یک برنامه شخص ثالث در دسترس نیست استفاده شود.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2014-4014 A-31252187
هسته بالادست
بالا Nexus 6 ، Nexus Player 10 ژوئن 2014

افزایش آسیب پذیری امتیاز در هسته

افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را قادر سازد که کد دلخواه را در چارچوب هسته اجرا کند. این شماره به دلیل بالا رتبه بندی شده است زیرا در ابتدا نیاز به سوء استفاده از یک آسیب پذیری جداگانه است.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2015-8967 A-31703084
هسته بالادست
بالا Nexus 5X، Nexus 6P، Nexus 9، Pixel C، Pixel، Pixel XL 8 ژانویه 2015

افزایش آسیب پذیری امتیاز در درایور کد دهنده صدا HTC

افزایش آسیب پذیری امتیاز در درایور رمزگذار صدا HTC می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته فعال کند. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6778 A-31384646 * بالا Nexus 9 25 فوریه 2016
CVE-2016-6779 A-31386004 * بالا Nexus 9 25 فوریه 2016
CVE-2016-6780 A-31251496 * بالا Nexus 9 30 آگوست 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در درایور MediaTek

افزایش آسیب پذیری امتیاز در درایور MediaTek می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6492 A-28175122
MT-ALPS02696413
بالا هیچ یک* 11 آوریل 2016
CVE-2016-6781 A-31095175
MT-ALPS02943455
بالا هیچ یک* 22 آگوست 2016
CVE-2016-6782 A-31224389
MT-ALPS02943506
بالا هیچ یک* 24 آگوست 2016
CVE-2016-6783 A-31350044
MT-ALPS02943437
بالا هیچ یک* 6 سپتامبر 2016
CVE-2016-6784 A-31350755
MT-ALPS02961424
بالا هیچ یک* 6 سپتامبر 2016
CVE-2016-6785 A-31748056
MT-ALPS02961400
بالا هیچ یک* 25 سپتامبر 2016

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در کدک های رسانه ای Qualcomm

افزایش آسیب پذیری امتیاز در کدک های رسانه ای Qualcomm می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب یک فرآیند ممتاز فعال کند. این شماره به دلیل بالا رتبه بندی شده است زیرا می تواند برای دستیابی محلی به قابلیتهای بالا که معمولاً برای یک برنامه شخص ثالث در دسترس نیست استفاده شود.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6761 A-29421682 *
QC-CR # 1055792
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 16 ژوئن 2016
CVE-2016-6760 A-29617572 *
QC-CR # 1055783
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 23 ژوئن 2016
CVE-2016-6759 A-29982686 *
QC-CR # 1055766
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 4 ژوئیه 2016
CVE-2016-6758 A-30148882 *
QC-CR # 1071731
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 13 ژوئیه 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6755 A-30740545
QC-CR # 1065916
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 3 آگوست 2016

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6786 A-30955111 هسته بالادست بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 18 آگوست 2016
CVE-2016-6787 A-31095224 هسته بالادست بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 22 آگوست 2016

افزایش آسیب پذیری امتیاز در درایور MediaTek I2C

افزایش آسیب پذیری امتیاز در درایور MediaTek I2C می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در بستر هسته فعال کند. این شماره به دلیل بالا رتبه بندی شده است زیرا برای اولین بار نیاز به به خطر انداختن یک روند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6788 A-31224428
MT-ALPS02943467
بالا هیچ یک* 24 آگوست 2016

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در کتابخانه NVIDIA libomx

افزایش آسیب پذیری امتیاز در کتابخانه NVIDIA libomx (libnvomx) می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب یک فرآیند ممتاز فعال کند. این شماره به دلیل بالا رتبه بندی شده است زیرا می تواند برای دستیابی محلی به قابلیتهای بالا که معمولاً برای یک برنامه شخص ثالث در دسترس نیست استفاده شود.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6789 A-31251973 *
N-CVE-2016-6789
بالا پیکسل C 29 آگوست 2016
CVE-2016-6790 A-31251628 *
N-CVE-2016-6790
بالا پیکسل C 28 آگوست 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در درایور صدا Qualcomm

افزایش آسیب پذیری امتیاز در درایور صدا Qualcomm می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-6791 A-31252384
QC-CR # 1071809
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 31 آگوست 2016
CVE-2016-8391 A-31253255
QC-CR # 1072166
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 31 آگوست 2016
CVE-2016-8392 A-31385862
QC-CR # 1073136
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 8 سپتامبر 2016

افزایش آسیب پذیری امتیاز در زیر سیستم امنیتی هسته

افزایش آسیب پذیری امتیاز در زیر سیستم امنیتی هسته می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2015-7872 A-31253168
هسته بالادست
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 31 آگوست 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه نمایش لمسی Synaptics می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-8393 A-31911920 * بالا Nexus 5X، Nexus 6P، Nexus 9، Android One، Pixel، Pixel XL 8 سپتامبر 2016
CVE-2016-8394 A-31913197 * بالا Nexus 9 ، Android One 8 سپتامبر 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را برای اجرای کد دلخواه در چارچوب هسته قادر سازد. این شماره به دلیل بالا رتبه بندی شده است زیرا در مرحله اول نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2014-9909 A-31676542
B-RB # 26684
بالا هیچ یک* 21 سپتامبر 2016
CVE-2014-9910 A-31746399
B-RB # 26710
بالا هیچ یک* 26 سپتامبر 2016

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری افشای اطلاعات در درایور ویدیویی MediaTek

آسیب پذیری افشای اطلاعات در درایور ویدیویی MediaTek می تواند یک برنامه مخرب محلی را برای دسترسی به داده های خارج از سطح اجازه آن فعال کند. این شماره به دلیل بالا رتبه بندی شده است زیرا می توان بدون دسترسی صریح به کاربر ، به داده های حساس دسترسی پیدا کرد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-8396 A-31249105 بالا هیچ یک* 26 آگوست 2016

* دستگاههای Google پشتیبانی شده در Android 7.0 یا بالاتر که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری افشای اطلاعات در درایور ویدیویی NVIDIA

آسیب پذیری افشای اطلاعات در درایور ویدیویی NVIDIA می تواند یک برنامه مخرب محلی را برای دسترسی به داده های خارج از سطح اجازه خود فعال کند. این شماره به دلیل بالا رتبه بندی شده است زیرا می توان بدون دسترسی صریح به کاربر ، به داده های حساس دسترسی پیدا کرد.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-8397 A-31385953 *
N-CVE-2016-8397
بالا Nexus 9 8 سپتامبر 2016

* وصله این شماره در دسترس عموم نیست. بروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود از سایت Google Developer موجود است .

انکار آسیب پذیری سرویس در GPS

انکار آسیب پذیری خدمات در مؤلفه GPS Qualcomm می تواند یک مهاجم از راه دور را قادر سازد که دستگاه را آویزان یا راه اندازی مجدد کند. این مسئله به دلیل احتمال انکار موقت از راه دور خدمات ، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Google را به روز کرد تاریخ گزارش شده است
CVE-2016-5341 A-31470303 * بالا Nexus 6، Nexus 5X، Nexus 6P، Nexus 9، Android One، Pixel، Pixel XL 21 ژوئن 2016

* وصله این شماره در دسترس عموم نیست. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Denial of service vulnerability in NVIDIA camera driver

A denial of service vulnerability in the NVIDIA camera driver could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
High Pixel C Sep 9, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel networking subsystem

An elevation of privilege vulnerability in the kernel networking subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and current compiler optimizations restrict access to the vulnerable code.

CVE References Severity Updated Google devices Date reported
CVE-2016-8399 A-31349935* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm components

An information disclosure vulnerability in Qualcomm components including the camera driver and video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6756 A-29464815
QC-CR#1042068 [ 2 ]
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jun 17, 2016
CVE-2016-6757 A-30148242
QC-CR#1052821
Moderate Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Jul 13, 2016

Information disclosure vulnerability in NVIDIA librm library

An information disclosure vulnerability in the NVIDIA librm library (libnvrm) could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
Moderate Pixel C Aug 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components including the ION subsystem, Binder, USB driver and networking subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8401 A-31494725* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8402 A-31495231* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8403 A-31495348* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8404 A-31496950* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8405 A-31651010* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 21, 2016
CVE-2016-8406 A-31796940* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 27, 2016
CVE-2016-8407 A-31802656* Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
Moderate Nexus 9 Sep 13, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
Moderate Nexus 9 Sep 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8410 A-31498403
QC-CR#987010
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One Google internal

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
  • Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • December 05, 2016: Bulletin published.
  • December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
  • December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.