Google अश्वेत समुदायों के लिए नस्लीय इक्विटी को आगे बढ़ाने के लिए प्रतिबद्ध है। देखो कैसे।
इस पेज का अनुवाद Cloud Translation API से किया गया है.
Switch to English

Android सुरक्षा बुलेटिन-दिसंबर 2016

प्रकाशित 05 दिसंबर, 2016 | 21 दिसंबर 2016 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अद्यतन जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 दिसंबर 2016 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए Pixel और Nexus अपडेट शेड्यूल देखें।

पार्टनर्स को 07 नवंबर 2016 या उससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर डिवाइस-विशिष्ट कोड में महत्वपूर्ण सुरक्षा कमजोरियां हैं जो कर्नेल के संदर्भ में मनमाने ढंग से कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता होने की संभावना होती है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है। । गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का दोहन संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। का संदर्भ लें Android और गूगल सेवा mitigations पर जानकारी के लिए खंड Android सुरक्षा मंच सुरक्षा और जैसे सेवा सुरक्षा SafetyNet है, जो Android मंच की सुरक्षा में सुधार।

हम सभी ग्राहकों को अपने उपकरणों के लिए इन अद्यतनों को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएँ

  • इस बुलेटिन में एंड्रॉइड पार्टनर को लचीलापन प्रदान करने के लिए दो सुरक्षा पैच लेवल स्ट्रिंग्स हैं, जो सभी एंड्रॉइड डिवाइसों के समान समान कमजोरियों को जल्दी से ठीक करने में मदद करता है। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-12-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-12-01 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-12-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-12-01 और 2016-12-05 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 दिसंबर, 2016 के सुरक्षा पैच स्तर के साथ एकल ओटीए अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि सेफ्टीनेट द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • Android प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा Android पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुर्व्यवहार की निगरानी करती है , जो संभावित रूप से हानिकारक अनुप्रयोगों के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए डिज़ाइन की गई हैं। सत्यापित करें कि ऐप्स Google मोबाइल सेवाओं के साथ उपकरणों पर डिफ़ॉल्ट रूप से सक्षम हैं और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण हैं जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play के भीतर डिवाइस रूटिंग टूल निषिद्ध हैं, लेकिन सत्यापित ऐप्स उपयोगकर्ताओं को चेतावनी देते हैं कि जब वे पता लगाए गए रुटिंग एप्लिकेशन को स्थापित करने का प्रयास करते हैं - कोई फर्क नहीं पड़ता कि यह कहां से आता है। इसके अतिरिक्त, सत्यापित ऐप्लिकेशन उन दुर्भावनापूर्ण एप्लिकेशनों की स्थापना और पहचान करने का प्रयास करता है जो विशेषाधिकार वृद्धि की भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो वेरिफाई ऐप्स उपयोगकर्ता को सूचित करेगा और पता किए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • उचित रूप से, Google हैंगआउट और मैसेंजर एप्लिकेशन मीडिया को मेडीसेवर जैसी प्रक्रियाओं से स्वचालित रूप से पारित नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहेंगे:

अतिरिक्त धन्यवाद करने के लिए MengLuo गो (धन्यवाद @ idhyt3r बोतल टेक), योंग वांग (王勇) ( @ ThomasKing2014 इस सुरक्षा बुलेटिन में उनके योगदान के लिए), और गूगल के जुबिन Mithra।

2016-12-01 सुरक्षा पैच स्तर - भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। इस मुद्दे का विवरण, एक गंभीर तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। जब उपलब्ध होगा, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई परिवर्तन एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

CURL / LIBCURL में दूरस्थ कोड निष्पादन भेद्यता

तालिका में CURL और LIBCURL पुस्तकालयों को प्रभावित करने वाली सुरक्षा कमजोरियाँ हैं। सबसे गंभीर मुद्दा एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक जाली प्रमाण पत्र का उपयोग करते हुए एक मध्य-हमलावर को सक्षम कर सकता है। जाली प्रमाणपत्र की आवश्यकता के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेट किए गए AOSP संस्करण तारीख की सूचना दी
CVE-2016-5419 ए-31271247 उच्च सब 7.0 अगस्त ३, २०१६
CVE-2016-5420 ए-31271247 उच्च सब 7.0 अगस्त ३, २०१६
CVE-2016-5421 ए-31271247 उच्च सब 7.0 अगस्त ३, २०१६

लिबासिपार्चिव में विशेषाधिकार भेद्यता की ऊंचाई

Libziparchive लाइब्रेरी में विशेषाधिकार भेद्यता का उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6762 A-31251826 [ 2 ] उच्च सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 अगस्त २०१६

टेलीफोनी में सेवा भेद्यता से इनकार

टेलीफोनी में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस हैंग या रिबूट के कारण विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा के स्थानीय स्थायी इनकार की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6763 ए-31530456 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 सितंबर 2016

मध्यस्थता में सेवा भेद्यता से इनकार

Mediaserver में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस हैंग या रिबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6766 ए-31318219 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सिपाही ५, २०१६
CVE-2016-6765 ए-31449945 उच्च सब 4.4.4, 5.0.2, 5.1.1, 7.0 सिपाही १३, २०१६
CVE-2016-6764 ए-31681434 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सिपाही २२, २०१६
CVE-2016-6767 ए-31833604 उच्च कोई नहीं * 4.4.4 Google आंतरिक

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

दूरस्थ कोड निष्पादन Framesequence पुस्तकालय में भेद्यता

Framesequence लाइब्रेरी में एक दूरस्थ कोड निष्पादन भेद्यता एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके हमलावर को सक्षम कर सकती है। Framesequence लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड के निष्पादन की संभावना के कारण इस मुद्दे को उच्च के रूप में रेट किया गया है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6768 ए-31631842 उच्च सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सिपाही १ ९, २०१६

स्मार्ट लॉक में विशेषाधिकार भेद्यता की ऊंचाई

स्मार्ट लॉक में विशेषाधिकार भेद्यता की एक ऊंचाई एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को बिना पिन के स्मार्ट लॉक सेटिंग्स तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में मूल्यांकित किया गया है क्योंकि इसमें पहले एक अनलॉक डिवाइस के लिए भौतिक पहुँच की आवश्यकता होती है, जहाँ स्मार्ट लॉक उपयोगकर्ता द्वारा एक्सेस की गई अंतिम सेटिंग फलक था।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6769 ए-29055171 मध्यम कोई नहीं * 5.0.2, 5.1.1, 6.0, 6.0.1 27 मई, 2016

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता की ऊंचाई

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता की एक ऊंचाई, स्थानीय अभिभावक एप्लिकेशन को सिस्टम के एक्सेस स्तर तक पहुंच के लिए सक्षम कर सकती है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि यह एक विवश प्रक्रिया पर प्रतिबंध का एक स्थानीय बाईपास है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6770 ए-30202228 मध्यम सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 जुलाई १६, २०१६

टेलिफोनी में विशेषाधिकार भेद्यता की ऊंचाई

टेलिफोनी में विशेषाधिकार की भेद्यता का एक उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सिस्टम एक्सेस तक पहुँच के लिए सक्षम कर सकता है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि यह एक विवश प्रक्रिया पर प्रतिबंध का एक स्थानीय बाईपास है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6771 ए-31566390 मध्यम सब 6.0, 6.0.1, 7.0 सिपाही १,, २०१६

वाई-फाई में विशेषाधिकार भेद्यता की ऊंचाई

वाई-फाई में विशेषाधिकार भेद्यता की वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि इसके लिए पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6772 A-31856351 [ 2 ] मध्यम सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 30, 2016

मेदिसेरवर में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6773 A-30481714 [ 2 ] मध्यम सब 6.0, 6.0.1, 7.0 जुलाई 27, 2016

पैकेज मैनेजर में सूचना प्रकटीकरण भेद्यता

पैकेज मैनेजर में एक सूचना प्रकटीकरण भेद्यता ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है जो अन्य एप्लिकेशनों से एप्लिकेशन डेटा को अलग करता है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि इसके लिए पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-6774 ए-31251489 मध्यम सब 7.0 अगस्त २०१६

2016-12-05 सुरक्षा पैच स्तर - भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-12-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। समस्या का विवरण, एक गंभीर तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। जब उपलब्ध होगा, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई परिवर्तन एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-4794 ए-31596597
अपस्ट्रीम कर्नेल [ 2 ]
नाजुक Pixel C, Pixel, Pixel XL अप्रैल 17, 2016
CVE-2016-5195 ए-32141528
अपस्ट्रीम कर्नेल [ 2 ]
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अक्टूबर १२, २०१६

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का एक उन्नयन कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6775 ए-31222873 *
एन CVE-2016-6775
नाजुक नेक्सस 9 अगस्त २५, २०१६
CVE-2016-6776 ए-31680980 *
एन CVE-2016-6776
नाजुक नेक्सस 9 सिपाही २२, २०१६
CVE-2016-6777 ए-31910462 *
एन CVE-2016-6777
नाजुक नेक्सस 9 अक्टूबर ३, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2015-8966 ए-31435731
अपस्ट्रीम कर्नेल
नाजुक कोई नहीं * 10 सितंबर 2016

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

NVIDIA वीडियो चालक में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6915 ए-31471161 *
एन CVE-2016-6915
नाजुक नेक्सस 9 सिपाही १३, २०१६
CVE-2016-6916 ए-32072350 *
एन CVE-2016-6916
नाजुक Nexus 9, Pixel C सिपाही १३, २०१६
CVE-2016-6917 ए-32072253 *
एन CVE-2016-6917
नाजुक नेक्सस 9 सिपाही १३, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल आयन ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल आयन ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-9120 ए-31568617
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus प्लेयर सिपाही १६, २०१६

क्वालकॉम घटकों में कमजोरियाँ

निम्न भेद्यता क्वालकॉम घटकों को प्रभावित करती है और इसे क्वालकॉम एएमएसएस नवंबर 2015 सुरक्षा बुलेटिन में और विस्तार से वर्णित किया गया है।

CVE संदर्भ तीव्रता* अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8411 ए-31805216 ** नाजुक Nexus 6, Nexus 6P, Android One क्वालकॉम आंतरिक

* इन कमजोरियों के लिए गंभीरता की रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2014-4014 ए-31252187
अपस्ट्रीम कर्नेल
उच्च नेक्सस 6, नेक्सस प्लेयर 10 जून 2014

कर्नेल में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2015-8967 ए-31703084
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL , जनवरी २०१५

HTC ध्वनि कोडेक ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

HTC साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसके लिए पहले विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6778 ए-31384646 * उच्च नेक्सस 9 फरवरी २५, २०१६
CVE-2016-6779 ए-31386004 * उच्च नेक्सस 9 फरवरी २५, २०१६
CVE-2016-6780 ए-31251496 * उच्च नेक्सस 9 अगस्त ३०, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

MediaTek ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

MediaTek ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसके लिए पहले विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-6492 ए-28175122
मीट्रिक टन ALPS02696413
उच्च कोई नहीं * अप्रैल ११, २०१६
CVE-2016-6781 ए-31095175
मीट्रिक टन ALPS02943455
उच्च कोई नहीं * अगस्त २२, २०१६
CVE-2016-6782 ए-31224389
मीट्रिक टन ALPS02943506
उच्च कोई नहीं * अगस्त २४, २०१६
CVE-2016-6783 ए-31350044
मीट्रिक टन ALPS02943437
उच्च कोई नहीं * 6 सितंबर, 2016
CVE-2016-6784 ए-31350755
मीट्रिक टन ALPS02961424
उच्च कोई नहीं * 6 सितंबर 2016
CVE-2016-6785 ए-31748056
मीट्रिक टन ALPS02961400
उच्च कोई नहीं * सिपाही २५, २०१६

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6761 ए-29421682 *
क्यूसी सीआर # 1055792
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL जून 16, 2016
CVE-2016-6760 ए-29617572 *
क्यूसी सीआर # 1055783
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL जून २३, २०१६
CVE-2016-6759 ए-29982686 *
क्यूसी सीआर # 1055766
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL जुलाई 4, 2016
CVE-2016-6758 ए-30148882 *
क्यूसी सीआर # 1071731
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL जुलाई १३, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसके लिए पहले विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6755 ए-30740545
क्यूसी सीआर # 1065916
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त ३, २०१६

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि पहले इसे एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6786 A-30955111 अपस्ट्रीम कर्नेल उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अगस्त १,, २०१६
CVE-2016-6787 A-31095224 अपस्ट्रीम कर्नेल उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अगस्त २२, २०१६

MediaTek I2C ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

MediaTek I2C ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसके लिए पहले विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6788 ए-31224428
मीट्रिक टन ALPS02943467
उच्च कोई नहीं * अगस्त २४, २०१६

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

NVIDIA libomx लाइब्रेरी में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA के libomx लाइब्रेरी (libnvomx) में विशेषाधिकार भेद्यता का उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6789 ए-31251973 *
एन CVE-2016-6789
उच्च पिक्सेल सी अगस्त २०१६
CVE-2016-6790 ए-31251628 *
एन CVE-2016-6790
उच्च पिक्सेल सी अगस्त २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि पहले इसे एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-6791 ए-31252384
क्यूसी सीआर # 1071809
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त ३१, २०१६
CVE-2016-8391 ए-31253255
क्यूसी सीआर # 1072166
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त ३१, २०१६
CVE-2016-8392 ए-31385862
क्यूसी सीआर # 1073136
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 8 सितंबर 2016

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि पहले इसे एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2015-7872 ए-31253168
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL अगस्त ३१, २०१६

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि पहले इसे एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8393 ए-31911920 * उच्च Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 सितंबर 2016
CVE-2016-8394 ए-31913197 * उच्च Nexus 9, Android One 8 सितंबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि इसके लिए पहले विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2014-9909 ए-31676542
बी-आरबी # 26,684
उच्च कोई नहीं * सिपाही २१, २०१६
CVE-2014-9910 ए-31746399
बी-आरबी # 26710
उच्च कोई नहीं * 26 सितंबर 2016

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

मीडियाटेक वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

मीडियाटेक वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

CVE संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8396 ए-31249105 उच्च कोई नहीं * अगस्त २६, २०१६

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

NVIDIA वीडियो चालक में सूचना प्रकटीकरण भेद्यता

एनवीआईडीआईए वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

CVE संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-8397 ए-31385953 *
एन CVE-2016-8397
उच्च नेक्सस 9 8 सितंबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

जीपीएस में सेवा भेद्यता से इनकार

क्वालकॉम जीपीएस घटक में सेवा भेद्यता का खंडन एक दूरस्थ हमलावर को डिवाइस हैंग या रिबूट करने में सक्षम बना सकता है। सेवा के एक अस्थायी दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

CVE संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-5341 ए-31470303 * उच्च Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL जून २१, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Denial of service vulnerability in NVIDIA camera driver

A denial of service vulnerability in the NVIDIA camera driver could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
High Pixel C Sep 9, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel networking subsystem

An elevation of privilege vulnerability in the kernel networking subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and current compiler optimizations restrict access to the vulnerable code.

CVE References Severity Updated Google devices Date reported
CVE-2016-8399 A-31349935* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm components

An information disclosure vulnerability in Qualcomm components including the camera driver and video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6756 A-29464815
QC-CR#1042068 [ 2 ]
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jun 17, 2016
CVE-2016-6757 A-30148242
QC-CR#1052821
Moderate Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Jul 13, 2016

Information disclosure vulnerability in NVIDIA librm library

An information disclosure vulnerability in the NVIDIA librm library (libnvrm) could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
Moderate Pixel C Aug 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components including the ION subsystem, Binder, USB driver and networking subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8401 A-31494725* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8402 A-31495231* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8403 A-31495348* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8404 A-31496950* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8405 A-31651010* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 21, 2016
CVE-2016-8406 A-31796940* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 27, 2016
CVE-2016-8407 A-31802656* Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
Moderate Nexus 9 Sep 13, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
Moderate Nexus 9 Sep 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8410 A-31498403
QC-CR#987010
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One Google internal

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
  • Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • December 05, 2016: Bulletin published.
  • December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
  • December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.