Google, Siyah topluluklar için ırksal eşitliği ilerletmeye kararlıdır. Nasıl olduğunu gör.
Bu sayfa, Cloud Translation API ile çevrilmiştir.
Switch to English

Android Güvenlik Bülteni — Aralık 2016

05 Aralık 2016 Updated 21 Aralık 2016

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenle birlikte, havadan (OTA) bir güncelleme yoluyla Google cihazlarına bir güvenlik güncellemesi yayınladık. Google cihazı ürün yazılımı resimleri de Google Geliştirici sitesine yayınlandı . 05 Aralık 2016 veya sonraki sürümlerin güvenlik düzeltme eki düzeyleri tüm bu sorunları giderir. Bir aygıtın güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programına bakın.

Ortaklara 07 Kasım 2016 veya daha önceki bültende açıklanan konular bildirildi. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposuna yayınlandı ve bu bültene bağlandı. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar da içerir.

Bu sorunlardan en önemlisi, çekirdek bağlamında rasgele kod yürütülmesine olanak tanıyan ve işletim sistemini aygıtı onarmak için yeniden işlemeyi gerektirebilecek yerel bir kalıcı aygıt güvenliği tehlikesi oluşturabilecek aygıta özgü koddaki kritik güvenlik açıklarıdır. . Önem derecesi değerlendirmesi , platform ve hizmet azaltma önlemlerinin geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı takdirde, güvenlik açığından yararlanma olasılığının etkilenen bir aygıtta sahip olacağı etkiyi temel alır.

Yeni bildirilen bu sorunların aktif müşteri sömürüsü veya kötüye kullanımı ile ilgili raporumuz yoktu. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi servis korumaları hakkında ayrıntılar için Android ve Google hizmet azaltma bölümüne bakın.

Tüm müşterileri bu güncellemeleri cihazlarında kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bültende, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı bir şekilde düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyi dizesi vardır. Ek bilgi için Sık sorulan sorular ve yanıtları inceleyin :
    • 2016-12-01 : Kısmi güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-12-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
    • 2016-12-05 : Tam güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-12-01 ve 2016-12-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
  • Desteklenen Google cihazları, 05 Aralık 2016 güvenlik düzeltme eki düzeyiyle tek bir OTA güncellemesi alacaktır.

Android ve Google hizmet azaltma işlemleri

Bu, Android güvenlik platformu tarafından sağlanan hafifletmelerin ve SafetyNet gibi hizmet korumalarının bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android'deki birçok sorun için sömürü, Android platformunun daha yeni sürümlerindeki geliştirmelerle daha da zorlaşıyor. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemelerini öneririz.
  • Android Güvenlik ekibi, kullanıcıları Potansiyel Olarak Zararlı Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izler. Google Mobil Hizmetleri olan cihazlarda Uygulamaların varsayılan olarak etkin olduğunu doğrulayın ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçlarının Google Play'de yasaklanması, ancak Doğrulama Uygulamalarının, nereden olursa olsun algılanan bir köklendirme uygulaması yüklemeye çalışırken kullanıcıları uyarması. Buna ek olarak, Apps bir ayrıcalık yükselmesi güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların kurulumunu belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaların kullanıcıyı bilgilendireceğini ve algılanan uygulamayı kaldırmaya çalışacağını doğrulayın.
  • Google Hangouts ve Messenger uygulamaları uygun şekilde medyayı Mediaserver gibi işlemlere otomatik olarak geçirmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

Bu güvenlik bültenine katkılarından dolayı Bottle Tech'den MengLuo Gou'ya ( @ idhyt3r ), Yong Wang (王勇) ( @ ThomasKing2014 ) ve Google'dan Zubin Mithra'ya teşekkür ederiz.

2016-12-01 güvenlik düzeltme eki düzeyi - Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-12-01 düzeltme eki düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun bir açıklaması, bir önem mantığı ve CVE ile ilgili bir tablo, ilişkili başvurular, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor tarihi vardır. Mümkün olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden çok değişiklik tek bir hata ile ilgili olduğunda, hata referansını izleyen numaralara ek referanslar bağlanır.

CURL / LIBCURL'de uzaktan kod yürütme güvenlik açığı

Tablo, CURL ve LIBCURL kitaplıklarını etkileyen güvenlik açıklarını içermektedir. En ciddi sorun, sahte bir sertifika kullanan ortadaki bir saldırganın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Saldırganın sahte sertifika alması nedeniyle bu sorun Yüksek olarak derecelendirildi.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-5419 A-31271247 Yüksek Herşey 7 3 Ağu 2016
CVE-2016-5420 A-31271247 Yüksek Herşey 7 3 Ağu 2016
CVE-2016-5421 A-31271247 Yüksek Herşey 7 3 Ağu 2016

Libziparchive'da ayrıcalık yükselmesi güvenlik açığı

Libziparchive kitaplığındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6762 A-31251826 [ 2 ] Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 Ağu 2016

Telefonda hizmet reddi güvenlik açığı

Telefondaki hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosyayı kullanmasını sağlayabilir. Bu sorun, yerel kalıcı hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6763 A-31530456 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 Eyl 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'da bir hizmet reddi güvenlik açığı, bir saldırganın bir aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasını sağlayabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6766 A-31318219 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 Eyl 2016
CVE-2016-6765 A-31449945 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 7.0 13 Eyl 2016
CVE-2016-6764 A-31681434 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 22 Eyl 2016
CVE-2016-6767 A-31833604 Yüksek Yok* 4.4.4 Google dahili

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Framesequence kütüphanesinde Uzaktan Kod Yürütme güvenlik açığı

Framesequence kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıksız bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Framesequence kitaplığını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6768 A-31631842 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 Eyl 2016

Smart Lock'ta ayrıcalık yükselmesi güvenlik açığı

Smart Lock'taki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü niyetli kullanıcının PIN olmadan Smart Lock ayarlarına erişmesini sağlayabilir. Bu sorun, önce Smart Lock'un kullanıcı tarafından erişilen son ayarlar bölmesi olduğu kilidi açılmış bir cihaza fiziksel erişim gerektirdiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6769 A-29055171 ılımlı Yok* 5.0.2, 5.1.1, 6.0, 6.0.1 27 Mayıs 2016

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı

Framework API'sindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın erişim düzeyinin ötesindeki sistem işlevlerine erişmesini sağlayabilir. Kısıtlı bir işlemde kısıtlamaların yerel bir baypas olması nedeniyle bu sorun Orta olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6770 A-30202228 ılımlı Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 Temmuz 2016

Telefonda ayrıcalık yükselmesi güvenlik açığı

Telefondaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın sistem işlevlerine erişim düzeyinin ötesine erişmesini sağlayabilir. Kısıtlı bir işlemde kısıtlamaların yerel bir baypas olması nedeniyle bu sorun Orta olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6771 A-31566390 ılımlı Herşey 6.0, 6.0.1, 7.0 17 Eyl 2016

Kablosuz ağda ayrıcalık yükselmesi güvenlik açığı

Kablosuz ağda bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6772 A-31856351 [ 2 ] ılımlı Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 Eyl 2016

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6773 A-30481714 [ 2 ] ılımlı Herşey 6.0, 6.0.1, 7.0 27 Temmuz 2016

Paket Yöneticisi'nde bilginin açığa çıkması güvenlik açığı

Paket Yöneticisi'ndeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan yalıtan işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Güncellenmiş AOSP sürümleri Rapor tarihi
CVE-2016-6774 A-31251489 ılımlı Herşey 7 29 Ağu 2016

2016-12-05 güvenlik düzeltme eki düzeyi - Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-12-05 düzeltme eki düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun bir açıklaması, bir önem mantığı ve CVE ile ilgili bir tablo, ilişkili başvurular, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor tarihi vardır. Mümkün olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden çok değişiklik tek bir hata ile ilgili olduğunda, hata referansını izleyen numaralara ek referanslar bağlanır.

Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden yapılandırılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-4794 A-31596597
Memba çekirdeği [ 2 ]
kritik Piksel C, Piksel, Piksel XL 17 Nisan 2016
CVE-2016-5195 A-32141528
Memba çekirdeği [ 2 ]
kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Piksel C, Nexus Oynatıcı, Piksel, Piksel XL 12 Ekim 2016

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden yapılandırılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6775 A-31222873 *
N, SVO-2016-6775
kritik Nexus 9 25 Ağu 2016
CVE-2016-6776 A-31680980 *
N, SVO-2016-6776
kritik Nexus 9 22 Eyl 2016
CVE-2016-6777 A-31910462 *
N, SVO-2016-6777
kritik Nexus 9 3 Ekim 2016

* Bu sorun için düzeltme eki genel kullanıma açık değildir. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekte bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden yapılandırılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2015-8966 A-31435731
Memba çekirdeği
kritik Yok* 10 Eyl 2016

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA video sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden yapılandırılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6915 A-31471161 *
N, SVO-2016-6915
kritik Nexus 9 13 Eyl 2016
CVE-2016-6916 A-32072350 *
N, SVO-2016-6916
kritik Nexus 9, Piksel C 13 Eyl 2016
CVE-2016-6917 A-32072253 *
N, SVO-2016-6917
kritik Nexus 9 13 Eyl 2016

* Bu sorun için düzeltme eki genel kullanıma açık değildir. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

Çekirdek ION sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ION sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden yapılandırılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin aşılması olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-9120 A-31568617
Memba çekirdeği
kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel C, Nexus Oynatıcı 16 Eyl 2016

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Kasım 2015 güvenlik bülteninde daha ayrıntılı olarak açıklanmaktadır.

CVE Referanslar Önem * Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-8411 A-31805216 ** kritik Nexus 6, Nexus 6P, Android One Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlenmiştir.

** Bu sorun için düzeltme eki herkese açık değil. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2014-4014 A-31252187
Memba çekirdeği
Yüksek Nexus 6, Nexus Oynatıcı 10 Haziran 2014

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekte bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü önce ayrı bir güvenlik açığından yararlanılmasını gerektirir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2015-8967 A-31703084
Memba çekirdeği
Yüksek Nexus 5X, Nexus 6P, Nexus 9, Piksel C, Piksel, Piksel XL 8 Ocak 2015

HTC ses codec sürücüsünde ayrıcalık yükselmesi güvenlik açığı

HTC ses codec sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6778 A-31384646 * Yüksek Nexus 9 25 Şub 2016
CVE-2016-6779 A-31386004 * Yüksek Nexus 9 25 Şub 2016
CVE-2016-6780 A-31251496 * Yüksek Nexus 9 30 Ağu 2016

* Bu sorun için düzeltme eki herkese açık değil. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6492 A-28175122
MT-ALPS02696413
Yüksek Yok* 11 Nisan 2016
CVE-2016-6781 A-31095175
MT-ALPS02943455
Yüksek Yok* 22 Ağu 2016
CVE-2016-6782 A-31224389
MT-ALPS02943506
Yüksek Yok* 24 Ağu 2016
CVE-2016-6783 A-31350044
MT-ALPS02943437
Yüksek Yok* 6 Eyl 2016
CVE-2016-6784 A-31350755
MT-ALPS02961424
Yüksek Yok* 6 Eyl 2016
CVE-2016-6785 A-31748056
MT-ALPS02961400
Yüksek Yok* 25 Eyl 2016

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm medya codec bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

Qualcomm medya codec bileşenlerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6761 A-29421682 *
QC-CR # 1055792
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Oynatıcı, Piksel, Piksel XL 16 Haziran 2016
CVE-2016-6760 A-29617572 *
QC-CR # 1055783
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Oynatıcı, Piksel, Piksel XL 23 Haziran 2016
CVE-2016-6759 A-29982686 *
QC-CR # 1055766
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Oynatıcı, Piksel, Piksel XL 04 Temmuz 2016
CVE-2016-6758 A-30148882 *
QC-CR # 1071731
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Oynatıcı, Piksel, Piksel XL 13 Temmuz 2016

* Bu sorun için düzeltme eki genel kullanıma açık değildir. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü niyetli bir uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6755 A-30740545
QC-CR # 1065916
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 3 Ağu 2016

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6786 A-30955111 Memba çekirdeği Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Piksel C, Nexus Oynatıcı, Piksel, Piksel XL 18 Ağu 2016
CVE-2016-6787 A-31095224 Memba çekirdeği Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Piksel C, Nexus Oynatıcı, Piksel, Piksel XL 22 Ağu 2016

MediaTek I2C sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek I2C sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6788 A-31224428
MT-ALPS02943467
Yüksek Yok* 24 Ağu 2016

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA libomx kütüphanesinde ayrıcalık yükselmesi güvenlik açığı

NVIDIA libomx kitaplığındaki (libnvomx) bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6789 A-31251973 *
N, SVO-2016-6789
Yüksek Piksel C 29 Ağu 2016
CVE-2016-6790 A-31251628 *
N, SVO-2016-6790
Yüksek Piksel C 28 Ağu 2016

* Bu sorun için düzeltme eki genel kullanıma açık değildir. Güncelleme, Google Geliştirici sitesinden erişilebilen Google cihazları için en son ikili sürücülerde bulunmaktadır.

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-6791 A-31252384
QC-CR # 1071809
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 31 Ağu 2016
CVE-2016-8391 A-31253255
QC-CR # 1072166
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 31 Ağu 2016
CVE-2016-8392 A-31385862
QC-CR # 1073136
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 8 Eyl 2016

Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2015-7872 A-31253168
Memba çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Oynatıcı, Piksel, Piksel XL 31 Ağu 2016

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-8393 A-31911920 * Yüksek Nexus 5X, Nexus 6P, Nexus 9, Android One, Piksel, Piksel XL 8 Eyl 2016
CVE-2016-8394 A-31913197 * Yüksek Nexus 9, Android One 8 Eyl 2016

* Bu sorun için düzeltme eki herkese açık değil. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsünde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirildi çünkü önce ayrıcalıklı bir işlemden ödün verilmesini gerektiriyor.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2014-9909 A-31676542
B-RB # 26684
Yüksek Yok* 21 Eyl 2016
CVE-2014-9910 A-31746399
B-RB # 26710
Yüksek Yok* 26 Eyl 2016

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek video sürücüsünde bilgi açığı güvenlik açığı

MediaTek video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-8396 A-31249105 Yüksek Yok* 26 Ağu 2016

* Mevcut tüm güncellemeleri yükleyen Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA video sürücüsünde bilgi açığı güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-8397 A-31385953 *
N, SVO-2016-8397
Yüksek Nexus 9 8 Eyl 2016

* Bu sorun için düzeltme eki herkese açık değil. Güncelleme, Google Geliştirici sitesinde bulunan Google cihazları için en son ikili sürücülerde bulunur.

GPS'de hizmet reddi güvenlik açığı

Qualcomm GPS bileşenindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın bir cihazın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Bu sorun, uzaktan uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar şiddet Güncellenmiş Google cihazları Rapor tarihi
CVE-2016-5341 A-31470303 * Yüksek Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Piksel, Piksel XL 21 Haziran 2016

* Bu sorun için düzeltme eki herkese açık değil. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Denial of service vulnerability in NVIDIA camera driver

A denial of service vulnerability in the NVIDIA camera driver could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
High Pixel C Sep 9, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel networking subsystem

An elevation of privilege vulnerability in the kernel networking subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and current compiler optimizations restrict access to the vulnerable code.

CVE References Severity Updated Google devices Date reported
CVE-2016-8399 A-31349935* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm components

An information disclosure vulnerability in Qualcomm components including the camera driver and video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-6756 A-29464815
QC-CR#1042068 [ 2 ]
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Jun 17, 2016
CVE-2016-6757 A-30148242
QC-CR#1052821
Moderate Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Jul 13, 2016

Information disclosure vulnerability in NVIDIA librm library

An information disclosure vulnerability in the NVIDIA librm library (libnvrm) could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
Moderate Pixel C Aug 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in kernel components

An information disclosure vulnerability in kernel components including the ION subsystem, Binder, USB driver and networking subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8401 A-31494725* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8402 A-31495231* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 13, 2016
CVE-2016-8403 A-31495348* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8404 A-31496950* Moderate Nexus 9 Sep 13, 2016
CVE-2016-8405 A-31651010* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 21, 2016
CVE-2016-8406 A-31796940* Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Sep 27, 2016
CVE-2016-8407 A-31802656* Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
Moderate Nexus 9 Sep 13, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
Moderate Nexus 9 Sep 13, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Google devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8410 A-31498403
QC-CR#987010
Moderate Nexus 5X, Nexus 6, Nexus 6P, Android One Google internal

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2016-12-01 or later address all issues associated with the 2016-12-01 security patch level.
  • Security patch levels of 2016-12-05 or later address all issues associated with the 2016-12-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the December 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of December 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2016-12-01 and 2016-12-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • December 05, 2016: Bulletin published.
  • December 07, 2016: Bulletin revised to include AOSP links and updated attribution for CVE-2016-6915, CVE-2016-6916 and CVE-2016-6917.
  • December 21, 2016: Corrected typos in CVE-2016-8411 description and Common Questions and Answers.