Android Güvenlik Bülteni—Ocak 2017

03 Ocak 2017 tarihinde yayınlandı | 2 Şubat 2017'de güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) bir güncelleme aracılığıyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazı donanım yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Ocak 2017 veya sonraki güvenlik yaması seviyeleri, tüm bu sorunları giderir. Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 05 Aralık 2016 veya daha önce bilgilendirildi. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantı verildi. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
    • 2017-01-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 2017-01-01 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
    • 2017-01-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-01-01 ve 2017-01-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
  • Desteklenen Google cihazları, 05 Ocak 2017 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.

Güvenlik açığı özeti

Aşağıdaki tablolar, güvenlik açıklarının bir listesini, Ortak Güvenlik Açığı ve Etkilenme Kimliğini (CVE), değerlendirilen önem derecesini ve Google cihazlarının etkilenip etkilenmediğini içerir. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Android ve Google hizmeti azaltmaları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

Bu bültene katkılarından dolayı aşağıdaki araştırmacılara da teşekkür ederiz:

  • Alibaba Mobil Güvenlik Grubundan Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang ve Yang Song
  • Trend Micro'dan Peter Pi ( @heisecode )
  • Google'dan Zubin Mithra

2017-01-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-01-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

c-ares'te uzaktan kod yürütme güvenlik açığı

c-ares'teki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir istek kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-5180 A-32205736 Yüksek Herşey 7.0 29 Eylül 2016

Çerçeve Sırasında uzaktan kod yürütme güvenlik açığı

Framesequence kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0382 A-32338390 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 Ekim 2016

Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı

Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0383 A-31677614 Yüksek Herşey 7.0, 7.1.1 21 Eylül 2016

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0384 A-32095626 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 Eki 2016
CVE-2017-0385 A-32585400 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 Eki 2016

libnl'de ayrıcalık yükselmesi güvenlik açığı

libnl kitaplığındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0386 A-32255299 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Eki 2016

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0387 A-32660278 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 Kasım 2016

Harici Depolama Sağlayıcısında bilginin açığa çıkması güvenlik açığı

Harici Depolama Sağlayıcısındaki bir bilginin açığa çıkması güvenlik açığı, yerel bir ikincil kullanıcının, birincil kullanıcı tarafından takılan harici depolama SD kartından veri okumasını sağlayabilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0388 A-32523490 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Çekirdek ağda hizmet reddi güvenlik açığı

Çekirdek ağdaki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış ağ paketini kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 20 Tem 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0390 A-31647370 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 Eylül 2016
CVE-2017-0391 A-32322258 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 20 Ekim 2016
CVE-2017-0392 A-32577290 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 Ekim 2016
CVE-2017-0393 A-30436808 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Telefonda hizmet reddi güvenlik açığı

Telephony'deki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0394 A-31752213 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 Eylül 2016

Kişiler'de ayrıcalık yükselmesi güvenlik açığı

Kişiler'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın iletişim bilgilerini sessizce oluşturmasına olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması (normalde kullanıcı başlatma veya kullanıcı izni gerektiren işlevlere erişim) olduğu için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0395 A-32219099 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 Ekim 2016

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0381 A-31607432 Ilıman Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Eylül 2016
CVE-2017-0396 A-31781965 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 Eylül 2016
CVE-2017-0397 A-32377688 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 Ekim 2016

Audioserver'da bilginin açığa çıkması güvenlik açığı

Audioserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0398 A-32438594 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0398 A-32635664 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0398 A-32624850 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0399 A-32247948 [ 2 ] Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Eki 2016
CVE-2017-0400 A-32584034 [ 2 ] Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0401 A-32448258 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 Ekim 2016
CVE-2017-0402 A-32436341 [ 2 ] Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016

2017-01-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-01-05 yama düzeyine uygulanan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2015-3288 A-32460277
yukarı akış çekirdeği
kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 9 Tem 2015

Qualcomm önyükleyicide ayrıcalık yükselmesi güvenlik açığı

Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8422 A-31471220
QC-CR#979426
kritik Nexus 6, Nexus 6P, Piksel, Piksel XL 22 Tem 2016
CVE-2016-8423 A-31399736
KK-CR#1000546
kritik Nexus 6P, Piksel, Piksel XL 24 Ağu 2016

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2015-5706 A-32289301
yukarı akış çekirdeği
kritik Hiçbiri* 1 Ağu 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
kritik Bağlantı Noktası 9 17 Eylül 2016
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
kritik Bağlantı Noktası 9 28 Eylül 2016
CVE-2016-8426 A-3179206*
N-CVE-2016-8426
kritik Bağlantı Noktası 9 28 Eylül 2016
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
kritik Bağlantı Noktası 9 28 Eylül 2016
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
kritik Bağlantı Noktası 9 28 Eylül 2016
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
kritik Bağlantı Noktası 9 6 Ekim 2016
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
kritik Bağlantı Noktası 9 13 Ekim 2016
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
kritik Bağlantı Noktası 9 17 Ekim 2016
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
kritik Piksel C 25 Ekim 2016
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
kritik Piksel C 26 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8433 A-31750190*
MT-ALPS02974192
kritik Hiçbiri** 24 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8434 A-32125137
QC-CR#1081855
kritik Nexus 5X, Nexus 6, Nexus 6P, Android Bir 12 Ekim 2016

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
kritik Piksel C 7 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8436 A-32450261
QC-CR#1007860
kritik Hiçbiri* 13 Ekim 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Kasım 2015, Ağustos 2016, Eylül 2016 ve Ekim 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmıştır.

CVE Referanslar önem* Google cihazları güncellendi Bildirilen tarih
CVE-2016-8438 A-31624565** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8442 A-31625910** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8443 A-32576499** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8437 A-31623057** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8439 A-31625204** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8440 A-31625306** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8441 A-31625904** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8398 A-31548486** Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android Bir Qualcomm dahili
CVE-2016-8459 A-32577972** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-5080 A-31115235** Ilıman Nexus 5X Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

*** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm kamerada ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamerasındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8412 A-31225246
QC-CR#1071891
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 26 Ağu 2016
CVE-2016-8444 A-31243641*
KK-CR#1074310
Yüksek Nexus 5X, Nexus 6, Nexus 6P 26 Ağu 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

Termal sürücü ve video sürücüsü de dahil olmak üzere MediaTek bileşenlerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8445 A-31747590*
MT-ALPS02968983
Yüksek Hiçbiri** 25 Eylül 2016
CVE-2016-8446 A-31747749*
MT-ALPS02968909
Yüksek Hiçbiri** 25 Eylül 2016
CVE-2016-8447 A-31749463*
MT-ALPS02968886
Yüksek Hiçbiri** 25 Eylül 2016
CVE-2016-8448 A-31791148*
MT-ALPS02982181
Yüksek Hiçbiri** 28 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8415 A-31750554
QC-CR#1079596
Yüksek Nexus 5X, Piksel, Piksel XL 26 Eylül 2016

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
Yüksek Bağlantı Noktası 9 28 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8450 A-32450563
QC-CR#880388
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android Bir 13 Ekim 2016

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8451 A-32178033* Yüksek Hiçbiri** 13 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-7042 A-32178986
yukarı akış çekirdeği
Yüksek Piksel C 14 Ekim 2016

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0403 A-32402548* Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 25 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0404 A-32510733* Yüksek Nexus 5X, Nexus 6P, Nexus 9, Piksel C, Nexus Oynatıcı, Piksel, Piksel XL 27 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8452 A-32506396
QC-CR#1050323
Yüksek Nexus 5X, Android Bir, Piksel, Piksel XL 28 Ekim 2016

Qualcomm radyo sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm radyo sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-5345 A-32639452
QC-CR#1079713
Yüksek Android Bir 3 Kasım 2016

Çekirdek profil oluşturma alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek profil oluşturma alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-9754 A-32659848
yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı 4 Kasım 2016

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8453 A-24739315*
B-RB#73392
Yüksek Bağlantı Noktası 6 Google dahili
CVE-2016-8454 A-32174590*
B-RB#107142
Yüksek Nexus 6, Nexus 6P, Nexus 9, Piksel C, Nexus Oynatıcı 14 Ekim 2016
CVE-2016-8455 A-32219121*
B-RB#106311
Yüksek Nexus 6P 15 Ekim 2016
CVE-2016-8456 A-32219255*
B-RB#105580
Yüksek Nexus 6, Nexus 6P, Nexus 9, Piksel C, Nexus Oynatıcı 15 Ekim 2016
CVE-2016-8457 A-32219453*
B-RB#106116
Yüksek Nexus 6, Nexus 6P, Nexus 9, Piksel C 15 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8458 A-31968442* Yüksek Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google dahili

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
Yüksek Bağlantı Noktası 9 21 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in bootloader

An information disclosure vulnerability in the bootloader could enable a local attacker to access data outside of its permission level. This issue is rated as High because it could be used to access sensitive data.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8461 A-32369621* Yüksek Nexus 9, Pixel, Pixel XL Oct 21, 2016
CVE-2016-8462 A-32510383* Yüksek Pixel, Pixel XL Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in Qualcomm FUSE file system

A denial of service vulnerability in the Qualcomm FUSE file system could enable a remote attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8463 A-30786860
QC-CR#586855
Yüksek None* Jan 03, 2014

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Denial of service vulnerability in bootloader

A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8467 A-30308784* Yüksek Nexus 6, Nexus 6P Jun 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Broadcom Wi-Fi driver

An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8464 A-29000183*
B-RB#106314
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player May 26, 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Sep 28, 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Binder

An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8468 A-32394425* Ilıman Pixel C, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Ilıman Nexus 9 Sep 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek driver

An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Ilıman None** Sep 15, 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Ilıman None** Sep 15, 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Ilıman None** Sep 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in STMicroelectronics driver

An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8473 A-31795790* Ilıman Nexus 5X, Nexus 6P Sep 28, 2016
CVE-2016-8474 A-31799972* Ilıman Nexus 5X, Nexus 6P Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm audio post processor

An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE Referanslar önem Updated Google devices Güncellenmiş AOSP sürümleri Date reported
CVE-2017-0399 A-32588756 [ 2 ] Ilıman All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 18, 2016
CVE-2017-0400 A-32438598 [ 2 ] Ilıman All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016
CVE-2017-0401 A-32588016 Ilıman All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 26, 2016
CVE-2017-0402 A-32588352 [ 2 ] Ilıman All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016

Information disclosure vulnerability in HTC input driver

An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8475 A-32591129* Ilıman Pixel, Pixel XL Oct 30, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel file system

A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.

CVE Referanslar önem Updated Google devices Date reported
CVE-2014-9420 A-32477499
yukarı akış çekirdeği
Ilıman Pixel C Dec 25, 2014

Common Questions and Answers

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.

  • Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
  • Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. These prefixes map as follows:

Önek Referans
A- Android hata kimliği
KK- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revisions

  • January 03, 2017: Bulletin published.
  • January 04, 2017: Bulletin revised to include AOSP links.
  • January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
  • January 12, 2017: Removed duplicate entry for CVE-2016-8467.
  • January 24, 2017: Updated description and severity for CVE-2017-0381.
  • February 2, 2017: Updated CVE-2017-0389 with additional patch link.