نشرة أمان Android - يناير 2017

نشرت في 03 يناير 2017 | تم التحديث في 2 فبراير 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، أصدرنا تحديثًا أمنيًا لأجهزة Google من خلال تحديث عبر الأثير (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 كانون الثاني (يناير) 2017 أو ما بعده تعالج كل هذه المشكلات. راجع الجدول الزمني لتحديث Pixel و Nexus للتعرف على كيفية التحقق من مستوى تصحيح أمان الجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 5 ديسمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP) وربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 2017-01-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2017-01-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2017-01-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2017-01-01 و 2017-01-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديث OTA واحد مع مستوى تصحيح الأمان في 05 يناير 2017.

ملخص الثغرات الأمنية

تحتوي الجداول أدناه على قائمة بالثغرات الأمنية ، ومعرّف الثغرات الأمنية الشائعة والتعرضات (CVE) ، والخطورة التي تم تقييمها ، وما إذا كانت أجهزة Google تتأثر أم لا. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي للأمان في Android وإجراءات حماية الخدمة ، مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • الكسندرو بلاندا: CVE-2017-0390
  • Daniel Micay من Copperhead Security: CVE-2017-0397
  • Daxing Guo ( @ freener0 ) من Xuanwu Lab ، Tencent: CVE-2017-0386
  • derrek ( @ derrekr6 ): CVE-2017-0392
  • Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، Tencent: CVE-2016-8412 ، CVE-2016-8444 ، CVE-2016-8427 ، CVE-2017-0403
  • donfos (Aravind Machiry) من فريق Shellphish Grill ، جامعة كاليفورنيا سانتا باربرا: CVE-2016-8448 ، CVE-2016-8470 ، CVE-2016-8471 ، CVE-2016-8472
  • En He ( @ heeeeen4x ) من MS509Team : CVE-2017-0394
  • Gengjia Chen ( @ chengjia4574 ) و pjf of IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-8464
  • فريق Google WebM: CVE-2017-0393
  • Guang Gong (龚 广) ( oldfresher ) من فريق Alpha ، Qihoo 360 Technology Co. Ltd .: CVE-2017-0387
  • Hao Chen و Guang Gong من فريق Alpha ، Qihoo 360 Technology Co. Ltd: CVE-2016-8415، CVE-2016-8454، CVE-2016-8455، CVE-2016-8456، CVE-2016-8457، CVE-2016 -8465
  • Jianqiang Zhao ( jianqiangzhao ) و pjf من IceSword Lab ، Qihoo 360: CVE-2016-8475
  • جون سوير ( jcase ) وشون بيوبري ( firewaterdevs ): CVE-2016-8462
  • جون سوير ( jcase ) ، وشون بيوبري ( firewaterdevs ) ، وبن أكتيس ( Ben_RA ): CVE-2016-8461
  • Mingjian Zhou ( Mingjian_Zhou ) و Yuqi Lu ( @ nikos233 ) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0383
  • Monk Avel: CVE-2017-0396، CVE-2017-0399
  • Peter Pi ( heisecode ) من Trend Micro: CVE-2016-8469، CVE-2016-8424، CVE-2016-8428، CVE-2016-8429، CVE-2016-8460، CVE-2016-8473، CVE-2016- 8474
  • Qidan He (何 淇 丹) ( flanker_hqd ) من KeenLab ، تينسنت (腾讯 科恩 实验室): CVE-2017-0382
  • Roee Hay و Michael Goberman من IBM Security X-Force: CVE-2016-8467
  • Seven Shen ( lingtongshen ) من فريق Trend Micro Mobile Threat Research Team: CVE-2016-8466
  • ستيفن مورو: CVE-2017-0389
  • VEO ( VYSEa ) من فريق Mobile Threat Research Team ، Trend Micro : CVE-2017-0381
  • Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2017-0391
  • Wenke Dou و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0402، CVE-2017-0398
  • Wenke Dou و Hanxiang Wen و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0400
  • Wenke Dou و Hongli Han و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0384، CVE-2017-0385
  • Wenke Dou و Yuqi Lu ( @ nikos233 ) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0401
  • Yao Jun و Yuan-Tsung Lo و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-8431، CVE-2016-8432، CVE-2016-8435
  • Yong Wang (王勇) ( ThomasKing2014 ) و Jun Cheng من Alibaba Inc .: CVE-2017-0404
  • Yuan-Tsung Lo و Tong Lin و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-8425، CVE-2016-8426، CVE-2016-8449
  • Yuan-Tsung Lo و Yanfeng Wang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-8430، CVE-2016-8482
  • Yuxiang Li ( @ Xbalien29 ) من Tencent Security Platform Department: CVE-2017-0395
  • Zhanpeng Zhao (行 之) ( @ 0xr0ot ) من مختبر أبحاث الأمان ، Cheetah Mobile : CVE-2016-8451

كما نود أن نشكر الباحثين التالية أسماؤهم على مساهماتهم في هذه النشرة:

  • باوزنغ دينغ ، تشنغمينغ يانغ ، بنغ شياو ، نينغ يو ، يانغ دونغ ، تشاو يانغ ، يي زانغ ويانغ سونغ من مجموعة علي بابا موبايل سيكيوريتي غروب
  • Peter Pi ( heisecode ) من Trend Micro
  • زوبين ميثرا من جوجل

2017-01-01 مستوى تصحيح الأمان — تفاصيل الثغرة الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-01-01. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في c-ares

قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في c-ares إلى تمكين المهاجم باستخدام طلب مُعد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في أحد التطبيقات التي تستخدم هذه المكتبة.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-5180 أ -32205736 عالٍ الجميع 7.0 29 سبتمبر 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Framesequence

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بامتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم مكتبة Framesequence.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0382 أ -32338390 عالٍ الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 21 أكتوبر 2016

رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework

قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0383 A-31677614 عالٍ الجميع 7.0 ، 7.1.1 21 سبتمبر 2016

ارتفاع ضعف الامتياز في Audioserver

يمكن أن يؤدي ارتفاع ثغرة الامتياز في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0384 أ -32095626 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 11 أكتوبر 2016
CVE-2017-0385 A-32585400 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 11 أكتوبر 2016

رفع مستوى ضعف الامتياز في libnl

قد يؤدي ارتفاع ثغرة الامتياز في مكتبة libnl إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0386 A-32255299 عالٍ الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 18 أكتوبر 2016

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0387 أ -32660278 عالٍ الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 4 نوفمبر 2016

ثغرة الكشف عن المعلومات في مزود التخزين الخارجي

قد تؤدي ثغرة الكشف عن المعلومات في موفر التخزين الخارجي إلى تمكين المستخدم الثانوي المحلي من قراءة البيانات من بطاقة SD للتخزين الخارجي تم إدخالها بواسطة المستخدم الأساسي. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0388 A-32523490 عالٍ الجميع 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 جوجل الداخلية

الحرمان من ضعف الخدمة في الشبكات الأساسية

قد يؤدي رفض وجود ثغرة أمنية في الشبكة الأساسية إلى تمكين المهاجم عن بُعد من استخدام حزمة شبكة مُعدة خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] عالٍ الجميع 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 20 يوليو 2016

ضعف رفض الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم عن بُعد من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0390 A-31647370 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 19 سبتمبر 2016
CVE-2017-0391 A-32322258 عالٍ الجميع 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 20 أكتوبر 2016
CVE-2017-0392 A-32577290 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 29 أكتوبر 2016
CVE-2017-0393 أ -30436808 عالٍ الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 جوجل الداخلية

ضعف رفض الخدمة في الهتفية

قد يؤدي رفض وجود ثغرة أمنية في الخدمة في الهتفية إلى تمكين مهاجم بعيد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0394 أ -31752213 عالٍ الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 23 سبتمبر 2016

ارتفاع ثغرة أمنية في الامتيازات في جهات الاتصال

قد يؤدي ارتفاع ثغرة أمنية في الامتيازات في جهات الاتصال إلى تمكين تطبيق ضار محلي من إنشاء معلومات جهة اتصال بصمت. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً إما بدء المستخدم أو إذن المستخدم).

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0395 A-32219099 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 15 أكتوبر 2016

ضعف الكشف عن المعلومات في Mediaserver

قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0381 A-31607432 معتدل الجميع 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 18 سبتمبر 2016
CVE-2017-0396 A-31781965 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 27 سبتمبر 2016
CVE-2017-0397 A-32377688 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 21 أكتوبر 2016

ثغرة الكشف عن المعلومات في Audioserver

قد تؤدي ثغرة الكشف عن المعلومات في Audioserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Google المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2017-0398 A-32438594 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 25 أكتوبر 2016
CVE-2017-0398 أ -32635664 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 25 أكتوبر 2016
CVE-2017-0398 A-32624850 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 25 أكتوبر 2016
CVE-2017-0399 A-32247948 [ 2 ] معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 18 أكتوبر 2016
CVE-2017-0400 A-32584034 [ 2 ] معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 25 أكتوبر 2016
CVE-2017-0401 A-32448258 معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 26 أكتوبر 2016
CVE-2017-0402 A-32436341 [ 2 ] معتدل الجميع 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 25 أكتوبر 2016

2017-01-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية يتم تطبيقها على مستوى التصحيح 2017-01-05. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ارتفاع ضعف الامتياز في النظام الفرعي لذاكرة kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2015-3288 أ -32460277
نواة المنبع
حرج Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 9 يوليو 2015

زيادة ضعف الامتيازات في محمل إقلاع Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في محمل إقلاع Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8422 A-31471220
QC-CR # 979426
حرج Nexus 6 و Nexus 6P و Pixel و Pixel XL 22 يوليو 2016
CVE-2016-8423 A-31399736
QC-CR # 1000546
حرج Nexus 6P ، Pixel ، Pixel XL 24 أغسطس 2016

ارتفاع ضعف الامتياز في نظام ملفات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2015-5706 أ -32289301
نواة المنبع
حرج لا أحد* 1 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8424 A-31606947 *
N-CVE-2016-8424
حرج نيكزس 9 17 سبتمبر 2016
CVE-2016-8425 A-31797770 *
N-CVE-2016-8425
حرج نيكزس 9 28 سبتمبر 2016
CVE-2016-8426 A-31799206 *
N-CVE-2016-8426
حرج نيكزس 9 28 سبتمبر 2016
CVE-2016-8482 A-31799863 *
N-CVE-2016-8482
حرج نيكزس 9 28 سبتمبر 2016
CVE-2016-8427 A-31799885 *
N-CVE-2016-8427
حرج نيكزس 9 28 سبتمبر 2016
CVE-2016-8428 A-31993456 *
N-CVE-2016-8428
حرج نيكزس 9 6 أكتوبر 2016
CVE-2016-8429 A-32160775 *
N-CVE-2016-8429
حرج نيكزس 9 13 أكتوبر 2016
CVE-2016-8430 A-32225180 *
N-CVE-2016-8430
حرج نيكزس 9 17 أكتوبر 2016
CVE-2016-8431 A-32402179 *
N-CVE-2016-8431
حرج بكسل سي 25 أكتوبر 2016
CVE-2016-8432 A-32447738 *
N-CVE-2016-8432
حرج بكسل سي 26 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج MediaTek

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8433 A-31750190 *
MT-ALPS02974192
حرج لا أحد** 24 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8434 أ -32125137
QC-CR # 1081855
حرج Nexus 5X و Nexus 6 و Nexus 6P و Android One 12 أكتوبر 2016

ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8435 A-32700935 *
N-CVE-2016-8435
حرج بكسل سي 7 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8436 A-32450261
QC-CR # 1007860
حرج لا أحد* 13 أكتوبر 2016

* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

نقاط الضعف في مكونات Qualcomm

تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات الأمان Qualcomm AMSS لشهر نوفمبر 2015 وأغسطس 2016 وسبتمبر 2016 وأكتوبر 2016.

CVE مراجع خطورة* أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8438 A-31624565 ** حرج لا أحد*** كوالكوم داخلي
CVE-2016-8442 A-31625910 ** حرج لا أحد*** كوالكوم داخلي
CVE-2016-8443 A-32576499 ** حرج لا أحد*** كوالكوم داخلي
CVE-2016-8437 A-31623057 ** عالٍ لا أحد*** كوالكوم داخلي
CVE-2016-8439 A-31625204 ** عالٍ لا أحد*** كوالكوم داخلي
CVE-2016-8440 A-31625306 ** عالٍ لا أحد*** كوالكوم داخلي
CVE-2016-8441 A-31625904 ** عالٍ لا أحد*** كوالكوم داخلي
CVE-2016-8398 A-31548486 ** عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One كوالكوم داخلي
CVE-2016-8459 A-32577972 ** عالٍ لا أحد*** كوالكوم داخلي
CVE-2016-5080 A-31115235 ** معتدل جهاز Nexus 5X كوالكوم داخلي

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

*** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ارتفاع ضعف الامتياز في كاميرا Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8412 A-31225246
QC-CR # 1071891
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL 26 أغسطس 2016
CVE-2016-8444 A-31243641 *
QC-CR # 1074310
عالٍ Nexus 5X و Nexus 6 و Nexus 6P 26 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في مكونات MediaTek

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكونات MediaTek ، بما في ذلك المحرك الحراري ومحرك الفيديو ، إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8445 A-31747590 *
MT-ALPS02968983
عالٍ لا أحد** 25 سبتمبر 2016
CVE-2016-8446 A-31747749 *
MT-ALPS02968909
عالٍ لا أحد** 25 سبتمبر 2016
CVE-2016-8447 A-31749463 *
MT-ALPS02968886
عالٍ لا أحد** 25 سبتمبر 2016
CVE-2016-8448 A-31791148 *
MT-ALPS02982181
عالٍ لا أحد** 28 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8415 A-31750554
QC-CR # 1079596
عالٍ Nexus 5X و Pixel و Pixel XL 26 سبتمبر 2016

ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8449 A-31798848 *
N-CVE-2016-8449
عالٍ نيكزس 9 28 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8450 A-32450563
QC-CR # 880388
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Android One 13 أكتوبر 2016

ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8451 A-32178033 * عالٍ لا أحد** 13 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

رفع مستوى ضعف الامتياز في النظام الفرعي لأمان kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-7042 A-32178986
نواة المنبع
عالٍ بكسل سي 14 أكتوبر 2016

ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2017-0403 A-32402548 * عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL 25 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في النظام الفرعي لصوت kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2017-0404 A-32510733 * عالٍ Nexus 5X و Nexus 6P و Nexus 9 و Pixel C و Nexus Player و Pixel و Pixel XL 27 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8452 أ -32506396
QC-CR # 1050323
عالٍ Nexus 5X و Android One و Pixel و Pixel XL 28 أكتوبر 2016

ارتفاع ضعف الامتياز في برنامج تشغيل راديو Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل راديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-5345 A-32639452
QC-CR # 1079713
عالٍ Android One 3 نوفمبر 2016

رفع مستوى ضعف الامتياز في النظام الفرعي لتوصيف النواة

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لتوصيف kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-9754 A-32659848
نواة المنبع
عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player 4 نوفمبر 2016

ارتفاع ضعف الامتياز في برنامج تشغيل Broadcom Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Google المحدثة ذكرت تاريخ
CVE-2016-8453 A-24739315 *
B-RB # 73392
عالٍ نيكزس 6 جوجل الداخلية
CVE-2016-8454 A-32174590 *
B-RB # 107142
عالٍ Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 14, 2016
CVE-2016-8455 A-32219121*
B-RB#106311
High Nexus 6P Oct 15, 2016
CVE-2016-8456 A-32219255*
B-RB#105580
High Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 15, 2016
CVE-2016-8457 A-32219453*
B-RB#106116
High Nexus 6, Nexus 6P, Nexus 9, Pixel C Oct 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Synaptics touchscreen driver

An elevation of privilege vulnerability in the Synaptics touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8458 A-31968442* High Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
High Nexus 9 Sep 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in bootloader

An information disclosure vulnerability in the bootloader could enable a local attacker to access data outside of its permission level. This issue is rated as High because it could be used to access sensitive data.

CVE References Severity Updated Google devices Date reported
CVE-2016-8461 A-32369621* High Nexus 9, Pixel, Pixel XL Oct 21, 2016
CVE-2016-8462 A-32510383* High Pixel, Pixel XL Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in Qualcomm FUSE file system

A denial of service vulnerability in the Qualcomm FUSE file system could enable a remote attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8463 A-30786860
QC-CR#586855
High None* Jan 03, 2014

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Denial of service vulnerability in bootloader

A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8467 A-30308784* High Nexus 6, Nexus 6P Jun 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Broadcom Wi-Fi driver

An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References Severity Updated Google devices Date reported
CVE-2016-8464 A-29000183*
B-RB#106314
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player May 26, 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Sep 28, 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Binder

An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References Severity Updated Google devices Date reported
CVE-2016-8468 A-32394425* Moderate Pixel C, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Moderate Nexus 9 Sep 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek driver

An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Moderate None** Sep 15, 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Moderate None** Sep 15, 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Moderate None** Sep 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in STMicroelectronics driver

An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8473 A-31795790* Moderate Nexus 5X, Nexus 6P Sep 28, 2016
CVE-2016-8474 A-31799972* Moderate Nexus 5X, Nexus 6P Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm audio post processor

An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Updated AOSP versions Date reported
CVE-2017-0399 A-32588756 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 18, 2016
CVE-2017-0400 A-32438598 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016
CVE-2017-0401 A-32588016 Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 26, 2016
CVE-2017-0402 A-32588352 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016

Information disclosure vulnerability in HTC input driver

An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8475 A-32591129* Moderate Pixel, Pixel XL Oct 30, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel file system

A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.

CVE References Severity Updated Google devices Date reported
CVE-2014-9420 A-32477499
Upstream kernel
Moderate Pixel C Dec 25, 2014

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
  • Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

بادئة المرجعي
أ- معرف خطأ Android
QC- الرقم المرجعي لشركة Qualcomm
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • January 03, 2017: Bulletin published.
  • January 04, 2017: Bulletin revised to include AOSP links.
  • January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
  • January 12, 2017: Removed duplicate entry for CVE-2016-8467.
  • January 24, 2017: Updated description and severity for CVE-2017-0381.
  • February 2, 2017: Updated CVE-2017-0389 with additional patch link.