Boletim de segurança do Android — janeiro de 2017

Publicado em 03 de janeiro de 2017 | Atualizado em 2 de fevereiro de 2017

O Boletim de Segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para os dispositivos do Google por meio de uma atualização over-the-air (OTA). As imagens de firmware do dispositivo Google também foram lançadas no site do Google Developer . Os níveis de patch de segurança de 05 de janeiro de 2017 ou posterior abordam todos esses problemas. Consulte a programação de atualização do Pixel e do Nexus para saber como verificar o nível de patch de segurança de um dispositivo.

Os parceiros foram notificados das questões descritas no boletim em 05 de dezembro de 2016 ou anterior. Os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações de serviço do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet , que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Anúncios

  • Este boletim tem duas strings de nível de patch de segurança para fornecer aos parceiros Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para obter informações adicionais:
    • 2017-01-01 : String de nível de patch de segurança parcial. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-01-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
    • 2017-01-05 : Sequência de nível de patch de segurança completa. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-01-01 e 2017-01-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
  • Os dispositivos compatíveis do Google receberão uma única atualização OTA com o nível de patch de segurança de 05 de janeiro de 2017.

Resumo da vulnerabilidade de segurança

As tabelas abaixo contêm uma lista de vulnerabilidades de segurança, o Common Vulnerability and Exposures ID (CVE), a gravidade avaliada e se os dispositivos do Google são afetados ou não. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Mitigações de serviços Android e Google

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente o abuso com o Verify Apps e o SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . Verificar aplicativos está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root do dispositivo são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o Mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

Também gostaríamos de agradecer aos seguintes pesquisadores por suas contribuições para este boletim:

  • Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang e Yang Song do Alibaba Mobile Security Group
  • Peter Pi ( @heisecode ) da Trend Micro
  • Zubin Mitra do Google

2017-01-01 nível de patch de segurança — detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-01-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos do Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código em c-ares

Uma vulnerabilidade de execução remota de código em c-ares pode permitir que um invasor usando uma solicitação especialmente criada execute código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-5180 A-32205736 Alto Tudo 7,0 29 de setembro de 2016

Vulnerabilidade de execução remota de código no Framesequence

Uma vulnerabilidade de execução remota de código na biblioteca Framesequence pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa a biblioteca Framesequence.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0382 A-32338390 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 de outubro de 2016

Vulnerabilidade de elevação de privilégio nas APIs do Framework

Uma vulnerabilidade de elevação de privilégio nas APIs do Framework pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0383 A-31677614 Alto Tudo 7.0, 7.1.1 21 de setembro de 2016

Vulnerabilidade de elevação de privilégios no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0384 A-32095626 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 de outubro de 2016
CVE-2017-0385 A-32585400 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 de outubro de 2016

Elevação de vulnerabilidade de privilégio em libnl

Uma vulnerabilidade de elevação de privilégio na biblioteca libnl pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0386 A-32255299 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 de outubro de 2016

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no Mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0387 A-32660278 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 de novembro de 2016

Vulnerabilidade de divulgação de informações no provedor de armazenamento externo

Uma vulnerabilidade de divulgação de informações no Provedor de Armazenamento Externo pode permitir que um usuário secundário local leia dados de um cartão SD de armazenamento externo inserido pelo usuário principal. Esse problema é classificado como Alto porque pode ser usado para acessar dados sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0388 A-32523490 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 Google interno

Vulnerabilidade de negação de serviço na rede principal

Uma vulnerabilidade de negação de serviço na rede principal pode permitir que um invasor remoto use um pacote de rede especialmente criado para causar um travamento ou reinicialização do dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 20 de julho de 2016

Vulnerabilidade de negação de serviço no Mediaserver

Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor remoto use um arquivo especialmente criado para causar um travamento ou reinicialização do dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0390 A-31647370 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 de setembro de 2016
CVE-2017-0391 A-32322258 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016
CVE-2017-0392 A-32577290 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 de outubro de 2016
CVE-2017-0393 A-30436808 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interno

Vulnerabilidade de negação de serviço em telefonia

Uma vulnerabilidade de negação de serviço na telefonia pode permitir que um invasor remoto faça com que um dispositivo trave ou reinicialize. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0394 A-31752213 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 de setembro de 2016

Vulnerabilidade de elevação de privilégios em Contatos

Uma vulnerabilidade de elevação de privilégio em Contatos pode permitir que um aplicativo mal-intencionado local crie silenciosamente informações de contato. Esse problema é classificado como Moderado porque é um desvio local dos requisitos de interação do usuário (acesso à funcionalidade que normalmente exigiria iniciação do usuário ou permissão do usuário).

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0395 A-32219099 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 de outubro de 2016

Vulnerabilidade de divulgação de informações no Mediaserver

Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0381 A-31607432 Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 de setembro de 2016
CVE-2017-0396 A-31781965 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 de setembro de 2016
CVE-2017-0397 A-32377688 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 de outubro de 2016

Vulnerabilidade de divulgação de informações no Audioserver

Uma vulnerabilidade de divulgação de informações no Audioserver pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0398 A-32438594 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016
CVE-2017-0398 A-32635664 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016
CVE-2017-0398 A-32624850 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016
CVE-2017-0399 A-32247948 [ 2 ] Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 de outubro de 2016
CVE-2017-0400 A-32584034 [ 2 ] Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016
CVE-2017-0401 A-32448258 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 de outubro de 2016
CVE-2017-0402 A-32436341 [ 2 ] Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016

2017-01-05 nível de patch de segurança — detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-01-05. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos do Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de elevação de privilégio no subsistema de memória do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de memória do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2015-3288 A-32460277
Kernel upstream
Crítico Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 9 de julho de 2015

Vulnerabilidade de elevação de privilégios no bootloader da Qualcomm

Uma vulnerabilidade de elevação de privilégio no carregador de inicialização da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8422 A-31471220
QC-CR#979426
Crítico Nexus 6, Nexus 6P, Pixel, Pixel XL 22 de julho de 2016
CVE-2016-8423 A-31399736
QC-CR#1000546
Crítico Nexus 6P, Pixel, Pixel XL 24 de agosto de 2016

Vulnerabilidade de elevação de privilégios no sistema de arquivos do kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2015-5706 A-32289301
Kernel upstream
Crítico Nenhum* 1º de agosto de 2016

* Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
Crítico Nexus 9 17 de setembro de 2016
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
Crítico Nexus 9 28 de setembro de 2016
CVE-2016-8426 A-31799206*
N-CVE-2016-8426
Crítico Nexus 9 28 de setembro de 2016
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
Crítico Nexus 9 28 de setembro de 2016
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
Crítico Nexus 9 28 de setembro de 2016
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
Crítico Nexus 9 6 de outubro de 2016
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
Crítico Nexus 9 13 de outubro de 2016
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
Crítico Nexus 9 17 de outubro de 2016
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
Crítico Pixel C 25 de outubro de 2016
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
Crítico Pixel C 26 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver MediaTek

Uma vulnerabilidade de elevação de privilégio no driver MediaTek pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8433 A-31750190*
MT-ALPS02974192
Crítico Nenhum** 24 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

** Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégios no driver Qualcomm GPU

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm GPU pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8434 A-32125137
QC-CR#1081855
Crítico Nexus 5X, Nexus 6, Nexus 6P, Android One 12 de outubro de 2016

Vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
Crítico Pixel C 7 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação de vulnerabilidade de privilégio no driver de vídeo Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8436 A-32450261
QC-CR#1007860
Crítico Nenhum* 13 de outubro de 2016

* Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidades em componentes da Qualcomm

As vulnerabilidades a seguir afetam os componentes da Qualcomm e são descritas com mais detalhes nos boletins de segurança do Qualcomm AMSS de novembro de 2015, agosto de 2016, setembro de 2016 e outubro de 2016.

CVE Referências Gravidade* Dispositivos Google atualizados Data do relatório
CVE-2016-8438 A-31624565** Crítico Nenhum*** Qualcomm interno
CVE-2016-8442 A-31625910** Crítico Nenhum*** Qualcomm interno
CVE-2016-8443 A-32576499** Crítico Nenhum*** Qualcomm interno
CVE-2016-8437 A-31623057** Alto Nenhum*** Qualcomm interno
CVE-2016-8439 A-31625204** Alto Nenhum*** Qualcomm interno
CVE-2016-8440 A-31625306** Alto Nenhum*** Qualcomm interno
CVE-2016-8441 A-31625904** Alto Nenhum*** Qualcomm interno
CVE-2016-8398 A-31548486** Alto Nexus 5X, Nexus 6, Nexus 6P, Android One Qualcomm interno
CVE-2016-8459 A-32577972** Alto Nenhum*** Qualcomm interno
CVE-2016-5080 A-31115235** Moderado Nexus 5X Qualcomm interno

* A classificação de gravidade para essas vulnerabilidades foi determinada pelo fornecedor.

** O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

*** Dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Elevação da vulnerabilidade de privilégio na câmera Qualcomm

Uma vulnerabilidade de elevação de privilégio na câmera Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8412 A-31225246
QC-CR#1071891
Alto Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 26 de agosto de 2016
CVE-2016-8444 A-31243641*
QC-CR#1074310
Alto Nexus 5X, Nexus 6, Nexus 6P 26 de agosto de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios em componentes MediaTek

Uma vulnerabilidade de elevação de privilégio nos componentes do MediaTek, incluindo o driver térmico e o driver de vídeo, pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8445 A-31747590*
MT-ALPS02968983
Alto Nenhum** 25 de setembro de 2016
CVE-2016-8446 A-31747749*
MT-ALPS02968909
Alto Nenhum** 25 de setembro de 2016
CVE-2016-8447 A-31749463*
MT-ALPS02968886
Alto Nenhum** 25 de setembro de 2016
CVE-2016-8448 A-31791148*
MT-ALPS02982181
Alto Nenhum** 28 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

** Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8415 A-31750554
QC-CR#1079596
Alto Nexus 5X, Pixel, Pixel XL 26 de setembro de 2016

Vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
Alto Nexus 9 28 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação de vulnerabilidade de privilégio no driver de som da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8450 A-32450563
QC-CR#880388
Alto Nexus 5X, Nexus 6, Nexus 6P, Android One 13 de outubro de 2016

Elevação de vulnerabilidade de privilégio no driver de tela sensível ao toque Synaptics

Uma vulnerabilidade de elevação de privilégio no driver de tela sensível ao toque Synaptics pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8451 A-32178033* Alto Nenhum** 13 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

** Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégios no subsistema de segurança do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de segurança do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-7042 A-32178986
Kernel upstream
Alto Pixel C 14 de outubro de 2016

Vulnerabilidade de elevação de privilégios no subsistema de desempenho do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de desempenho do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0403 A-32402548* Alto Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 25 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no subsistema de som do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de som do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0404 A-32510733* Alto Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL 27 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8452 A-32506396
QC-CR#1050323
Alto Nexus 5X, Android One, Pixel, Pixel XL 28 de outubro de 2016

Vulnerabilidade de elevação de privilégio no driver de rádio da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver de rádio da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-5345 A-32639452
QC-CR#1079713
Alto Android um 3 de novembro de 2016

Vulnerabilidade de elevação de privilégio no subsistema de criação de perfil do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de criação de perfil do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-9754 A-32659848
Kernel upstream
Alto Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player 4 de novembro de 2016

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8453 A-24739315*
B-RB#73392
Alto Nexus 6 Google interno
CVE-2016-8454 A-32174590*
B-RB#107142
Alto Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 14 de outubro de 2016
CVE-2016-8455 A-32219121*
B-RB#106311
Alto Nexus 6P 15 de outubro de 2016
CVE-2016-8456 A-32219255*
B-RB#105580
Alto Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 15 de outubro de 2016
CVE-2016-8457 A-32219453*
B-RB#106116
Alto Nexus 6, Nexus 6P, Nexus 9, Pixel C 15 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação de vulnerabilidade de privilégio no driver de tela sensível ao toque Synaptics

Uma vulnerabilidade de elevação de privilégio no driver de tela sensível ao toque Synaptics pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8458 A-31968442* Alto Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google interno

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA

Uma vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Alto porque pode ser usado para acessar dados confidenciais sem permissão explícita do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
Alto Nexus 9 21 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no bootloader

Uma vulnerabilidade de divulgação de informações no bootloader pode permitir que um invasor local acesse dados fora de seu nível de permissão. Esse problema é classificado como Alto porque pode ser usado para acessar dados confidenciais.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8461 A-32369621* Alto Nexus 9, Pixel, Pixel XL 21 de outubro de 2016
CVE-2016-8462 A-32510383* Alto Pixel, Pixel XL 27 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de negação de serviço no sistema de arquivos Qualcomm FUSE

Uma vulnerabilidade de negação de serviço no sistema de arquivos Qualcomm FUSE pode permitir que um invasor remoto use um arquivo especialmente criado para causar um travamento ou reinicialização do dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8463 A-30786860
QC-CR#586855
Alto Nenhum* 03 de janeiro de 2014

* Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de negação de serviço no bootloader

Uma vulnerabilidade de negação de serviço no carregador de inicialização pode permitir que um invasor cause uma negação de serviço local permanente, o que pode exigir a atualização do sistema operacional para reparar o dispositivo. Este problema é classificado como Alto devido à possibilidade de negação de serviço local permanente.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8467 A-30308784* Alto Nexus 6, Nexus 6P 29 de junho de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado e é mitigado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8464 A-29000183*
B-RB#106314
Moderado Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 26 de maio de 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Moderado Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 28 de setembro de 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Moderado Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no Binder

Uma vulnerabilidade de elevação de privilégio no Binder pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado e é mitigado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8468 A-32394425* Moderado Pixel C, Pixel, Pixel XL Google interno

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no driver da câmera NVIDIA

Uma vulnerabilidade de divulgação de informações no driver da câmera pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Moderado Nexus 9 7 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no driver MediaTek

Uma vulnerabilidade de divulgação de informações no driver MediaTek pode permitir que um aplicativo mal-intencionado local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Moderado Nenhum** 15 de setembro de 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Moderado Nenhum** 15 de setembro de 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Moderado Nenhum** 15 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

** Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de divulgação de informações no driver STMicroelectronics

Uma vulnerabilidade de divulgação de informações no driver STMicroelectronics pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8473 A-31795790* Moderado Nexus 5X, Nexus 6P 28 de setembro de 2016
CVE-2016-8474 A-31799972* Moderado Nexus 5X, Nexus 6P 28 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no pós-processador de áudio da Qualcomm

Uma vulnerabilidade de divulgação de informações no pós-processador de áudio da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0399 A-32588756 [ 2 ] Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 de outubro de 2016
CVE-2017-0400 A-32438598 [ 2 ] Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016
CVE-2017-0401 A-32588016 Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 de outubro de 2016
CVE-2017-0402 A-32588352 [ 2 ] Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 de outubro de 2016

Vulnerabilidade de divulgação de informações no driver de entrada HTC

Uma vulnerabilidade de divulgação de informações no driver de entrada HTC pode permitir que um aplicativo mal-intencionado local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8475 A-32591129* Moderado Pixel, Pixel XL 30 de outubro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de negação de serviço no sistema de arquivos do kernel

Uma vulnerabilidade de negação de serviço no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local faça um dispositivo travar ou reinicializar. Esse problema é classificado como Moderado porque é uma negação de serviço temporária que requer uma redefinição de fábrica para ser corrigida.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2014-9420 A-32477499
Kernel upstream
Moderado Pixel C 25 de dezembro de 2014

Perguntas e respostas comuns

Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para saber como verificar o nível de patch de segurança de um dispositivo, leia as instruções na programação de atualização do Pixel e do Nexus .

  • Os níveis de patch de segurança de 2017-01-01 ou posterior abordam todos os problemas associados ao nível de patch de segurança de 2017-01-01.
  • Os níveis de patch de segurança de 2017-01-05 ou posterior abordam todos os problemas associados ao nível de patch de segurança 2017-01-05 e todos os níveis de patch anteriores.

Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Por que este boletim tem dois níveis de patch de segurança?

Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Os parceiros Android são incentivados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.

  • Os dispositivos que usam o nível de patch de segurança de 1º de janeiro de 2017 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
  • Os dispositivos que usam o nível de patch de segurança de 5 de janeiro de 2017 ou mais recente devem incluir todos os patches aplicáveis ​​neste (e nos anteriores) boletins de segurança.

Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.

3. Como determino quais dispositivos do Google são afetados por cada problema?

Nas seções de detalhes da vulnerabilidade de segurança de 2017-01-01 e 2017-01-05 , cada tabela tem uma coluna de dispositivos do Google atualizados que abrange o intervalo de dispositivos do Google afetados atualizados para cada problema. Esta coluna tem algumas opções:

  • Todos os dispositivos Google : se um problema afetar os dispositivos Todos e Pixel, a tabela terá "Todos" na coluna Dispositivos Google atualizados . "Todos" engloba os seguintes dispositivos compatíveis : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel e Pixel XL.
  • Alguns dispositivos Google : se um problema não afetar todos os dispositivos Google, os dispositivos Google afetados são listados na coluna Dispositivos Google atualizados .
  • Nenhum dispositivo Google : se nenhum dispositivo Google executando a versão mais recente disponível do Android for afetado pelo problema, a tabela terá "Nenhum" na coluna Dispositivos Google atualizados .

4. Para que mapeiam as entradas na coluna de referências?

As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence. Esses prefixos mapeiam da seguinte forma:

Prefixo Referência
UMA- ID do bug do Android
CQ- Número de referência da Qualcomm
M- Número de referência da MediaTek
N- Número de referência da NVIDIA
B- Número de referência da Broadcom

Revisões

  • 03 de janeiro de 2017: Boletim publicado.
  • 04 de janeiro de 2017: Boletim revisado para incluir links AOSP.
  • 05 de janeiro de 2017: Esclarecido o número da versão do AOSP de 7.1 a 7.1.1.
  • 12 de janeiro de 2017: Removida a entrada duplicada para CVE-2016-8467.
  • 24 de janeiro de 2017: Descrição e gravidade atualizadas para CVE-2017-0381.
  • 2 de fevereiro de 2017: CVE-2017-0389 atualizado com link de patch adicional.