Pubblicato il 5 dicembre 2016 | Aggiornato il 21 dicembre 2016
Il Bollettino sulla sicurezza Android contiene dettagli delle vulnerabilità di sicurezza che interessano i dispositivi Android. Insieme al bollettino, abbiamo rilasciato un aggiornamento della sicurezza per i dispositivi Google tramite un aggiornamento over-the-air (OTA). Le immagini del firmware dei dispositivi Google sono state rilasciate anche sul sito Google Developer. I livelli delle patch di sicurezza dal 5 dicembre 2016 o versioni successive risolvono tutti questi problemi. Consulta la pianificazione degli aggiornamenti di Pixel e Nexus per scoprire come controllare il livello della patch di sicurezza di un dispositivo.
I partner sono stati informati dei problemi descritti nel bollettino il 7 novembre 2016 o prima. Le patch del codice sorgente per questi problemi sono state rilasciate nel repository Android Open Source Project (AOSP) e collegate da questo bollettino. Questo bollettino include anche link a patch esterne ad AOSP.
I problemi più gravi sono le vulnerabilità di sicurezza critiche nel codice specifico del dispositivo che potrebbero consentire l'esecuzione di codice arbitrario nel contesto del kernel, con la possibilità di un compromesso permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo. La valutazione della gravità si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate a scopo di sviluppo o se sono state aggirate.
Non abbiamo ricevuto segnalazioni di sfruttamento o abuso attivo da parte dei clienti di questi problemi appena segnalati. Consulta la sezione Mitigazioni per Android e i servizi Google per informazioni dettagliate sulle protezioni della piattaforma di sicurezza di Android e sulle protezioni dei servizi come SafetyNet, che migliorano la sicurezza della piattaforma Android.
Invitiamo tutti i clienti ad accettare questi aggiornamenti sui loro dispositivi.
Annunci
- Questo bollettino contiene due stringhe di livello della patch di sicurezza per offrire ai partner Android la flessibilità di correggere più rapidamente un sottoinsieme di vulnerabilità simili su tutti i dispositivi Android. Per ulteriori informazioni, consulta Domande e risposte comuni:
- 2016-12-01: stringa del livello della patch di sicurezza parziale. Questa stringa del livello patch di sicurezza indica che tutti i problemi associati al giorno 01-12-2016 (e a tutte le stringhe del livello patch di sicurezza precedenti) sono stati risolti.
- 2016-12-05: stringa completa del livello della patch di sicurezza. Questa stringa del livello della patch di sicurezza indica che tutti i problemi associati al 01-12-2016 e al 05-12-2016 (e a tutte le stringhe del livello della patch di sicurezza precedenti) sono stati risolti.
- I dispositivi Google supportati riceveranno un singolo aggiornamento OTA con il livello della patch di sicurezza del 5 dicembre 2016.
Mitigazioni per i servizi Android e Google
Questo è un riepilogo delle mitigazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni dei servizi, come SafetyNet. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti apportati alle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi con Verify Apps e SafetyNet, progettati per avvisare gli utenti delle app potenzialmente dannose. Verifica app è attivata per impostazione predefinita sui dispositivi con Google Mobile Services ed è particolarmente importante per gli utenti che installano applicazioni al di fuori di Google Play. Gli strumenti di rooting del dispositivo sono vietati in Google Play, ma Verifica app avvisa gli utenti quando tentano di installare un'applicazione di rooting rilevata, indipendentemente dalla sua provenienza. Inoltre, Verifica app tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation dei privilegi. Se un'applicazione di questo tipo è già installata, Verifica app lo comunicherà all'utente e tenterà di rimuoverla.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non trasmettono automaticamente i contenuti multimediali a processi come Mediaserver.
Ringraziamenti
Vogliamo ringraziare per il loro contributo i seguenti ricercatori:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang e Yang Song del gruppo di sicurezza mobile di Alibaba: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
- Chi Zhang, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE: CVE-2016-6789, CVE-2016-6790
- Christian Seel: CVE-2016-6769
- David Benjamin e Kenny Root di Google: CVE-2016-6767
- Di Shen (@returnsme) di KeenLab (@keen_lab), Tencent: CVE-2016-6776, CVE-2016-6787
- En He (@heeeeen4x) del team MS509: CVE-2016-6763
- Gengjia Chen (@chengjia4574), pjf di IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
- Jianqiang Zhao (@jianqiangzhao) e pjf di IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
- Lubo Zhang, Tong Lin, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del C0RE Team: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- Mark Brand di Project Zero: CVE-2016-6772
- Michał Bednarski: CVE-2016-6770, CVE-2016-6774
- Mingjian Zhou (@Mingjian_Zhou), Chi Zhang, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del C0RE Team: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) e Xuxian Jiang del C0RE Team: CVE-2016-6760
- Mingjian Zhou (@Mingjian_Zhou), Hanxiang Wen, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del C0RE Team: CVE-2016-6759
- Nathan Crandall (@natecray) del team di sicurezza dei prodotti di Tesla Motors: CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5341
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) di Baidu X-Lab: CVE-2016-6755, CVE-2016-6756
- Peter Pi (@heisecode) di Trend Micro: CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- Qidan He (何淇丹) (@flanker_hqd) di KeenLab, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
- Qidan He (何淇丹) (@flanker_hqd) e Marco Grassi (@marcograss) di KeenLab, Tencent (腾讯科恩实验室): CVE-2016-6768
- Richard Shupak: CVE-2016-5341
- Sagi Kedmi di IBM X-Force Research: CVE-2016-8393, CVE-2016-8394
- Seven Shen (@lingtongshen) del team di ricerca sulle minacce mobile di Trend Micro Inc.: CVE-2016-6757
- Weichao Sun (@sunblate) di Alibaba Inc.: CVE-2016-6773
- Wenke Dou, Chi Zhang, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del team C0RE: CVE-2016-6765
- Wish Wu (@wish_wu) (吴潍浠) del Mobile Threat Response Team di Trend Micro Inc.: CVE-2016-6704
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del C0RE Team: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- Yuan-Tsung Lo, Xiaodong Wang, Chiachih Wu (@chiachih_wu) e Xuxian Jiang del C0RE Team: CVE-2016-6777
- Yuxiang Li del reparto Tencent Security Platform: CVE-2016-6771
- Zhe Jin (金哲) del Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766
- Zinuo Han del Centro di risposta alla sicurezza di Chengdu di Qihoo 360 Technology Co. Ltd.: CVE-2016-6762
Un ringraziamento anche a MengLuo Gou (@idhyt3r) di Bottle Tech, Yong Wang (王勇) (@ThomasKing2014) e Zubin Mithra di Google per il loro contributo a questo bollettino sulla sicurezza.
Livello patch di sicurezza del 01-12-2016: dettagli sulla vulnerabilità
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 1° dicembre 2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, i riferimenti associati, la gravità, i dispositivi Google aggiornati, le versioni AOSP aggiornate (se applicabili) e la data di segnalazione. Se disponibile, collegheremo la modifica pubblica che ha risolto il problema all'ID bug, ad esempio l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, i riferimenti aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di esecuzione di codice remoto in CURL/LIBCURL
La tabella contiene vulnerabilità di sicurezza che interessano le librerie CURL e LIBCURL. Il problema più grave potrebbe consentire a un malintenzionato man-in-the-middle di eseguire codice arbitrario nel contesto di un processo privilegiato utilizzando un certificato contraffatto. Questo problema è classificato come Alto perché l'aggressore ha bisogno di un certificato contraffatto.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | Alto | Tutte | 7,0 | 3 agosto 2016 |
| CVE-2016-5420 | A-31271247 | Alto | Tutte | 7,0 | 3 agosto 2016 |
| CVE-2016-5421 | A-31271247 | Alto | Tutte | 7,0 | 3 agosto 2016 |
Vulnerabilità di elevazione dei privilegi in libziparchive
Una vulnerabilità di elevazione dei privilegi nella libreria libziparchive potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un processo privilegiato. Questo problema è classificato come Alto perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità elevate, che normalmente non sono accessibili a un'applicazione di terze parti.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [2] | Alto | Tutte | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 agosto 2016 |
Vulnerabilità Denial of Service in Telefonia
Una vulnerabilità di denial of service in Telefonia potrebbe consentire a un'applicazione locale dannosa di utilizzare un file appositamente creato per causare un blocco o un riavvio del dispositivo. Questo problema è classificato come Alto a causa della possibilità di un attacco di denial of service locale permanente.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | Alto | Tutte | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 settembre 2016 |
Vulnerabilità Denial of Service in Mediaserver
Una vulnerabilità di tipo denial of service in Mediaserver potrebbe consentire a un malintenzionato di usare un file appositamente creato per causare un blocco o un riavvio del dispositivo. Questo problema è classificato come Alto a causa della possibilità di un attacco di negazione del servizio da remoto.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | Alto | Tutte | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 settembre 2016 |
| CVE-2016-6765 | A-31449945 | Alto | Tutte | 4.4.4, 5.0.2, 5.1.1, 7.0 | 13 settembre 2016 |
| CVE-2016-6764 | A-31681434 | Alto | Tutte | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 22 settembre 2016 |
| CVE-2016-6767 | A-31833604 | Alto | Nessuno* | 4.4.4 | Interno Google |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di esecuzione di codice remoto nella libreria Framesequence
Una vulnerabilità di esecuzione di codice da remoto nella libreria Framesequence potrebbe consentire a un malintenzionato che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo senza privilegi. Questo problema è classificato come Alto a causa della possibilità di esecuzione di codice remoto in un'applicazione che utilizza la libreria Framesequence.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | Alto | Tutte | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 settembre 2016 |
Vulnerabilità di Elevation of Privilege in Smart Lock
Una vulnerabilità di elevazione dei privilegi in Smart Lock potrebbe consentire a un utente malintenzionato locale di accedere alle impostazioni di Smart Lock senza un PIN. Questo problema è classificato come moderato perché richiede innanzitutto l'accesso fisico a un dispositivo sbloccato in cui Smart Lock è stato l'ultimo riquadro delle impostazioni a cui ha eseguito l'accesso l'utente.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6769 | A-29055171 | Moderata | Nessuno* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 maggio 2016 |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di elevazione dei privilegi nelle API di framework
Una vulnerabilità di elevazione dei privilegi nell'API Framework potrebbe consentire a un'applicazione locale dannosa di accedere alle funzioni di sistema oltre il suo livello di accesso. Questo problema è classificato come moderato perché si tratta di un bypass locale delle restrizioni relative a un processo vincolato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6770 | A-30202228 | Moderata | Tutte | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 luglio 2016 |
Vulnerabilità di elevazione dei privilegi in Telefonia
Una vulnerabilità di elevazione dei privilegi in Telephony potrebbe consentire a un'applicazione malevola locale di accedere alle funzioni di sistema oltre il suo livello di accesso. Questo problema è classificato come moderato perché si tratta di un aggiramento locale delle restrizioni su un processo vincolato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | Moderata | Tutte | 6.0, 6.0.1, 7.0 | 17 settembre 2016 |
Vulnerabilità di elevazione dei privilegi nel Wi-Fi
Una vulnerabilità di elevazione dei privilegi nel Wi-Fi potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un processo con privilegi. Questo problema è classificato come moderato perché richiede innanzitutto di compromettere un processo con privilegi.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [2] | Moderata | Tutte | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 settembre 2016 |
Vulnerabilità di divulgazione di informazioni in Mediaserver
Una vulnerabilità di divulgazione di informazioni in Mediaserver potrebbe consentire a un'applicazione local maligna di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché potrebbe essere utilizzato per accedere a dati sensibili senza autorizzazione.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [2] | Moderata | Tutte | 6.0, 6.0.1, 7.0 | 27 luglio 2016 |
Vulnerabilità di divulgazione di informazioni in Package Manager
Una vulnerabilità di divulgazione di informazioni in Package Manager potrebbe consentire a un'applicazione local dannosa di aggirare le protezioni del sistema operativo che isolano i dati dell'applicazione da altre applicazioni. Questo problema è classificato come moderato perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Versioni AOSP aggiornate | Data segnalazione |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | Moderata | Tutte | 7,0 | 29 agosto 2016 |
Livello patch di sicurezza del 05-12-2016: dettagli sulla vulnerabilità
Nelle sezioni seguenti sono riportati i dettagli di ciascuna delle vulnerabilità di sicurezza che si applicano al livello del patch del 05-12-2016. Sono presenti una descrizione del problema, una motivazione della gravità e una tabella con il CVE, i riferimenti associati, la gravità, i dispositivi Google aggiornati, le versioni AOSP aggiornate (se applicabili) e la data di segnalazione. Se disponibile, collegheremo la modifica pubblica che ha risolto il problema all'ID bug, ad esempio l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, i riferimenti aggiuntivi sono collegati ai numeri che seguono l'ID bug.
Vulnerabilità di elevazione dei privilegi nel sottosistema di memoria del kernel
Una vulnerabilità di elevazione dei privilegi nel sottosistema di memoria del kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come critico a causa della possibilità di una compromissione permanente locale del dispositivo, che potrebbe richiedere il riflash del sistema operativo per la riparazione del dispositivo.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 Kernel upstream [2] |
Critico | Pixel C, Pixel, Pixel XL | 17 aprile 2016 |
| CVE-2016-5195 | A-32141528 Kernel upstream [2] |
Critico | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 12 ottobre 2016 |
Vulnerabilità di elevazione dei privilegi nel driver GPU NVIDIA
Una vulnerabilità di elevazione dei privilegi nel driver della GPU NVIDIA potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Critico a causa della possibilità di un compromesso permanente del dispositivo locale, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873* N-CVE-2016-6775 |
Critico | Nexus 9 | 25 agosto 2016 |
| CVE-2016-6776 | A-31680980* N-CVE-2016-6776 |
Critico | Nexus 9 | 22 settembre 2016 |
| CVE-2016-6777 | A-31910462* N-CVE-2016-6777 |
Critico | Nexus 9 | 3 ottobre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione malevola locale di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Critico a causa della possibilità di un compromesso permanente del dispositivo locale, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 Kernel upstream |
Critico | Nessuno* | 10 settembre 2016 |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di elevazione dei privilegi nel driver video NVIDIA
Una vulnerabilità di elevazione dei privilegi nel driver video NVIDIA potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Critico a causa della possibilità di un compromesso permanente del dispositivo locale, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161*
N-CVE-2016-6915 |
Critico | Nexus 9 | 13 settembre 2016 |
| CVE-2016-6916 | A-32072350*
N-CVE-2016-6916 |
Critico | Nexus 9, Pixel C | 13 settembre 2016 |
| CVE-2016-6917 | A-32072253*
N-CVE-2016-6917 |
Critico | Nexus 9 | 13 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver ION del kernel
Una vulnerabilità di elevazione dei privilegi nel driver ION del kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Critico a causa della possibilità di un compromesso permanente del dispositivo locale, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 Kernel upstream |
Critico | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player | 16 settembre 2016 |
Vulnerabilità nei componenti Qualcomm
Le seguenti vulnerabilità interessano i componenti Qualcomm e sono descritte in modo più dettagliato nel bollettino sulla sicurezza Qualcomm AMSS di novembre 2015.
| CVE | Riferimenti | Gravità* | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216** | Critico | Nexus 6, Nexus 6P, Android One | Qualcomm interno |
* La classificazione della gravità di queste vulnerabilità è stata stabilita dal fornitore.
** La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel file system del kernel
Una vulnerabilità di elevazione dei privilegi nel file system del kernel potrebbe consentire a un'applicazione locale dannosa di aggirare le protezioni del sistema operativo che isolano i dati dell'applicazione da altre applicazioni. Questo problema è classificato come Alto perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità con privilegi elevati, che non sono normalmente accessibili a un'applicazione di terze parti.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 Kernel upstream |
Alto | Nexus 6, Nexus Player | 10 giugno 2014 |
Vulnerabilità di elevazione dei privilegi nel kernel
Una vulnerabilità di elevazione dei privilegi nel kernel potrebbe consentire a un'applicazione local malintenzionata di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto l'utilizzo di una vulnerabilità distinta.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 Kernel upstream |
Alto | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL | 8 gennaio 2015 |
Vulnerabilità di elevazione dei privilegi nel driver del codec audio HTC
Una vulnerabilità di elevazione dei privilegi nel driver del codec audio HTC potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646* | Alto | Nexus 9 | 25 feb 2016 |
| CVE-2016-6779 | A-31386004* | Alto | Nexus 9 | 25 feb 2016 |
| CVE-2016-6780 | A-31251496* | Alto | Nexus 9 | 30 agosto 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver MediaTek
Una vulnerabilità di elevazione dei privilegi nel driver MediaTek potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6492 | A-28175122 MT-ALPS02696413 |
Alto | Nessuno* | 11 aprile 2016 |
| CVE-2016-6781 | A-31095175 MT-ALPS02943455 |
Alto | Nessuno* | 22 agosto 2016 |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 |
Alto | Nessuno* | 24 agosto 2016 |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 |
Alto | Nessuno* | 6 settembre 2016 |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 |
Alto | Nessuno* | 6 settembre 2016 |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 |
Alto | Nessuno* | 25 settembre 2016 |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di elevazione dei privilegi nei codec multimediali Qualcomm
Una vulnerabilità di elevazione dei privilegi nei codec multimediali Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un processo privilegiato. Questo problema è classificato come Alto perché potrebbe essere utilizzato per ottenere accesso locale a funzionalità con privilegi elevati, che di solito non sono accessibili a un'applicazione di terze parti.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682*
QC-RP#1055792 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 16 giugno 2016 |
| CVE-2016-6760 | A-29617572*
QC-RP#1055783 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 23 giugno 2016 |
| CVE-2016-6759 | A-29982686*
QC-RP#1055766 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 4 luglio 2016 |
| CVE-2016-6758 | A-30148882*
QC-RP#1071731 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 13 luglio 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver della videocamera Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver della fotocamera Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-RP#1065916 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 3 agosto 2016 |
Vulnerabilità di elevazione dei privilegi nel sottosistema di prestazioni del kernel
Una vulnerabilità di elevazione dei privilegi nel sottosistema di prestazioni del kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 Kernel upstream | Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 agosto 2016 |
| CVE-2016-6787 | A-31095224 Kernel upstream | Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 22 agosto 2016 |
Vulnerabilità di elevazione dei privilegi nel driver I2C MediaTek
Una vulnerabilità di elevazione dei privilegi nel driver I2C di MediaTek potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto di compromettere un processo con privilegi.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 |
Alto | Nessuno* | 24 agosto 2016 |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di elevazione dei privilegi nella libreria libomx di NVIDIA
Una vulnerabilità di elevazione dei privilegi nella libreria libomx di NVIDIA (libnvomx) potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto di un processo con privilegi. Questo problema è classificato come Alto perché potrebbe essere utilizzato per ottenere l'accesso locale a funzionalità elevate, che normalmente non sono accessibili a un'applicazione di terze parti.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973*
N-CVE-2016-6789 |
Alto | Pixel C | 29 agosto 2016 |
| CVE-2016-6790 | A-31251628*
N-CVE-2016-6790 |
Alto | Pixel C | 28 agosto 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver audio Qualcomm
Una vulnerabilità di elevazione dei privilegi nel driver audio Qualcomm potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-RP#1071809 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 agosto 2016 |
| CVE-2016-8391 | A-31253255 QC-RP#1072166 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 agosto 2016 |
| CVE-2016-8392 | A-31385862 QC-RP#1073136 |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 8 settembre 2016 |
Vulnerabilità di elevazione dei privilegi nel sottosistema di sicurezza del kernel
Una vulnerabilità di elevazione dei privilegi nel sottosistema di sicurezza del kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 Kernel upstream |
Alto | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 31 agosto 2016 |
Vulnerabilità di elevazione dei privilegi nel driver del touchscreen Synaptics
Una vulnerabilità di elevazione dei privilegi nel driver del touchscreen Synaptics potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920* | Alto | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 settembre 2016 |
| CVE-2016-8394 | A-31913197* | Alto | Nexus 9, Android One | 8 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Broadcom
Una vulnerabilità di elevazione dei privilegi nel driver Wi-Fi Broadcom potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come Alto perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB#26684 |
Alto | Nessuno* | 21 settembre 2016 |
| CVE-2014-9910 | A-31746399 B-RB#26710 |
Alto | Nessuno* | 26 settembre 2016 |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di divulgazione di informazioni nel driver video MediaTek
Una vulnerabilità di divulgazione di informazioni nel driver video MediaTek potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come Alto perché potrebbe essere utilizzato per accedere a dati sensibili senza l'autorizzazione esplicita dell'utente.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | Alto | Nessuno* | 26 agosto 2016 |
* I dispositivi Google supportati su Android 7.0 o versioni successive su cui sono stati installati tutti gli aggiornamenti disponibili non sono interessati da questa vulnerabilità.
Vulnerabilità di divulgazione di informazioni nel driver video NVIDIA
Una vulnerabilità di divulgazione di informazioni nel driver video NVIDIA potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come Alto perché potrebbe essere utilizzato per accedere a dati sensibili senza l'autorizzazione esplicita dell'utente.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953* N-CVE-2016-8397 |
Alto | Nexus 9 | 8 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità Denial of Service nel GPS
Una vulnerabilità di denial of service nel componente GPS di Qualcomm potrebbe consentire a un attacco remoto di causare un blocco o un riavvio del dispositivo. Questo problema è classificato come Alto a causa della possibilità di un attacco di tipo denial of service remoto temporaneo.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303* | Alto | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 21 giugno 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di Denial of Service nel driver della videocamera NVIDIA
Una vulnerabilità di denial of service nel driver della videocamera NVIDIA potrebbe consentire a un malintenzionato di causare un denial of service permanente locale, che potrebbe richiedere il riflash del sistema operativo per riparare il dispositivo. Questo problema è classificato come Alto a causa della possibilità di un attacco di tipo denial of service permanente locale.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040*
N-CVE-2016-8395 |
Alto | Pixel C | 9 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di elevazione dei privilegi nel sottosistema di rete del kernel
Una vulnerabilità di elevazione dei privilegi nel sottosistema di rete del kernel potrebbe consentire a un'applicazione locale dannosa di eseguire codice arbitrario nel contesto del kernel. Questo problema è classificato come moderato perché richiede innanzitutto la compromissione di un processo privilegiato e le attuali ottimizzazioni del compilatore limitano l'accesso al codice vulnerabile.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935* | Moderata | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
V vulnerabilità di divulgazione di informazioni nei componenti Qualcomm
Una vulnerabilità di divulgazione di informazioni nei componenti Qualcomm, inclusi il driver della fotocamera e il driver video, potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché richiede innanzitutto la compromissione di un processo privilegiato.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-6756 | A-29464815 QC-RP#1042068 [2] |
Moderata | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 17 giugno 2016 |
| CVE-2016-6757 | A-30148242 QC-RP#1052821 |
Moderata | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 13 luglio 2016 |
Vulnerabilità di divulgazione di informazioni nella libreria librm di NVIDIA
Una vulnerabilità di divulgazione di informazioni nella libreria librm di NVIDIA (libnvrm) potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché potrebbe essere utilizzato per accedere a dati sensibili senza autorizzazione.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599*
N-CVE-2016-8400 |
Moderata | Pixel C | 29 agosto 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di divulgazione di informazioni nei componenti del kernel
Una vulnerabilità di divulgazione di informazioni nei componenti del kernel, tra cui il sottosistema ION, Binder, il driver USB e il sottosistema di rete, potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché richiede innanzitutto la compromissione di un procedura con privilegi.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725* | Moderata | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 settembre 2016 |
| CVE-2016-8402 | A-31495231* | Moderata | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 settembre 2016 |
| CVE-2016-8403 | A-31495348* | Moderata | Nexus 9 | 13 settembre 2016 |
| CVE-2016-8404 | A-31496950* | Moderata | Nexus 9 | 13 settembre 2016 |
| CVE-2016-8405 | A-31651010* | Moderata | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 21 settembre 2016 |
| CVE-2016-8406 | A-31796940* | Moderata | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 settembre 2016 |
| CVE-2016-8407 | A-31802656* | Moderata | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di divulgazione di informazioni nel driver video NVIDIA
Una vulnerabilità di divulgazione di informazioni nel driver video NVIDIA potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché richiede innanzitutto la compromissione di un procedura privilegiata.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571*
N-CVE-2016-8408 |
Moderata | Nexus 9 | 13 settembre 2016 |
| CVE-2016-8409 | A-31495687*
N-CVE-2016-8409 |
Moderata | Nexus 9 | 13 settembre 2016 |
* La patch per questo problema non è disponibile pubblicamente. L'aggiornamento è incluso nei driver binari più recenti per i dispositivi Google disponibili sul sito di Google Developer.
Vulnerabilità di divulgazione di informazioni nel driver audio Qualcomm
Una vulnerabilità di divulgazione di informazioni nel driver audio Qualcomm potrebbe consentire a un'applicazione locale dannosa di accedere ai dati al di fuori dei suoi livelli di autorizzazione. Questo problema è classificato come moderato perché richiede innanzitutto di compromettere un processo con privilegi.
| CVE | Riferimenti | Gravità | Dispositivi Google aggiornati | Data segnalazione |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-RP#987010 |
Moderata | Nexus 5X, Nexus 6, Nexus 6P, Android One | Interno Google |
Domande frequenti e risposte
Questa sezione risponde alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi?
Per scoprire come controllare il livello della patch di sicurezza di un dispositivo, leggi le istruzioni riportate nella pianificazione degli aggiornamenti di Pixel e Nexus.
- I livelli patch di sicurezza dal 1° dicembre 2016 o versioni successive risolvono tutti i problemi associati al livello patch di sicurezza del 1° dicembre 2016.
- I livelli patch di sicurezza del 05-12-2016 o successivi risolvono tutti i problemi associati al livello patch di sicurezza del 05-12-2016 e a tutti i livelli patch precedenti.
I produttori di dispositivi che includono questi aggiornamenti devono impostare il livello della stringa patch su:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. Perché questo bollettino contiene due livelli di patch di sicurezza?
Questo bollettino contiene due livelli di patch di sicurezza per consentire ai partner di Android di correggere più rapidamente un sottoinsieme di vulnerabilità simili su tutti i dispositivi Android. I partner Android sono invitati a risolvere tutti i problemi elencati in questo bollettino e a utilizzare il livello della patch di sicurezza più recente.
- I dispositivi che utilizzano il livello della patch di sicurezza del 1° dicembre 2016 devono includere tutti i problemi associati a quel livello, nonché le correzioni di tutti i problemi segnalati nei bollettini sulla sicurezza precedenti.
- I dispositivi che utilizzano il livello della patch di sicurezza del 5 dicembre 2016 o successivo devono includere tutte le patch applicabili in questo bollettino (e nei precedenti) sulla sicurezza.
I partner sono invitati a raggruppare le correzioni per tutti i problemi che stanno affrontando in un unico aggiornamento.
3. Come faccio a determinare quali dispositivi Google sono interessati da ogni problema?
Nelle sezioni dei dettagli delle vulnerabilità di sicurezza del 01-12-2016 e del 05-12-2016, ogni tabella contiene una colonna Dispositivi Google aggiornati che copre l'intervallo di dispositivi Google interessati aggiornati per ogni problema. Questa colonna offre alcune opzioni:
- Tutti i dispositivi Google: se un problema riguarda tutti i dispositivi e i Pixel, nella colonna Dispositivi Google aggiornati sarà presente il valore "Tutti". "Tutti" racchiude i seguenti dispositivi supportati: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel e Pixel XL.
- Alcuni dispositivi Google: se un problema non riguarda tutti i dispositivi Google, quelli interessati sono elencati nella colonna Dispositivi Google aggiornati.
- Nessun dispositivo Google: se nessun dispositivo Google con Android 7.0 è interessato dal problema, nella colonna Dispositivi Google aggiornati della tabella sarà presente il valore "Nessun dispositivo".
4. A cosa si riferiscono le voci nella colonna dei riferimenti?
Le voci nella colonna Riferimenti della tabella con i dettagli delle vulnerabilità possono contenere un prefisso che identifica l'organizzazione a cui appartiene il valore di riferimento. Questi prefissi sono mappati come segue:
| Prefisso | Riferimenti |
|---|---|
| A- | ID bug Android |
| QC- | Numero di riferimento Qualcomm |
| M- | Numero di riferimento MediaTek |
| N- | Numero di riferimento NVIDIA |
| B- | Numero di riferimento Broadcom |
Revisioni
- 5 dicembre 2016: bollettino pubblicato.
- 7 dicembre 2016: bollettino rivisto per includere i link ad AOSP e l'attribuzione aggiornata per CVE-2016-6915, CVE-2016-6916 e CVE-2016-6917.
- 21 dicembre 2016: sono stati corretti gli errori ortografici nella descrizione della vulnerabilità CVE-2016-8411 e nelle domande e risposte comuni.