Android-Sicherheitsbulletin – Oktober 2016

Veröffentlicht am 03.10.2016 | Aktualisiert am 04. Oktober 2016

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Site veröffentlicht. Sicherheits-Patch-Levels vom 5. Oktober 2016 oder später beheben diese Probleme. Lesen Sie die Dokumentation , um zu erfahren, wie Sie den Sicherheits-Patch-Level überprüfen. Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 5. Oktober 2016.

Partner wurden über die im Bulletin beschriebenen Probleme am 6. September 2016 oder früher benachrichtigt. Wo zutreffend, wurden Quellcode-Patches für diese Probleme im Repository des Android Open Source Project (AOSP) veröffentlicht. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Die schwerwiegendsten dieser Probleme sind kritische Sicherheitslücken in gerätespezifischem Code, die eine Remote-Codeausführung im Kontext des Kernels ermöglichen könnten, was zu einer lokalen permanenten Gerätekompromittierung führen könnte, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht . Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.

Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzung für Android- und Google-Dienste .

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Dieses Bulletin enthält zwei Sicherheits-Patch-Level-Strings, um Android-Partnern die Flexibilität zu geben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
    • 01.10.2016 : Teilweise Sicherheits-Patch-Level-String. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-10-01 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
    • 05.10.2016 : Vollständiger Sicherheits-Patch-Level-String. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2016-10-01 und 2016-10-05 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
  • Unterstützte Nexus-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 5. Oktober 2016.

Minderungen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.

  • Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Andre Teixeira Rizzo: CVE-2016-3882
  • Andrea Biondo: CVE-2016-3921
  • Daniel Micay von Copperhead Security: CVE-2016-3922
  • Dmitry Vyukov von Google: CVE-2016-7117
  • Dosomder: CVE-2016-3931
  • Ecular Xu (徐健) von Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
  • Hang Zhang , Dongdong She und Zhiyun Qian von der UC Riverside: CVE-2015-8950
  • Hao Chen vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • Jann Horn von Google Project Zero: CVE-2016-3900, CVE-2016-3885
  • Jason Rogena : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
  • Joshua Drake ( @jduck ): CVE-2016-3920
  • Maciej Szawłowski vom Google-Sicherheitsteam: CVE-2016-3905
  • Marke von Google Project Zero: CVE-2016-6689
  • Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3933, CVE-2016-3932
  • Cybersicherheitsforschung von Nightwatch ( @nightwatchcyber ): CVE-2016-5348
  • Roee Hay, IBM Security X-Force-Forscher: CVE-2016-6678
  • Samuel Tan von Google: CVE-2016-3925
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • Seven Shen ( @lingtongshen ) vom Trend Micro Mobile Threat Research Team: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
  • Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) und Xuxian Jiang vom C0RE-Team : CVE-2016-3909
  • Wenlin Yang und Guang Gong (龚广) ( @oldfresher ) vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Wish Wu (吴潍浠) ( @wish_wu) von Trend Micro Inc .: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • Yong Shi vom Eagleye-Team, SCC, Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行之) ( @0xr0ot ) vom Security Research Lab, Cheetah Mobile : CVE-2016-3908

2016-10-01 Sicherheits-Patch-Level – Details zur Schwachstelle

In den folgenden Abschnitten stellen wir Details für alle Sicherheitsschwachstellen bereit, die für das Patch-Level 2016-10-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Erhöhung von Berechtigungen in ServiceManager

Eine Erhöhung der Berechtigungen in ServiceManager könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebige Dienste zu registrieren, die normalerweise von einem privilegierten Prozess wie dem system_server bereitgestellt würden. Dieses Problem wird aufgrund der Möglichkeit eines Dienstidentitätswechsels als hoher Schweregrad eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3900 A-29431260 [ 2 ] Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15. Juni 2016

Schwachstelle bezüglich Erhöhung von Berechtigungen im Sperreinstellungsdienst

Eine Schwachstelle bezüglich Rechteerweiterungen im Sperreinstellungsdienst könnte es einer lokalen bösartigen Anwendung ermöglichen, die Geräte-PIN oder das Kennwort zu löschen. Dieses Problem wird als Hoch eingestuft, da es sich um eine lokale Umgehung der Benutzerinteraktionsanforderungen für Änderungen von Entwickler- oder Sicherheitseinstellungen handelt.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3908 A-30003944 Hoch Alles Nexus 6.0, 6.0.1, 7.0 6. Juli 2016

Sicherheitslücke bezüglich Erhöhung von Berechtigungen in Mediaserver

Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3909 A-30033990 [ 2 ] Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 8. Juli 2016
CVE-2016-3910 A-30148546 Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13. Juli 2016
CVE-2016-3913 A-30204103 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18. Juli 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Zygote-Prozess

Eine Rechteerweiterung im Zygote-Prozess könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3911 A-30143607 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12. Juli 2016

Schwachstelle bezüglich Erhöhung von Berechtigungen in Framework-APIs

Eine Schwachstelle bezüglich der Erhöhung von Berechtigungen in den Framework-APIs könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3912 A-30202481 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 17. Juli 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Telefonie

Eine Schwachstelle bezüglich Rechteerweiterungen in der Telefonie-Komponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3914 A-30481342 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28. Juli 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen im Kameradienst

Eine Schwachstelle bezüglich Rechteerweiterungen im Kameradienst könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3915 A-30591838 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 1. August 2016
CVE-2016-3916 A-30741779 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 2. August 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen bei der Anmeldung per Fingerabdruck

Eine Schwachstelle bezüglich Rechteerweiterungen während der Anmeldung per Fingerabdruck könnte es einem böswilligen Gerätebesitzer ermöglichen, sich mit einem anderen Benutzerkonto auf dem Gerät anzumelden. Dieses Problem wird aufgrund der Möglichkeit einer Umgehung des Sperrbildschirms als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3917 A-30744668 Hoch Alles Nexus 6.0.1, 7.0 5. August 2016

Schwachstelle bezüglich Offenlegung von Informationen in AOSP Mail

Eine Schwachstelle bezüglich der Offenlegung von Informationen in AOSP Mail könnte es einer lokalen bösartigen Anwendung ermöglichen, den Schutz des Betriebssystems zu umgehen, der Anwendungsdaten von anderen Anwendungen isoliert. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf Daten ohne Erlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3918 A-30745403 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5. August 2016

Denial-of-Service-Schwachstelle in Wi-Fi

Eine Denial-of-Service-Schwachstelle in Wi-Fi könnte es einem lokalen Angreifer ermöglichen, einen Hotspot zu erstellen und einen Neustart des Geräts zu verursachen. Dieses Problem wird aufgrund der Möglichkeit einer vorübergehenden Dienstverweigerung aus der Ferne als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3882 A-29464811 Hoch Alles Nexus 6.0, 6.0.1, 7.0 17. Juni 2016

Denial-of-Service-Schwachstelle in GPS

Eine Denial-of-Service-Schwachstelle in der GPS-Komponente könnte es einem entfernten Angreifer ermöglichen, ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit einer vorübergehenden Dienstverweigerung aus der Ferne als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-5348 A-29555864 Hoch Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 20. Juni 2016

Denial-of-Service-Schwachstelle in Mediaserver

Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3920 A-30744884 Hoch Alles Nexus 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5. August 2016

Schwachstelle bezüglich Erhöhung von Berechtigungen im Framework Listener

Eine Schwachstelle bezüglich Rechteerweiterungen im Framework Listener könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3921 A-29831647 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 25. Juni 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Telefonie

Eine Schwachstelle bezüglich Rechteerweiterungen in Telefonie könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3922 A-30202619 Mäßig Alles Nexus 6.0, 6.0.1, 7.0 17. Juli 2016

Schwachstelle bezüglich Erhöhung von Berechtigungen in Eingabehilfen

Eine Schwachstelle in Bezug auf Rechteerweiterungen in den Eingabehilfen könnte es einer lokalen bösartigen Anwendung ermöglichen, unerwartete Touch-Ereignisse auf dem Gerät zu generieren, die dazu führen könnten, dass Anwendungen Berechtigungsdialoge ohne die ausdrückliche Zustimmung des Benutzers akzeptieren. Dieses Problem wird als mäßig eingestuft, da es sich um eine lokale Umgehung von Benutzerinteraktionsanforderungen handelt, die normalerweise entweder eine Benutzerinitiierung oder eine Benutzerberechtigung erfordern würden.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3923 A-30647115 Mäßig Alles Nexus 7.0 Google-intern

Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf sensible Daten verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3924 A-30204301 Mäßig Alles Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18. Juli 2016

Denial-of-Service-Schwachstelle in Wi-Fi

Eine Denial-of-Service-Schwachstelle im Wi-Fi-Dienst könnte es einer lokalen bösartigen Anwendung ermöglichen, Wi-Fi-Anrufe zu verhindern. Dieses Problem wird aufgrund der Möglichkeit eines Denial-of-Service für die Anwendungsfunktionalität als moderat eingestuft.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-3925 A-30230534 Mäßig Alles Nexus 6.0, 6.0.1, 7.0 Google-intern

Sicherheits-Patch-Level vom 05.10.2016 – Details zur Schwachstelle

In den folgenden Abschnitten stellen wir Details für alle Sicherheitsschwachstellen bereit, die für die Patchebene vom 05.10.2016 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Nexus-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Remotecodeausführung im ASN.1-Decoder des Kernels

Eine Elevation-of-Privilege-Schwachstelle im ASN.1-Decoder des Kernels könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-0758 A-29814470
Upstream-Kernel
Kritisch Nexus 5X, Nexus 6P 12. Mai 2016

Schwachstelle bezüglich Remote-Codeausführung im Kernel-Netzwerk-Subsystem

Eine Schwachstelle bezüglich Remote-Codeausführung im Kernel-Netzwerk-Subsystem könnte es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-7117 A-30515201
Upstream-Kernel
Kritisch Alles Nexus Google-intern

Elevation of Privilege-Schwachstelle im MediaTek-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Grafiktreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3928 A-30019362*
M-ALPS02829384
Kritisch Keiner 6. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Shared-Memory-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Kernel-Shared-Memory-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-5340 A-30652312
QC-CR#1008948
Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 26. Juli 2016

Schwachstellen in Qualcomm-Komponenten

Die folgende Tabelle enthält Sicherheitslücken, die Komponenten von Qualcomm betreffen und in den Sicherheitsbulletins Qualcomm AMSS März 2016 und Qualcomm AMSS April 2016 ausführlicher beschrieben werden.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3926 A-28823953* Kritisch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Qualcomm-intern
CVE-2016-3927 A-28823244* Kritisch Nexus 5X, Nexus 6P Qualcomm-intern
CVE-2016-3929 A-28823675* Hoch Nexus 5X, Nexus 6P Qualcomm-intern

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle in der Qualcomm-Netzwerkkomponente

Eine Elevation-of-Privilege-Schwachstelle in der Qualcomm-Netzwerkkomponente könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-2059 A-27045580
QC-CR#974577
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 4. Februar 2016

Elevation of Privilege-Schwachstelle im NVIDIA MMC-Testtreiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA MMC-Testtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3930 A-28760138*
N-CVE-2016-3930
Hoch Verbindung 9 12. Mai 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm QSEE Communicator-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm QSEE Communicator-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3931 A-29157595
QC-CR#1036418
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 4. Juni 2016

Sicherheitslücke bezüglich Erhöhung von Berechtigungen in Mediaserver

Eine Schwachstelle bezüglich Rechteerweiterungen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3932 A-29161895
M-ALPS02770870
Hoch Keiner 6. Juni 2016
CVE-2016-3933 A-29421408*
N-CVE-2016-3933
Hoch Nexus 9, Pixel C 14. Juni 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3903 A-29513227
QC-CR#1040857
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 20. Juni 2016
CVE-2016-3934 A-30102557
QC-CR#789704
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One 12. Juli 2016

Elevation of Privilege-Schwachstelle im Qualcomm-Soundtreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-8951 A-30142668
QC-CR#948902
QC-CR#948902
Hoch Nexus 5X, Nexus 6P, Android One 20. Juni 2016

Elevation of Privilege-Schwachstelle im Qualcomm-Krypto-Engine-Treiber

Eine Elevation-of-Privilege-Schwachstelle im kryptografischen Engine-Treiber von Qualcomm könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3901 A-29999161
QC-CR#1046434
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 6. Juli 2016
CVE-2016-3935 A-29999665
QC-CR#1046507
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 6. Juli 2016

Elevation of Privilege-Schwachstelle im MediaTek-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Grafiktreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3936 A-30019037*
M-ALPS02829568
Hoch Keiner 6. Juli 2016
CVE-2016-3937 A-30030994*
M-ALPS02834874
Hoch Keiner 7. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3938 A-30019716
QC-CR#1049232
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 7. Juli 2016
CVE-2016-3939 A-30874196
QC-CR#1001224
Hoch Nexus 5X, Nexus 6, Nexus 6P, Android One 15. August 2016

Elevation of Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3940 A-30141991* Hoch Nexus 6P, Android One 12. Juli 2016
CVE-2016-6672 A-30537088* Hoch Nexus 5X 31. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation-of-Privilege-Schwachstelle im NVIDIA-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kameratreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6673 A-30204201*
N-CVE-2016-6673
Hoch Verbindung 9 17. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Rechteerhöhung in system_server

Eine Schwachstelle bezüglich Rechteerweiterungen in system_server könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6674 A-30445380* Hoch Alles Nexus 26. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3905 A-28061823
QC-CR#1001449
Hoch Nexus 5X Google-intern
CVE-2016-6675 A-30873776
QC-CR#1000861
Hoch Nexus 5X, Android One 15. August 2016
CVE-2016-6676 A-30874066
QC-CR#1000853
Hoch Nexus 5X, Android One 15. August 2016
CVE-2016-5342 A-30878283
QC-CR#1032174
Hoch Android One 15. August 2016

Schwachstelle bezüglich Rechteerhöhung im Kernelleistungs-Subsystem

Eine Elevation-of-Privilege-Schwachstelle im Kernel-Performance-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-8955 A-29508816
Upstream-Kernel
Hoch Nexus 5X, Nexus 6P, Pixel C, Android One Google-intern

Schwachstelle bezüglich Offenlegung von Informationen im Kernel-ION-Subsystem

Eine Schwachstelle zur Offenlegung von Informationen im Kernel-ION-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-8950 A-29795245
QC-CR#1041735
Hoch Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 12. Mai 2016

Schwachstelle bezüglich Offenlegung von Informationen im NVIDIA-GPU-Treiber

Eine Schwachstelle zur Offenlegung von Informationen im NVIDIA-GPU-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6677 A-30259955*
N-CVE-2016-6677
Hoch Verbindung 9 19. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm-Zeichentreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Zeichentreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und auf den anfälligen Code derzeit nicht zugegriffen werden kann.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2015-0572 A-29156684
QC-CR#848489
Mäßig Nexus 5X, Nexus 6P 28. Mai 2016

Schwachstelle bezüglich Offenlegung von Informationen im Soundtreiber von Qualcomm

Eine Schwachstelle zur Offenlegung von Informationen im Qualcomm-Soundtreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-3860 A-29323142
QC-CR#1038127
Mäßig Nexus 5X, Nexus 6P, Android One 13. Juni 2016

Schwachstelle bezüglich Offenlegung von Informationen im Motorola USBNet-Treiber

Eine Schwachstelle zur Offenlegung von Informationen im Motorola USBNet-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6678 A-29914434* Mäßig Verbindung 6 30. Juni 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Offenlegung von Informationen in Qualcomm-Komponenten

Eine Schwachstelle zur Offenlegung von Informationen in Qualcomm-Komponenten, einschließlich des Soundtreibers, IPA-Treibers und Wi-Fi-Treibers, könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6679 A-29915601
QC-CR#1000913 [ 2 ]
Mäßig Nexus 5X, Android One 30. Juni 2016
CVE-2016-3902 A-29953313*
QC-CR#1044072
Mäßig Nexus 5X, Nexus 6P, 2. Juli 2016
CVE-2016-6680 A-29982678*
QC-CR#1048052
Mäßig Nexus 5X, Android One 3. Juli 2016
CVE-2016-6681 A-30152182
QC-CR#1049521
Mäßig Nexus 5X, Nexus 6P, Android One 14. Juli 2016
CVE-2016-6682 A-30152501
QC-CR#1049615
Mäßig Nexus 5X, Nexus 6P, Android One 14. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Offenlegung von Informationen in Kernel-Komponenten

Eine Schwachstelle zur Offenlegung von Informationen in Kernel-Komponenten, einschließlich Binder, Sync, Bluetooth und Sound-Treiber, könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6683 A-30143283* Mäßig Alles Nexus 13. Juli 2016
CVE-2016-6684 A-30148243* Mäßig Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One 13. Juli 2016
CVE-2015-8956 A-30149612* Mäßig Nexus 5, Nexus 6P, Android One 14. Juli 2016
CVE-2016-6685 A-30402628* Mäßig Nexus 6P 25. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich der Offenlegung von Informationen im NVIDIA-Profiler

Eine Schwachstelle zur Offenlegung von Informationen im NVIDIA-Profiler könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6686 A-30163101*
N-CVE-2016-6686
Mäßig Verbindung 9 15. Juli 2016
CVE-2016-6687 A-30162222*
N-CVE-2016-6687
Mäßig Verbindung 9 15. Juli 2016
CVE-2016-6688 A-30593080*
N-CVE-2016-6688
Mäßig Verbindung 9 2. August 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Offenlegung von Informationen im Kernel

Eine Schwachstelle zur Offenlegung von Informationen in Binder könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Nexus-Geräte Datum gemeldet
CVE-2016-6689 A-30768347* Mäßig Alles Nexus 9. August 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel networking subsystem

A denial of service vulnerability in the kernel networking subsystem could enable an attacker to block access to TCP connections and cause a temporary remote denial of service. This issue is rated as Moderate because cellular services are still available and the device is still usable.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-5696 A-30809774
Upstream-Kernel
Mäßig Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One Jul 12, 2016

Denial of service vulnerability in kernel sound driver

A denial of service vulnerability in the kernel could allow a local malicious application to cause a device reboot. This issue is rated as Low because it is a temporary denial of service.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-6690 A-28838221* Low Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player May 18, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Vulnerabilities in Qualcomm components

The table below contains a list of security vulnerabilities that affect Qualcomm components.

CVE Verweise Schwere Updated Nexus devices Date reported
CVE-2016-6691 QC-CR#978452 Hoch Keiner Jul 2016
CVE-2016-6692 QC-CR#1004933 Hoch Keiner Aug 2016
CVE-2016-6693 QC-CR#1027585 Hoch Keiner Aug 2016
CVE-2016-6694 QC-CR#1033525 Hoch Keiner Aug 2016
CVE-2016-6695 QC-CR#1033540 Hoch Keiner Aug 2016
CVE-2016-6696 QC-CR#1041130 Hoch Keiner Aug 2016
CVE-2016-5344 QC-CR#993650 Mäßig Keiner Aug 2016
CVE-2016-5343 QC-CR#1010081 Mäßig Keiner Aug 2016

Common Questions and Answers

In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Security Patch Levels of 2016-10-01 or later address all issues associated with the 2016-10-01 security patch string level. Security Patch Levels of 2016-10-05 or later address all issues associated with the 2016-10-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-10-01] or [ro.build.version.security_patch]:[2016-10-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of October 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the October 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-10-01 and 2016-10-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Einträge in der Spalte „ Referenzen “ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. These prefixes map as follows:

Präfix Bezug
EIN- Android-Fehler-ID
QC- Qualcomm-Referenznummer
M- MediaTek-Referenznummer
N- NVIDIA-Referenznummer
B- Broadcom-Referenznummer

Revisions

  • October 03, 2016: Bulletin published.
  • October 04, 2016: Bulletin revised to include AOSP links and update attributions for CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695, and CVE-2016-6696.