В декабре 2016 года разработчики Google разделили Android Security Bulletin на два уровня. Первый уровень — это 2016-12-01, включающий в себя 16 исправлений (10 высоко опасных проблем и 6 уязвимостей среднего уровня). Второй уровень — это 2016-12-05, в который входят уже 58 пачтей (11 критических уязвимостей, 33 высоко опасных уязвимости и 14 багов среднего уровня опасности).
Все шестнадцать уязвимостей уровня 2016-12-01 опасны для Android 4.4.4 и старше, включая Android 7. Причем большинство багов так или иначе затрагивали новейшую версию ОС: четыре уязвимости вообще были представлены только в Android 7, и только две уязвимости из шестнадцати оказались неактуальны для Nougat.
Наиболее важным патчем из набора 2016-12-05 определенно является исправление критической уязвимости CVE-2016-5195, более известной под названием Dirty Cow. Напомню, что данную проблему обнаружили в октябре 2016 года. Оказалось, что в ядре Linux почти десять лет существовала уязвимость, позволяющая реализовать повышение привилегий. Когда Dirty Cow обнаружили, багом уже во всю пользовались злоумышленники, нашедшие слабое место раньше ИБ-экспертов. При этом почти сразу стало очевидно, что проблема также распространяется и на Android-устройства, но на подготовку патча специалистам Google потребовалось больше месяца. В ноябре 2016 была представлена предварительная «заплатка».
Из других критических уязвимостей стоит отметить проблему CVE-2016-4794, актуальную для устройств Pixel C, Pixel и Pixel XL. Равно как и Dirty Cow, эта уязвимость позволяла повысить привилегии в системе. Прочие критические уязвимости, исправленные в этом месяце, были обнаружены в GPU драйвере Nvidia, в ядре, видеодрайвере Nvidia, ядре драйвера ION, а также интерфейсе Qualcomm MSM.