Бюллетень по безопасности Android — февраль 2017 г.

Опубликовано 6 февраля 2017 г. | Обновлено 8 февраля 2017 г.

Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Одновременно с этим бюллетенем мы выпустили обновление безопасности для устройств Google посредством беспроводного обновления (OTA). Образы прошивки устройства Google также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 5 февраля 2017 г. или более поздние устраняют все эти проблемы. Ознакомьтесь с расписанием обновлений Pixel и Nexus , чтобы узнать, как проверить уровень исправлений безопасности устройства.

Партнеры были уведомлены о проблемах, описанных в бюллетене, 3 января 2017 года или ранее. Исправления исходного кода для устранения этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и ссылки на них можно найти в этом бюллетене. Этот бюллетень также содержит ссылки на исправления, не входящие в AOSP.

Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.

У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet , которые повышают безопасность платформы Android, см. в разделе «Средства снижения рисков для Android и служб Google».

Мы рекомендуем всем клиентам принять эти обновления на свои устройства.

Объявления

• В этом бюллетене есть две строки уровня исправлений безопасности, которые предоставляют партнерам Android возможность более быстро устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Дополнительные сведения см. в разделе «Общие вопросы и ответы» :
  • 01.02.2017 : Строка уровня частичного исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 февраля 2017 г. (и всеми предыдущими строками уровня исправления безопасности), устранены.
  • 05.02.2017 : Полная строка уровня исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 февраля 2017 г. и 05 февраля 2017 г. (и все предыдущие строки уровня исправления безопасности), устранены.
• Поддерживаемые устройства Google получат одно OTA-обновление с уровнем исправления безопасности от 5 февраля 2017 года.

Устранение последствий для Android и сервисов Google

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

• Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
• Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet , которые предназначены для предупреждения пользователей о потенциально вредных приложениях . Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования — независимо от того, откуда оно получено. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
• При необходимости приложения Google Hangouts и Messenger не передают автоматически мультимедиа в такие процессы, как Mediaserver.

Благодарности

Мы хотели бы поблагодарить этих исследователей за их вклад:

• Дэниел Дахно: CVE-2017-0420.
• Дэниел Микей из Copperhead Security: CVE-2017-0410.
• Дмитрий Лукьяненко : CVE-2017-0414
• Фрэнк Либерато из Chrome: CVE-2017-0409.
• Галь Бениамини из Project Zero: CVE-2017-0411, CVE-2017-0412.
• Гэнцзя Чен ( @chengjia4574 ) и сотрудник IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432.
• Гуан Гун (龚广) ( @oldfresher ) из Alpha Team, Qihoo 360 Technology Co.Ltd : CVE-2017-0415
• Ханьсян Вэнь , Венке Доу , Минцзянь Чжоу ( @Mingjian_Zhou ) и Сюсянь Цзян из команды C0RE : CVE-2017-0418
• Хао Чен и Гуан Гун из команды Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016. -8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
• Джефф Шарки из Google: CVE-2017-0421, CVE-2017-0423.
• Джефф Трим: CVE-2017-0422.
• Цзяньцян Чжао ( @jianqiangzhao ) и сотрудник IceSword Lab, Qihoo 360: CVE-2017-0445
• ma.la и Николай Еленков из LINE Corporation: CVE-2016-5552.
• Макс Спектор из Google: CVE-2017-0416.
• Минцзянь Чжоу ( @Mingjian_Zhou ), Юци Лу ( @nikos233 ) и Сюсянь Цзян из команды C0RE : CVE-2017-0425
• Цидан Хэ (何淇丹) ( @flanker_hqd ) и Ди Шен (申迪) ( @returnsme ) из KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427
• Саги Кедми из IBM X-Force Research: CVE-2017-0433.
• Скотт Бауэр ( @ScottyBauer1 ) и Дэниел Микей из Copperhead Security: CVE-2017-0405.
• Севен Шен ( @lingtongshen ) из группы исследования мобильных угроз Trend Micro: CVE-2017-0449, CVE-2016-8418.
• Тонг Линь , Юань-Цунг Ло , Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE : CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
• VEO ( @VYSEa ) из группы реагирования на мобильные угрозы Trend Micro : CVE-2017-0424.
• Вейчао Сан ( @sunblate ) из Alibaba Inc.: CVE-2017-0407.
• Венке Доу , Хунли Хан , Минцзянь Чжоу ( @Mingjian_Zhou ) и Сюсянь Цзян из команды C0RE : CVE-2017-0450
• Венке Доу , Юци Лу ( @nikos233 ), Минцзянь Чжоу ( @Mingjian_Zhou ) и Сюсянь Цзян из команды C0RE : CVE-2017-0417
• Виш Ву ( @wish_wu ) (吴潍浠此彼) из Ant-financial Light-Year Security Lab: CVE-2017-0408
• Яо Цзюнь , Юань-Цунг Ло , Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE : CVE-2016-8480
• Юань-Цунг Ло , Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE : CVE-2017-0444
• Юань-Цунг Ло , Тонг Линь , Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE : CVE-2017-0428
• Юань-Цун Ло , Сяодун Ван , Чиачи Ву ( @chiachih_wu ) и Сюсянь Цзян из команды C0RE : CVE-2017-0448, CVE-2017-0429
• Чжэнь Чжоу ( @henices ) и Чжисинь Ли из NSFocus : CVE-2017-0406

Мы также хотели бы поблагодарить следующих лиц за вклад в этот бюллетень:

• Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室)

Уровень исправления безопасности от 01 февраля 2017 г. — сведения об уязвимости

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-02-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в Surfaceflinger

Уязвимость удаленного выполнения кода в Surfaceflinger может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки медиафайлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Surfaceflinger.

Уязвимость удаленного выполнения кода в Mediaserver

Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки мультимедийных файлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.

Уязвимость удаленного выполнения кода в libgdx

Уязвимость удаленного выполнения кода в libgdx может позволить злоумышленнику, используя специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.

Уязвимость удаленного выполнения кода в libstagefright

Уязвимость удаленного выполнения кода в libstagefright может позволить злоумышленнику, используя специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.

Повышение привилегий через уязвимость в Java.Net

Повышение привилегий в библиотеке Java.Net может позволить вредоносному веб-контенту перенаправить пользователя на другой веб-сайт без явного разрешения. Этой проблеме присвоен высокий уровень, поскольку она представляет собой удаленный обход требований взаимодействия с пользователем.

Повышение привилегий через API Framework

Уязвимость, связанная с несанкционированным повышением привилегий в API-интерфейсах Framework, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

Повышение привилегий через уязвимость в Mediaserver

Уязвимость, связанная с повышением привилегий в Mediaserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

Повышение привилегий через уязвимость в Audioserver

Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

Уязвимость раскрытия информации в AOSP Mail

Уязвимость раскрытия информации в AOSP Mail может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

Уязвимость раскрытия информации в API Framework

Уязвимость раскрытия информации в API-интерфейсах Framework может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

Уязвимость отказа в обслуживании в Bionic DNS

Уязвимость типа «отказ в обслуживании» в Bionic DNS может позволить удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание или перезагрузку устройства. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.

Повышение привилегий через Bluetooth

Уязвимость, связанная с повышением привилегий в Bluetooth, может позволить злоумышленнику управлять доступом к документам на устройстве. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует использования отдельной уязвимости в стеке Bluetooth.

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить удаленному злоумышленнику, используя специальный созданный файл, получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку она представляет собой общий обход глубокоэшелонированной защиты на уровне пользователя или использование технологии смягчения последствий в привилегированном процессе.

Уязвимость раскрытия информации в Audioserver

Уязвимость раскрытия информации в Audioserver может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к конфиденциальным данным без разрешения.

Уязвимость раскрытия информации в файловой системе

Уязвимость раскрытия информации в файловой системе может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к конфиденциальным данным без разрешения.

Уровень исправления безопасности от 05 февраля 2017 г. — сведения об уязвимости

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-02-05. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в криптодрайвере Qualcomm

Уязвимость удаленного выполнения кода в криптодрайвере Qualcomm может позволить злоумышленнику удаленно выполнить произвольный код в контексте ядра. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте ядра.

* Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через файловую систему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в файловой системе ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер графического процессора NVIDIA

Уязвимость, связанная с повышением привилегий в драйвере графического процессора NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через сетевую подсистему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в сетевой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

Повышение привилегий через драйвер Broadcom Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимости в компонентах Qualcomm

Следующая уязвимость затрагивает компоненты Qualcomm и более подробно описана в бюллетене по безопасности Qualcomm AMSS за сентябрь 2016 г.

* Уровень серьезности этих уязвимостей определен поставщиком.

** Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

*** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер MediaTek

Уязвимость, связанная с повышением привилегий в драйвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана Synaptics, может позволить локальному вредоносному приложению выполнить произвольный код в контексте набора микросхем сенсорного экрана. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер Qualcomm Secure Execution Environment Communicator

Уязвимость, связанная с несанкционированным повышением привилегий в диске Qualcomm Secure Execution Environment Communicator, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

Повышение привилегий через звуковой драйвер Qualcomm

Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер Qualcomm Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

Повышение привилегий через звуковой драйвер Realtek

Уязвимость, связанная с повышением привилегий в звуковом драйвере Realtek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер сенсорного экрана HTC

Уязвимость, связанная с несанкционированным повышением привилегий в драйвере сенсорного экрана HTC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в видеодрайвере NVIDIA

Уязвимость раскрытия информации в видеодрайвере NVIDIA может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер Broadcom Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса и устраняется текущими конфигурациями платформы.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через уязвимость в Audioserver

Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен средний уровень серьезности, поскольку она устраняется текущими конфигурациями платформы.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через файловую систему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в файловой системе ядра, может позволить локальному вредоносному приложению обойти средства защиты, предотвращающие повышение привилегий. Этой проблеме присвоен средний уровень серьезности, поскольку она представляет собой общий обход системы глубокоэшелонированной защиты на уровне пользователя или технологии предотвращения использования эксплойтов.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator

Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

Уязвимость раскрытия информации в звуковом драйвере Qualcomm

Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

Общие вопросы и ответы

В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для устранения этих проблем?

Чтобы узнать, как проверить уровень обновлений безопасности устройства, прочтите инструкции в расписании обновлений Pixel и Nexus .

• Уровни исправлений безопасности от 01 февраля 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 01 февраля 2017 г.
• Уровни исправлений безопасности от 05 февраля 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 05 февраля 2017 г. и всеми предыдущими уровнями исправлений.

Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:

• [ro.build.version.security_patch]:[2017-02-01]
• [ro.build.version.security_patch]:[2017-02-05]

2. Почему в этом бюллетене указаны два уровня исправлений безопасности?

В этом бюллетене есть два уровня исправлений безопасности, поэтому партнеры Android имеют возможность быстрее устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать последнюю версию исправлений безопасности.

• Устройства, использующие уровень исправлений безопасности от 1 февраля 2017 г., должны включать все проблемы, связанные с этим уровнем исправлений безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
• Устройства, на которых используются исправления безопасности от 5 февраля 2017 г. или более поздние, должны включать все применимые исправления, указанные в этом (и предыдущих) бюллетенях по безопасности.

Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.

3. Как определить, на каких устройствах Google возникает та или иная проблема?

В разделах сведений об уязвимостях безопасности за 2017-02-01 и 2017-02-05 в каждой таблице есть столбец «Обновленные устройства Google» , в котором указан диапазон затронутых устройств Google, обновленных для каждой проблемы. В этом столбце есть несколько вариантов:

• Все устройства Google . Если проблема затрагивает устройства «Все» и «Pixel», в столбце «Обновленные устройства Google » в таблице будет указано «Все». «Все» инкапсулирует следующие поддерживаемые устройства : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
• Некоторые устройства Google . Если проблема не затрагивает все устройства Google, затронутые устройства Google перечислены в столбце «Обновленные устройства Google» .
• Нет устройств Google . Если проблема не затронула ни одно устройство Google под управлением Android 7.0, в столбце «Обновленные устройства Google » в таблице будет указано «Нет».

4. Чему соответствуют записи в столбце «Ссылки»?

Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение. Эти префиксы отображаются следующим образом:

Редакции

• 6 февраля 2017 г.: Бюллетень опубликован.
• 8 февраля 2017 г.: в бюллетень добавлены ссылки на AOSP.