Бюллетень по безопасности Android — февраль 2017 г.

Опубликовано 6 февраля 2017 г. | Обновлено 8 февраля 2017 г.

Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Одновременно с этим бюллетенем мы выпустили обновление безопасности для устройств Google посредством беспроводного обновления (OTA). Образы прошивки устройства Google также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 5 февраля 2017 г. или более поздние устраняют все эти проблемы. Ознакомьтесь с расписанием обновлений Pixel и Nexus , чтобы узнать, как проверить уровень исправлений безопасности устройства.

Партнеры были уведомлены о проблемах, описанных в бюллетене, 3 января 2017 года или ранее. Исправления исходного кода для устранения этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и ссылки на них можно найти в этом бюллетене. Этот бюллетень также содержит ссылки на исправления, не входящие в AOSP.

Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.

У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet , которые повышают безопасность платформы Android, см. в разделе «Средства снижения рисков для Android и служб Google».

Мы рекомендуем всем клиентам принять эти обновления на свои устройства.

Объявления

  • В этом бюллетене есть две строки уровня исправлений безопасности, которые предоставляют партнерам Android возможность более быстро устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Дополнительные сведения см. в разделе «Общие вопросы и ответы» :
    • 01.02.2017 : Строка уровня частичного исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 февраля 2017 г. (и всеми предыдущими строками уровня исправления безопасности), устранены.
    • 05.02.2017 : Полная строка уровня исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 февраля 2017 г. и 05 февраля 2017 г. (и все предыдущие строки уровня исправления безопасности), устранены.
  • Поддерживаемые устройства Google получат одно OTA-обновление с уровнем исправления безопасности от 5 февраля 2017 года.

Устранение последствий для Android и сервисов Google

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

  • Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet , которые предназначены для предупреждения пользователей о потенциально вредных приложениях . Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования — независимо от того, откуда оно получено. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
  • При необходимости приложения Google Hangouts и Messenger не передают автоматически мультимедиа в такие процессы, как Mediaserver.

Благодарности

Мы хотели бы поблагодарить этих исследователей за их вклад:

Мы также хотели бы поблагодарить следующих лиц за вклад в этот бюллетень:

  • Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室)

Уровень исправления безопасности от 01 февраля 2017 г. — сведения об уязвимости

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-02-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в Surfaceflinger

Уязвимость удаленного выполнения кода в Surfaceflinger может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки медиафайлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Surfaceflinger.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0405 А-31960359 Критический Все 7.0, 7.1.1 4 октября 2016 г.

Уязвимость удаленного выполнения кода в Mediaserver

Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки мультимедийных файлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0406 А-32915871 [ 2 ] Критический Все 6.0, 6.0.1, 7.0, 7.1.1 14 ноября 2016 г.
CVE-2017-0407 А-32873375 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 12 ноября 2016 г.

Уязвимость удаленного выполнения кода в libgdx

Уязвимость удаленного выполнения кода в libgdx может позволить злоумышленнику, используя специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0408 А-32769670 Высокий Все 7.1.1 9 ноября 2016 г.

Уязвимость удаленного выполнения кода в libstagefright

Уязвимость удаленного выполнения кода в libstagefright может позволить злоумышленнику, используя специально созданный файл, выполнить произвольный код в контексте непривилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0409 А-31999646 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Внутренний Google

Повышение привилегий через уязвимость в Java.Net

Повышение привилегий в библиотеке Java.Net может позволить вредоносному веб-контенту перенаправить пользователя на другой веб-сайт без явного разрешения. Этой проблеме присвоен высокий уровень, поскольку она представляет собой удаленный обход требований взаимодействия с пользователем.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2016-5552 А-31858037 Высокий Все 7.0, 7.1.1 30 сентября 2016 г.

Повышение привилегий через API Framework

Уязвимость, связанная с несанкционированным повышением привилегий в API-интерфейсах Framework, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0410 А-31929765 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 октября 2016 г.
CVE-2017-0411 А-33042690 [ 2 ] Высокий Все 7.0, 7.1.1 21 ноября 2016 г.
CVE-2017-0412 А-33039926 [ 2 ] Высокий Все 7.0, 7.1.1 21 ноября 2016 г.

Повышение привилегий через уязвимость в Mediaserver

Уязвимость, связанная с повышением привилегий в Mediaserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0415 А-32706020 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 4 ноября 2016 г.

Повышение привилегий через уязвимость в Audioserver

Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0416 А-32886609 [ 2 ] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Внутренний Google
CVE-2017-0417 А-32705438 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.
CVE-2017-0418 А-32703959 [ 2 ] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.
CVE-2017-0419 А-32220769 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 октября 2016 г.

Уязвимость раскрытия информации в AOSP Mail

Уязвимость раскрытия информации в AOSP Mail может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0420 А-32615212 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 сентября 2016 г.

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0413 А-32161610 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 13 октября 2016 г.
CVE-2017-0414 А-32807795 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 10 ноября 2016 г.

Уязвимость раскрытия информации в API Framework

Уязвимость раскрытия информации в API-интерфейсах Framework может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0421 А-32555637 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Внутренний Google

Уязвимость отказа в обслуживании в Bionic DNS

Уязвимость типа «отказ в обслуживании» в Bionic DNS может позволить удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание или перезагрузку устройства. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0422 А-32322088 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 октября 2016 г.

Повышение привилегий через Bluetooth

Уязвимость, связанная с повышением привилегий в Bluetooth, может позволить злоумышленнику управлять доступом к документам на устройстве. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует использования отдельной уязвимости в стеке Bluetooth.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0423 А-32612586 Умеренный Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 ноября 2016 г.

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить удаленному злоумышленнику, используя специальный созданный файл, получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку она представляет собой общий обход глубокоэшелонированной защиты на уровне пользователя или использование технологии смягчения последствий в привилегированном процессе.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0424 А-32322450 Умеренный Все 6.0, 6.0.1, 7.0, 7.1.1 20 октября 2016 г.

Уязвимость раскрытия информации в Audioserver

Уязвимость раскрытия информации в Audioserver может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к конфиденциальным данным без разрешения.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0425 А-32720785 Умеренный Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.

Уязвимость раскрытия информации в файловой системе

Уязвимость раскрытия информации в файловой системе может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к конфиденциальным данным без разрешения.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0426 А-32799236 [ 2 ] Умеренный Все 7.0, 7.1.1 Внутренний Google

Уровень исправления безопасности от 05 февраля 2017 г. — сведения об уязвимости

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-02-05. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в криптодрайвере Qualcomm

Уязвимость удаленного выполнения кода в криптодрайвере Qualcomm может позволить злоумышленнику удаленно выполнить произвольный код в контексте ядра. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте ядра.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-8418 А-32652894
КК-CR#1077457
Критический Никто* 10 октября 2016 г.

* Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через файловую систему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в файловой системе ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0427 А-31495866* Критический Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 сентября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер графического процессора NVIDIA

Уязвимость, связанная с повышением привилегий в драйвере графического процессора NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0428 А-32401526*
Н-CVE-2017-0428
Критический Нексус 9 25 октября 2016 г.
CVE-2017-0429 А-32636619*
Н-CVE-2017-0429
Критический Нексус 9 3 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через сетевую подсистему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в сетевой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2014-9914 А-32882659
Вышестоящее ядро
Критический Nexus 6, Nexus Player 9 ноября 2016 г.

Повышение привилегий через драйвер Broadcom Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0430 А-32838767*
Б-РБ#107459
Критический Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Внутренний Google

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимости в компонентах Qualcomm

Следующая уязвимость затрагивает компоненты Qualcomm и более подробно описана в бюллетене по безопасности Qualcomm AMSS за сентябрь 2016 г.

CVE Рекомендации Строгость* Обновленные устройства Google Дата сообщения
CVE-2017-0431 А-32573899** Критический Никто*** Внутренний Qualcomm

* Уровень серьезности этих уязвимостей определен поставщиком.

** Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

*** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер MediaTek

Уязвимость, связанная с повышением привилегий в драйвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0432 А-28332719*
М-ALPS02708925
Высокий Никто** 21 апреля 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана Synaptics, может позволить локальному вредоносному приложению выполнить произвольный код в контексте набора микросхем сенсорного экрана. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0433 А-31913571* Высокий Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 сентября 2016 г.
CVE-2017-0434 А-33001936* Высокий Пиксель, Пиксель XL 18 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер Qualcomm Secure Execution Environment Communicator

Уязвимость, связанная с несанкционированным повышением привилегий в диске Qualcomm Secure Execution Environment Communicator, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-8480 А-31804432
КК-CR#1086186 [ 2 ]
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 сентября 2016 г.

Повышение привилегий через звуковой драйвер Qualcomm

Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-8481 А-31906415*
КК-CR#1078000
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 октября 2016 г.
CVE-2017-0435 А-31906657*
КК-CR#1078000
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 октября 2016 г.
CVE-2017-0436 А-32624661*
КК-CR#1078000
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер Qualcomm Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0437 А-32402310
КК-CR#1092497
Высокий Нексус 5X, Пиксель, Пиксель XL 25 октября 2016 г.
CVE-2017-0438 А-32402604
КК-CR#1092497
Высокий Нексус 5X, Пиксель, Пиксель XL 25 октября 2016 г.
CVE-2017-0439 А-32450647
КК-CR#1092059
Высокий Нексус 5X, Пиксель, Пиксель XL 25 октября 2016 г.
CVE-2016-8419 А-32454494
КК-CR#1087209
Высокий Нексус 5X, Пиксель, Пиксель XL 26 октября 2016 г.
CVE-2016-8420 А-32451171
КК-CR#1087807
Высокий Нексус 5X, Пиксель, Пиксель XL 26 октября 2016 г.
CVE-2016-8421 А-32451104
КК-CR#1087797
Высокий Нексус 5X, Пиксель, Пиксель XL 26 октября 2016 г.
CVE-2017-0440 А-33252788
КК-CR#1095770
Высокий Нексус 5X, Пиксель, Пиксель XL 11 ноября 2016 г.
CVE-2017-0441 А-32872662
КК-CR#1095009
Высокий Нексус 5X, Пиксель, Пиксель XL 11 ноября 2016 г.
CVE-2017-0442 А-32871330
КК-CR#1092497
Высокий Нексус 5X, Пиксель, Пиксель XL 13 ноября 2016 г.
CVE-2017-0443 А-32877494
КК-CR#1092497
Высокий Нексус 5X, Пиксель, Пиксель XL 13 ноября 2016 г.
CVE-2016-8476 А-32879283
КК-CR#1091940
Высокий Нексус 5X, Пиксель, Пиксель XL 14 ноября 2016 г.

Повышение привилегий через звуковой драйвер Realtek

Уязвимость, связанная с повышением привилегий в звуковом драйвере Realtek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0444 А-32705232* Высокий Нексус 9 7 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер сенсорного экрана HTC

Уязвимость, связанная с несанкционированным повышением привилегий в драйвере сенсорного экрана HTC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0445 А-32769717* Высокий Пиксель, Пиксель XL 9 ноября 2016 г.
CVE-2017-0446 А-32917445* Высокий Пиксель, Пиксель XL 15 ноября 2016 г.
CVE-2017-0447 А-32919560* Высокий Пиксель, Пиксель XL 15 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в видеодрайвере NVIDIA

Уязвимость раскрытия информации в видеодрайвере NVIDIA может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0448 А-32721029*
Н-CVE-2017-0448
Высокий Нексус 9 7 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер Broadcom Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса и устраняется текущими конфигурациями платформы.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0449 А-31707909*
Б-РБ#32094
Умеренный Нексус 6, Нексус 6П 23 сентября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через уязвимость в Audioserver

Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен средний уровень серьезности, поскольку она устраняется текущими конфигурациями платформы.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0450 А-32917432* Умеренный Нексус 9 15 ноября 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через файловую систему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в файловой системе ядра, может позволить локальному вредоносному приложению обойти средства защиты, предотвращающие повышение привилегий. Этой проблеме присвоен средний уровень серьезности, поскольку она представляет собой общий обход системы глубокоэшелонированной защиты на уровне пользователя или технологии предотвращения использования эксплойтов.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10044 А-31711619* Умеренный Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Внутренний Google

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator

Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-8414 А-31704078
КК-CR#1076407
Умеренный Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 сентября 2016 г.

Уязвимость раскрытия информации в звуковом драйвере Qualcomm

Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0451 А-31796345
КК-CR#1073129 [ 2 ]
Умеренный Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 27 сентября 2016 г.

Общие вопросы и ответы

В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для устранения этих проблем?

Чтобы узнать, как проверить уровень обновлений безопасности устройства, прочтите инструкции в расписании обновлений Pixel и Nexus .

  • Уровни исправлений безопасности от 01 февраля 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 01 февраля 2017 г.
  • Уровни исправлений безопасности от 05 февраля 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 05 февраля 2017 г. и всеми предыдущими уровнями исправлений.

Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Почему в этом бюллетене указаны два уровня исправлений безопасности?

В этом бюллетене есть два уровня исправлений безопасности, поэтому партнеры Android имеют возможность быстрее устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать последнюю версию исправлений безопасности.

  • Устройства, использующие уровень исправлений безопасности от 1 февраля 2017 г., должны включать все проблемы, связанные с этим уровнем исправлений безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
  • Устройства, на которых используются исправления безопасности от 5 февраля 2017 г. или более поздние, должны включать все применимые исправления, указанные в этом (и предыдущих) бюллетенях по безопасности.

Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.

3. Как определить, на каких устройствах Google возникает та или иная проблема?

В разделах сведений об уязвимостях безопасности за 2017-02-01 и 2017-02-05 в каждой таблице есть столбец «Обновленные устройства Google» , в котором указан диапазон затронутых устройств Google, обновленных для каждой проблемы. В этом столбце есть несколько вариантов:

  • Все устройства Google . Если проблема затрагивает устройства «Все» и «Pixel», в столбце «Обновленные устройства Google » в таблице будет указано «Все». «Все» инкапсулирует следующие поддерживаемые устройства : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства Google . Если проблема не затрагивает все устройства Google, затронутые устройства Google перечислены в столбце «Обновленные устройства Google» .
  • Нет устройств Google . Если проблема не затронула ни одно устройство Google под управлением Android 7.0, в столбце «Обновленные устройства Google » в таблице будет указано «Нет».

4. Чему соответствуют записи в столбце «Ссылки»?

Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение. Эти префиксы отображаются следующим образом:

Префикс Ссылка
А- Идентификатор ошибки Android
КК- Справочный номер Qualcomm
М- Справочный номер MediaTek
Н- Справочный номер NVIDIA
Б- Справочный номер Broadcom

Редакции

  • 6 февраля 2017 г.: Бюллетень опубликован.
  • 8 февраля 2017 г.: в бюллетень добавлены ссылки на AOSP.