Бюллетень по безопасности Android – февраль 2017 г.

Опубликовано 6 февраля 2017 г. | Обновлено 8 февраля 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все перечисленные здесь проблемы устранены в исправлении от 5 февраля 2017 года и более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Мы сообщили партнерам об уязвимостях 3 января 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них и на исправления вне AOSP есть в этом бюллетене.

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на устройстве, где идет обработка медиафайлов. Например, это может быть при просмотре сайтов в интернете и работе с электронной почтой и MMS. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или злоумышленник их обойдет.

У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.

Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Объявления

  • Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-02-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-02-01 и более ранние.
    • 2017-02-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-02-01 и 2017-02-05, а также более ранние.
  • Поддерживаемые устройства Google получат единое беспроводное обновление с исправлением системы безопасности от 5 февраля 2017 года.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. В то время как в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Также благодарим всех, кто помог в составлении этого бюллетеня:

  • Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室).

Описание уязвимостей (исправление системы безопасности 2017-02-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2017-02-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Когда к одной ошибке относится несколько изменений, дополнительные ссылки приводятся в квадратных скобках.

Удаленное выполнение кода через surfaceflinger

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса surfaceflinger.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0405 A-31960359 Критический Все 7.0, 7.1.1 4 октября 2016 г.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0406 A-32915871 [2] Критический Все 6.0, 6.0.1, 7.0, 7.1.1 14 ноября 2016 г.
CVE-2017-0407 A-32873375 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 12 ноября 2016 г.

Удаленное выполнение кода через libgdx

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0408 A-32769670 Высокий Все 7.1.1 9 ноября 2016 г.

Удаленное выполнение кода через libstagefright

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0409 A-31999646 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Повышение привилегий через Java.Net

Уязвимость позволяет вредоносному веб-контенту несанкционированно перенаправлять пользователя на другой сайт. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет удаленно обойти требования к взаимодействию с пользователем.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-5552 A-31858037 Высокий Все 7.0, 7.1.1 30 сентября 2016 г.

Повышение привилегий через Framework API

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0410 A-31929765 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 октября 2016 г.
CVE-2017-0411 A-33042690 [2] Высокий Все 7.0, 7.1.1 21 ноября 2016 г.
CVE-2017-0412 A-33039926 [2] Высокий Все 7.0, 7.1.1 21 ноября 2016 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0415 A-32706020 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 4 ноября 2016 г.

Повышение привилегий через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0416 A-32886609 [2] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google
CVE-2017-0417 A-32705438 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.
CVE-2017-0418 A-32703959 [2] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.
CVE-2017-0419 A-32220769 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 октября 2016 г.

Раскрытие информации через почтовый клиент AOSP

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных из приложений. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0420 A-32615212 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 сентября 2016 г.

Раскрытие информации через клиент для обмена сообщениями AOSP

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных из приложений. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0413 A-32161610 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 13 октября 2016 г.
CVE-2017-0414 A-32807795 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 10 ноября 2016 г.

Раскрытие информации через Framework API

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных из приложений. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0421 A-32555637 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Отказ в обслуживании через Bionic DNS

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0422 A-32322088 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 октября 2016 г.

Повышение привилегий через Bluetooth

Уязвимость позволяет находящемуся поблизости злоумышленнику получить доступ к файлам, хранящимся на устройстве, по протоколу Bluetooth. Проблеме присвоен средний уровень серьезности, поскольку она требует эксплуатации другой уязвимости Bluetooth-стека.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0423 A-32612586 Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 ноября 2016 г.

Раскрытие информации через клиент для обмена сообщениями AOSP

Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти эшелонированную защиту уровня пользователя и аналогичные технологии защиты.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0424 A-32322450 Средний Все 6.0, 6.0.1, 7.0, 7.1.1 20 октября 2016 г.

Раскрытие информации через audioserver

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0425 A-32720785 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.

Раскрытие информации через файловую систему

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0426 A-32799236 [2] Средний Все 7.0, 7.1.1 Доступно только сотрудникам Google

Описание уязвимостей (исправление системы безопасности 2017-02-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-02-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через драйвер шифрования Qualcomm

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8418 A-32652894
QC-CR#1077457
Критический Нет* 10 октября 2016 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через файловую систему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0427 A-31495866* Критический Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
Критический Nexus 9 25 октября 2016 г.
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
Критический Nexus 9 3 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через сетевую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-9914 A-32882659
Upstream kernel
Критический Nexus 6, Nexus Player 9 ноября 2016 г.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0430 A-32838767*
B-RB#107459
Критический Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Уязвимости в компонентах Qualcomm

Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года.

CVE Ссылки Уровень серьезности* Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0431 A-32573899** Критический Нет*** Доступно только сотрудникам Qualcomm

* Уровень серьезности этих уязвимостей определен поставщиком компонентов.

**Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0432 A-28332719*
M-ALPS02708925
Высокий Нет** 21 апреля 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте чипсета сенсорного экрана. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0433 A-31913571* Высокий Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 сентября 2016 г.
CVE-2017-0434 A-33001936* Высокий Pixel, Pixel XL 18 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через драйвер Qualcomm для QSEE Communicator

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8480 A-31804432
QC-CR#1086186 [2]
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 сентября 2016 г.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8481 A-31906415*
QC-CR#1078000
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 октября 2016 г.
CVE-2017-0435 A-31906657*
QC-CR#1078000
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 октября 2016 г.
CVE-2017-0436 A-32624661*
QC-CR#1078000
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0437 A-32402310
QC-CR#1092497
Высокий Nexus 5X, Pixel, Pixel XL 25 октября 2016 г.
CVE-2017-0438 A-32402604
QC-CR#1092497
Высокий Nexus 5X, Pixel, Pixel XL 25 октября 2016 г.
CVE-2017-0439 A-32450647
QC-CR#1092059
Высокий Nexus 5X, Pixel, Pixel XL 25 октября 2016 г.
CVE-2016-8419 A-32454494
QC-CR#1087209
Высокий Nexus 5X, Pixel, Pixel XL 26 октября 2016 г.
CVE-2016-8420 A-32451171
QC-CR#1087807
Высокий Nexus 5X, Pixel, Pixel XL 26 октября 2016 г.
CVE-2016-8421 A-32451104
QC-CR#1087797
Высокий Nexus 5X, Pixel, Pixel XL 26 октября 2016 г.
CVE-2017-0440 A-33252788
QC-CR#1095770
Высокий Nexus 5X, Pixel, Pixel XL 11 ноября 2016 г.
CVE-2017-0441 A-32872662
QC-CR#1095009
Высокий Nexus 5X, Pixel, Pixel XL 11 ноября 2016 г.
CVE-2017-0442 A-32871330
QC-CR#1092497
Высокий Nexus 5X, Pixel, Pixel XL 13 ноября 2016 г.
CVE-2017-0443 A-32877494
QC-CR#1092497
Высокий Nexus 5X, Pixel, Pixel XL 13 ноября 2016 г.
CVE-2016-8476 A-32879283
QC-CR#1091940
Высокий Nexus 5X, Pixel, Pixel XL 14 ноября 2016 г.

Повышение привилегий через аудиодрайвер Realtek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0444 A-32705232* Высокий Nexus 9 7 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через драйвер сенсорного экрана HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0445 A-32769717* Высокий Pixel, Pixel XL 9 ноября 2016 г.
CVE-2017-0446 A-32917445* Высокий Pixel, Pixel XL 15 ноября 2016 г.
CVE-2017-0447 A-32919560* Высокий Pixel, Pixel XL 15 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Раскрытие информации через видеодрайвер NVIDIA

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
Высокий Nexus 9 7 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса и предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0449 A-31707909*
B-RB#32094
Средний Nexus 6, Nexus 6P 23 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку она предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0450 A-32917432* Средний Nexus 9 15 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через файловую систему ядра

Уязвимость позволяет локальному вредоносному ПО обходить системы защиты, которые предотвращают повышение привилегий. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти эшелонированную защиту уровня пользователя и аналогичные технологии защиты.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10044 A-31711619* Средний Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Раскрытие информации через QSEE Communicator

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8414 A-31704078
QC-CR#1076407
Средний Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 сентября 2016 г.

Раскрытие информации через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0451 A-31796345
QC-CR#1073129 [2]
Средний Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 27 сентября 2016 г.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

  • В исправлении 2017-02-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-02-01.
  • В исправлении 2017-02-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-02-05 и всем предыдущим исправлениям.

Производители устройств, распространяющие эти обновления, должны установить следующие уровни:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее исправление системы безопасности.

  • На устройствах с установленным исправлением от 1 февраля 2017 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
  • На устройствах с установленным исправлением от 5 февраля 2017 года или более новым должны быть решены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Как определить, на каких устройствах Google присутствует уязвимость?

В каждой таблице разделов с описанием уязвимостей 2017-02-01 и 2017-02-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.

4. На что указывают записи в столбце "Ссылки"?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

Версии

  • 6 февраля 2017 года. Бюллетень опубликован.
  • 8 февраля 2017 года. Добавлены ссылки на AOSP.