Опубликовано 6 марта 2017 г. | Обновлено 7 марта 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все проблемы, перечисленные здесь, устранены в исправлении от 5 марта 2017 года или более новом. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Мы сообщили партнерам об уязвимостях 6 февраля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них и на исправления вне AOSP есть в этом бюллетене.
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на устройстве, где идет обработка медиафайлов. Например, это может быть при просмотре сайтов в интернете и работе с электронной почтой и MMS. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или злоумышленник их обойдет.
У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Объявления
- Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-03-01: частичное исправление системы безопасности, в котором устранены все уязвимости уровня 2017-03-01 и более ранние.
- 2017-03-05: полное исправление системы безопасности, в котором устранены все уязвимости уровней 2017-03-01 и 2017-03-05, а также более ранние.
- На поддерживаемые устройства Google будет установлено единое беспроводное обновление системы безопасности от 5 марта 2017 года.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного применения уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, с помощью Проверки приложений и SafetyNet активно отслеживает случаи злоупотребления. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Александр Потапенко из команды Google Dynamic Tools: CVE-2017-0537
- Баоцзэн Дин, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0506
- Баоцзэн Дин, Нин Ю, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0463
- Билли Лау из команды безопасности Android: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460.
- derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531.
- derrek (@derrekr6) и Скотт Бауэр (@ScottyBauer1): CVE-2017-0521.
- Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525.
- Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team: CVE-2017-0490.
- Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536.
- Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464.
- Хироки Ямамото и Фан Чэнь из Sony Mobile Communications Inc.: CVE-2017-0481.
- Саги Кедми и Рои Хэй из IBM Security X-Force: CVE-2017-0510.
- Цзяньцзюнь Дай (@Jioun_dai) из Qihoo 360 Skyeye Labs: CVE-2017-0478.
- Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534.
- Лубо Чжан, Тун Линь, Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2016-8479.
- Макото Онуки из Google: CVE-2017-0491.
- Минцзянь Чжоу (@Mingjian_Zhou), Ханьсян Вэнь и Сюйсянь Цзян из C0RE Team: CVE-2017-0479, CVE-2017-0480.
- Нейтан Крэнделл (@natecray): CVE-2017-0535
- Нейтан Крэнделл (@natecray) из Tesla Motors Product Security Team: CVE-2017-0306
- Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-8417
- Цидань Хэ (何淇丹) (@flanker_hqd) из KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
- Цин Чжан из Qihoo 360 и Гуандун Бай из Технологического института Сингапура (SIT): CVE-2017-0496
- Цюйхэ и ваньчоучоу из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- Sahara из Secure Communications в DarkMatter: CVE-2017-0528
- salls (@chris_salls) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2017-0505.
- Скотт Бауэр (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516.
- Шон Бопре (beaups): CVE-2017-0455
- Севен Шэнь (@lingtongshen) из Trend Micro: CVE-2017-0452
- Шиничи Мацумото из Fujitsu: CVE-2017-0498.
- Стефан Марк из ByteRev: CVE-2017-0489.
- Светослав Ганов из Google: CVE-2017-0492.
- Тун Линь, Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2017-0333.
- V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495.
- Виш У (吴潍浠 此彼) (@wish_wu) из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2017-0526, CVE-2017-0527.
- Юйци Лу (@nikos233), Вэнькэ Доу, Дачэн Шао, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team: CVE-2017-0483.
- Цзыно Хань (weibo.com/ele7enxxh) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497.
Описание уязвимостей (исправление системы безопасности 2017-03-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через OpenSSL и BoringSSL
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке файлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 августа 2016 г. |
Удаленное выполнение кода через mediaserver
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 25 ноября 2016 г. |
| CVE-2017-0467 | A-33250932 [2] | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 30 ноября 2016 г. |
| CVE-2017-0468 | A-33351708 [2] | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 5 декабря 2016 г. |
| CVE-2017-0469 | A-33450635 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 8 декабря 2016 г. |
| CVE-2017-0470 | A-33818500 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 21 декабря 2016 г. |
| CVE-2017-0471 | A-33816782 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 21 декабря 2016 г. |
| CVE-2017-0472 | A-33862021 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 23 декабря 2016 г. |
| CVE-2017-0473 | A-33982658 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 30 декабря 2016 г. |
| CVE-2017-0474 | A-32589224 | Критический | Все | 7.0, 7.1.1 | Доступно только сотрудникам Google |
Повышение привилегий через верификатор восстановления
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 октября 2016 г. |
Удаленное выполнение кода через клиент для обмена сообщениями AOSP
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте непривилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 6 декабря 2016 г. |
Удаленное выполнение кода через libgdx
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | Высокий | Все | 7.1.1 | 14 декабря 2016 г. |
Удаленное выполнение кода через библиотеку Framesequence
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 декабря 2016 г. |
Повышение привилегий через NFC
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 ноября 2016 г. |
Повышение привилегий через audioserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 ноября 2016 г. |
| CVE-2017-0480 | A-32705429 [2] | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 ноября 2016 г. |
Отказ в обслуживании через mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 22 ноября 2016 г. |
| CVE-2017-0483 | A-33137046 [2] | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 ноября 2016 г. |
| CVE-2017-0484 | A-33298089 [2] | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 1 декабря 2016 г. |
| CVE-2017-0485 | A-33387820 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 6 декабря 2016 г. |
| CVE-2017-0486 | A-33621215 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 14 декабря 2016 г. |
| CVE-2017-0487 | A-33751193 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 19 декабря 2016 г. |
| CVE-2017-0488 | A-34097213 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Доступно только сотрудникам Google |
Повышение привилегий через диспетчер местоположения
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС для данных о местоположении. Проблеме присвоен средний уровень серьезности, поскольку она может использоваться для генерации неправильных данных.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 ноября 2016 г. |
Повышение привилегий через Wi-Fi
Уязвимость позволяет локальному вредоносному ПО удалять пользовательские данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | Средний | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 25 ноября 2016 г. |
Повышение привилегий через диспетчер пакетов
Уязвимость позволяет локальному вредоносному ПО блокировать удаление приложений или разрешений пользователями. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Доступно только сотрудникам Google |
Повышение привилегий через System UI
Уязвимость позволяет локальному вредоносному приложению создать наложение интерфейса на весь экран. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | Средний | Все | 7.1.1 | Доступно только сотрудникам Google |
Раскрытие информации через клиент для обмена сообщениями AOSP
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | Средний | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 9 ноября 2016 г. |
Раскрытие информации через mediaserver
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | Средний | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 11 декабря 2016 г. |
Отказ в обслуживании в мастере настройки
Уязвимость позволяет локальному вредоносному ПО временно заблокировать доступ к пораженному устройству. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | Средний | Нет** | 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | Средний | Все | 7.0, 7.1.1 | 2 декабря 2016 г. |
Отказ в обслуживании в мастере настройки
Уязвимость позволяет злоумышленнику, находящемуся поблизости, запросить вход в аккаунт Google после сброса настроек. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [2] | Средний | Все | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Доступно только сотрудникам Google |
Отказ в обслуживании через audioserver
Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | Низкий | Все | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 октября 2016 г. |
Описание уязвимостей (исправление системы безопасности 2017-03-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.
Повышение привилегий через компоненты MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
Критический | Нет** | 27 апреля 2016 г. |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
Критический | Нет** | 27 апреля 2016 г. |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
Критический | Нет** | 27 апреля 2016 г. |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
Критический | Нет** | 28 апреля 2016 г. |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
Критический | Нет** | 9 июля 2016 г. |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
Критический | Нет** | 28 сентября 2016 г. |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
Критический | Нет** | 18 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
Критический | Pixel С | 6 октября 2016 г. |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
Критический | Pixel С | 21 ноября 2016 г. |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
Критический | Pixel С | 25 декабря 2016 г. |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
Критический | Nexus 9 | 6 января 2017 г. |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
Критический | Pixel С | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через подсистему ION ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | Критический | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 6 октября 2016 г. |
| CVE-2017-0508 | A-33940449* | Критический | Pixel С | 28 декабря 2016 г. |
* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi-драйвер Broadcom
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
Критический | Нет** | 12 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через FIQ-отладчик ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | Критический | Nexus 9 | 25 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер Qualcomm для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
Критический | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 29 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через сетевую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 Upstream kernel |
Критический | Pixel C, Pixel, Pixel XL | 4 декабря 2016 г. |
| CVE-2016-10200 | A-33753815 Upstream kernel |
Критический | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 декабря 2016 г. |
Уязвимости в компонентах Qualcomm
Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2016-8485 | A-28823681** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2016-8486 | A-28823691** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2016-8487 | A-28823724** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2016-8488 | A-31625756** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
* Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.
Повышение привилегий через сетевую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 Upstream kernel |
Высокий | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 12 октября 2016 г. |
| CVE-2016-9793 | A-33363517 Upstream kernel |
Высокий | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 2 декабря 2016 г. |
Повышение привилегий через драйвер устройств ввода Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
Высокий | Android One, Pixel, Pixel XL | 21 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер MediaTek для аппаратного датчика
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
Высокий | Нет** | 22 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через ADSPRPC-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер Qualcomm для сканера отпечатков пальцев
Уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
Высокий | Pixel, Pixel XL | 24 октября 2016 г. |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
Высокий | Pixel, Pixel XL | 24 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение уровня прав доступа через драйвер Qualcomm для шифрования
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 24 сентября 2016 г. |
Повышение привилегий через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
Высокий | Pixel, Pixel XL | 31 октября 2016 г. |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
Высокий | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 ноября 2016 г. |
Повышение привилегий через APK MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
Высокий | Нет** | 15 ноября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
Высокий | Nexus 5X, Pixel, Pixel XL | 15 ноября 2016 г. |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
Высокий | Nexus 5X, Android One | 30 декабря 2016 г. |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
Высокий | Нет* | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или выше, на которых установлены все доступные обновления.
Повышение привилегий через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | Высокий | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 ноября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер усилителя Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
Высокий | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 ноября 2016 г. |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
Высокий | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 ноября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер контроллера датчиков HTC
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | Высокий | Nexus 9 | 25 декабря 2016 г. |
| CVE-2017-0527 | A-33899318* | Высокий | Nexus 9, Pixel, Pixel XL | 25 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
Высокий | Нет** | 28 ноября 2016 г. |
* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через сетевой драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 30 ноября 2016 г. |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через подсистему безопасности ядра
Уязвимость позволяет локальному вредоносному ПО выполнять код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обходить углубленную защиту уровня ядра и аналогичные технологии защиты.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | Высокий | Pixel, Pixel XL | 4 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через SPCom-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
Высокий | Нет* | Доступно только сотрудникам Google |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
Высокий | Нет* | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или выше, на которых установлены все доступные обновления.
Раскрытие информации через сетевую подсистему ядра
Уязвимость позволяет злоумышленнику, находящемуся поблизости, получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 Upstream kernel |
Высокий | Nexus Player | 9 ноября 2014 г. |
Раскрытие информации через драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
Высокий | Нет** | 27 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Раскрытие информации через загрузчик Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обходить углубленную защиту уровня загрузчика операционной системы и аналогичные технологии защиты.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
Высокий | Pixel, Pixel XL | 21 октября 2016 г. |
Раскрытие информации через драйвер питания Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
Высокий | Nexus 5X, Nexus 6P | 19 декабря 2016 г. |
Раскрытие информации через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
Высокий | Pixel С | 30 ноября 2016 г. |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
Высокий | Pixel С | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Отказ в обслуживании в криптографической подсистеме ядра
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 Upstream kernel |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 октября 2016 г. |
Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства)
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 октября 2016 г. |
Раскрытие информации через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
Средний | Android One, Nexus 5X, Pixel, Pixel XL | 9 октября 2016 г. |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
Средний | Pixel, Pixel XL | 3 ноября 2016 г. |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
Средний | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | 13 ноября 2016 г. |
Раскрытие информации через драйвер видеокодека MediaTek
Уязвимость позволяет локальному вредоносному приложению получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
Средний | Нет** | 22 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Раскрытие информации через видеодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
Средний | Pixel, Pixel XL | 27 октября 2016 г. |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
Средний | Pixel, Pixel XL | 28 октября 2016 г. |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
Средний | Pixel, Pixel XL | 28 октября 2016 г. |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
Средний | Pixel, Pixel XL | 28 октября 2016 г. |
Раскрытие информации через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 4 ноября 2016 г. |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [2] |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 ноября 2016 г. |
Раскрытие информации через аудиодрайвер кодеков HTC
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | Средний | Nexus 9 | 11 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | Средний | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 12 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через USB-драйвер ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | Средний | Pixel С | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен низкий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
Низкий | Nexus 5X, Nexus 6P, Android One | 10 ноября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2017-03-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-03-01.
- В исправлении 2017-03-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-03-05 и всем предыдущим исправлениям.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением от 1 марта 2017 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным исправлением от 5 марта 2017 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Как определить, на каких устройствах Google присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2017-03-01 и 2017-03-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
Версии
- 6 марта 2017 года. Бюллетень опубликован.
- 7 марта 2017 года. Добавлены ссылки на AOSP.