Бюллетень по безопасности Android – апрель 2017 г.

Дата публикации: 3 апреля 2017 г. | Дата обновления: 17 августа 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО на сайте для разработчиков. Все перечисленные здесь проблемы устранены в исправлении от 5 апреля 2017 года и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Мы сообщили партнерам об уязвимостях 6 марта 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затрагиваемом устройстве во время обработки медиафайлов, например при просмотре сайтов, электронной почты и MMS-сообщений. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или злоумышленник их обойдет.

У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.

Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Объявления

  • Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-04-01: частичное исправление системы безопасности, в котором устранены все уязвимости уровня 2017-04-01 и более ранние.
    • 2017-04-05: полное исправление системы безопасности, в котором устранены все уязвимости уровней 2017-04-01 и 2017-04-05, а также более ранние.
  • На поддерживаемые устройства Google будет установлено единое беспроводное обновление с исправлением системы безопасности от 5 апреля 2017 года.

Средства защиты в ОС Android и сервисах Google

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти инструменты предупреждают пользователя об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Аравинд Мачири (donfos) из команды Shellphish Grill: CVE-2016-5349.
  • Дасин Го (@freener0) из Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553.
  • Derrek (@derrekr6) и Скотт Бауэр: CVE-2017-0576.
  • Гэл Бениамини из Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561.
  • Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573.
  • Гуан Гун (龚广) (@oldfresher) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547.
  • Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017-0567.
  • Иэн Фостер (@lanrat): CVE-2017-0554.
  • Джек Тан из Trend Micro Inc.: CVE-2017-0579.
  • Цзяньцзюнь Дай (@Jioun_dai) из Qihoo 360 Skyeye Labs: CVE-2017-0559, CVE-2017-0541.
  • Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346.
  • Лубо Чжан (zlbzlb815@163.com) из C0RE Team и Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564.
  • Марк Салызин из Google: CVE-2017-0558.
  • Майк Андерсон (@manderbot) и Нейтан Крэнделл (@natecray) из Tesla's Product Security Team: CVE-2017-0327, CVE-2017-0328.
  • Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0565.
  • Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-10236.
  • Цидань Хэ (何淇丹) (@flanker_hqd) из KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325.
  • Рои Хэй (@roeehay) из Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563.
  • Скотт Бауэр (@ScottyBauer1): CVE-2017-0562, CVE-2017-0339.
  • Севен Шэнь (@lingtongshen) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586.
  • Тим Беккер: CVE-2017-0546.
  • Ума Санкар Прадхан (@umasankar_iitd): CVE-2017-0560.
  • V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556.
  • Вэйчао Сунь (@sunblate) из Alibaba Inc: CVE-2017-0549.
  • Вэньлинь Ян (@wenlin_yang), Гуан Гун (@oldfresher) и Хао Чэнь из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577.
  • Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0548.
  • Зубин Митра из Google: CVE-2017-0462.

Описание уязвимостей (исправление системы безопасности 2017-04-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2017-04-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0538 A-33641588 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 13 декабря 2016 г.
CVE-2017-0539 A-33864300 Критический Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 декабря 2016 г.
CVE-2017-0541 A-34031018 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 1 января 2017 г.
CVE-2017-0542 A-33934721 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google
CVE-2017-0543 A-34097866 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Повышение привилегий через CameraBase

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0544 A-31992879 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 октября 2016 г.

Повышение привилегий через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0545 A-32591350 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 31 октября 2016 г.

Повышение привилегий через SurfaceFlinger

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0546 A-32628763 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 ноября 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0547 A-33861560 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 22 декабря 2016 г.

Отказ в обслуживании в libskia

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0548 A-33251605 Высокий Все 7.0, 7.1.1 29 ноября 2016 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0549 A-33818508 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 20 декабря 2016 г.
CVE-2017-0550 A-33933140 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google
CVE-2017-0551 A-34097231 [2] Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google
CVE-2017-0552 A-34097915 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Повышение привилегий через libnl

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса Wi-Fi. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0553 A-32342065 Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 октября 2016 г.

Повышение привилегий через телефонную связь

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к функциям. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0554 A-33815946 [2] Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 декабря 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0555 A-33551775 Средний Все 6.0, 6.0.1, 7.0, 7.1.1 12 декабря 2016 г.
CVE-2017-0556 A-34093952 Средний Все 6.0, 6.0.1, 7.0, 7.1.1 4 января 2017 г.
CVE-2017-0557 A-34093073 Средний Все 6.0, 6.0.1, 7.0, 7.1.1 4 января 2017 г.
CVE-2017-0558 A-34056274 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Раскрытие информации через libskia

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0559 A-33897722 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 декабря 2016 г.

Раскрытие информации через сброс настроек

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получать несанкционированный доступ к данным предыдущего владельца. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту устройства.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0560 A-30681079 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Описание уязвимостей (исправление системы безопасности 2017-04-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2017-04-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через встроенное ПО Wi-Fi Broadcom

Уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте процессора с модулем Wi-Fi. Из-за этого проблеме присвоен критический уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0561 A-34199105*
B-RB#110814
Критический Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 января 2017 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Удаленное выполнение кода через драйвер шифрования Qualcomm

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10230 A-34389927
QC-CR#1091408
Критический Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 10 января 2017 г.

Удаленное выполнение кода через сетевую подсистему ядра

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10229 A-32813456
Upstream kernel
Критический Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player Доступно только сотрудникам Google

Повышение привилегий через драйвер сенсорного экрана MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0562 A-30202425*
M-ALPS02898189
Критический* Нет** 16 июля 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер сенсорного экрана HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0563 A-32089409*
Критический Nexus 9 9 октября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через подсистему ION ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0564 A-34276203*
Критический Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 12 января 2017 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Уязвимости в компонентах Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за октябрь 2016 года.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10237 A-31628601**
QC-CR#1046751
Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2016-10238 A-35358527**
QC-CR#1042558
Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-10239 A-31624618**
QC-CR#1032929
Высокий Pixel, Pixel XL Доступно только сотрудникам Qualcomm

* Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

*** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.

Удаленное выполнение кода через V8

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода через веб-сайты.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-5129 A-29178923 Высокий Нет* 6.0, 6.0.1, 7.0 20 июля 2016 г.

* Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.

Удаленное выполнение кода через Freetype

Уязвимость позволяет злоумышленнику загрузить специально созданный шрифт, чтобы нарушить целостность информации в памяти непривилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-10244 A-31470908 Высокий Нет* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 сентября 2016 г.

* Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.

Повышение привилегий через звуковую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-4656 A-34464977
Upstream kernel
Высокий Nexus 6, Nexus Player 26 июня 2016 г.

Повышение привилегий через драйвер шифрования NVIDIA

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0339 A-27930566*
N-CVE-2017-0339
Высокий Nexus 9 29 марта 2016 г.
CVE-2017-0332 A-33812508*
N-CVE-2017-0332
Высокий Nexus 9 21 декабря 2016 г.
CVE-2017-0327 A-33893669*
N-CVE-2017-0327
Высокий Nexus 9 24 декабря 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Повышение привилегий через драйвер температурного датчика MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0565 A-28175904*
M-ALPS02696516
Высокий Нет** 11 апреля 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер MediaTek для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0566 A-28470975*
M-ALPS02696367
Высокий Нет** 29 апреля 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0567 A-32125310*
B-RB#112575
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 12 октября 2016 г.
CVE-2017-0568 A-34197514*
B-RB#112600
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 января 2017 г.
CVE-2017-0569 A-34198729*
B-RB#110666
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 января 2017 г.
CVE-2017-0570 A-34199963*
B-RB#110688
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 января 2017 г.
CVE-2017-0571 A-34203305*
B-RB#111541
Высокий Nexus 6, Nexus 6P, Pixel C, Nexus Player 9 января 2017 г.
CVE-2017-0572 A-34198931*
B-RB#112597
Высокий Нет** 9 января 2017 г.
CVE-2017-0573 A-34469904*
B-RB#91539
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 18 января 2017 г.
CVE-2017-0574 A-34624457*
B-RB#113189
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C 22 января 2017 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0575 A-32658595*
QC-CR#1103099
Высокий Nexus 5X, Pixel, Pixel XL 3 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Повышение привилегий через драйвер NVIDIA для HID-устройств на шине I2C

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0325 A-33040280*
N-CVE-2017-0325
Высокий Nexus 9, Pixel C 20 ноября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0454 A-33353700
QC-CR#1104067
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 5 декабря 2016 г.

Повышение привилегий через драйвер Qualcomm для шифрования

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0576 A-33544431
QC-CR#1103089
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 9 декабря 2016 г.

Повышение привилегий через драйвер сенсорного экрана HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0577 A-33842951*
Высокий Нет** 21 декабря 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через аудиодрайвер DTS

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0578 A-33964406*
Высокий Нет** 28 декабря 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через аудиодрайвер кодеков Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10231 A-33966912
QC-CR#1096799
Высокий Pixel, Pixel XL 29 декабря 2016 г.

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0579 A-34125463*
QC-CR#1115406
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 5 января 2017 г.
CVE-2016-10232 A-34386696
QC-CR#1024872 [2]
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 10 января 2017 г.
CVE-2016-10233 A-34389926
QC-CR#897452
Высокий Нет** 10 января 2017 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер процессора NVIDIA, управляющего загрузкой и питанием

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте процессора NVIDIA, управляющего загрузкой и питанием. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0329 A-34115304*
N-CVE-2017-0329
Высокий Pixel С 5 января 2017 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0580 A-34325986*
Высокий Нет** 16 января 2017 г.
CVE-2017-0581 A-34614485*
Высокий Нет** 22 января 2017 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через Seemp-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0462 A-33353601
QC-CR#1102288
Высокий Pixel, Pixel XL Доступно только сотрудникам Google

Повышение привилегий через драйвер Kyro L2 Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-6423 A-32831370
QC-CR#1103158
Высокий Pixel, Pixel XL Доступно только сотрудникам Google

Повышение привилегий через файловую систему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-9922 A-32761463
Upstream kernel
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 24 октября 2014 г.

Раскрытие информации через подсистему памяти ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-0206 A-34465735
Upstream kernel
Высокий Nexus 6, Nexus Player 6 мая 2014 г.

Раскрытие информации через сетевую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-3145 A-34469585
Upstream kernel [2]
Высокий Nexus 6, Nexus Player 9 мая 2014 г.

Раскрытие информации через Qualcomm TrustZone

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5349 A-29083830
QC-CR#1021945 [2] [3] [4]
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 1 июня 2016 г.

Раскрытие информации через IPA-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10234 A-34390017
QC-CR#1069060 [2]
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 10 января 2017 г.

Отказ в обслуживании в сетевой подсистеме ядра

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-2706 A-34160553
Upstream kernel
Высокий Nexus Player 1 апреля 2014 г.

Отказ в обслуживании в Wi-Fi-драйвере Qualcomm

Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10235 A-34390620
QC-CR#1046409
Высокий Нет** 10 января 2017 г.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через файловую систему ядра

Уязвимость позволяет локальному вредоносному ПО несанкционированно выполнять произвольный код на устройстве. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса и предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-7097 A-32458736
Upstream kernel
Средний Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player 28 августа 2016 г.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также из-за особых условий, ограничивающих ее применение.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-6424 A-32086742
QC-CR#1102648
Средний Nexus 5X, Pixel, Pixel XL, Android One 9 октября 2016 г.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса и предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8465 A-32474971*
B-RB#106053
Средний Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 октября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Повышение привилегий через команду fastboot oem на устройствах HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте контроллера датчиков. Проблеме присвоен средний уровень серьезности, поскольку она требует эксплуатации других уязвимостей.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0582 A-33178836*
Средний Nexus 9 28 ноября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

Повышение привилегий через драйвер доступа к ЦП Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также из-за особых условий, ограничивающих ее применение.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0583 A-32068683
QC-CR#1103788
Средний Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Доступно только сотрудникам Google

Раскрытие информации через медиадрайвер ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-1739 A-34460642
Upstream kernel
Средний Nexus 6, Nexus 9, Nexus Player 15 июня 2014 г.

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0584 A-32074353*
QC-CR#1104731
Средний Nexus 5X, Pixel, Pixel XL 9 октября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Раскрытие информации через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0585 A-32475556*
B-RB#112953
Средний Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 октября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

Раскрытие информации через Avtimer-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5346 A-32551280
QC-CR#1097878
Средний Pixel, Pixel XL 29 октября 2016 г.

Раскрытие информации через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-6425 A-32577085
QC-CR#1103689
Средний Pixel, Pixel XL 29 октября 2016 г.

Раскрытие информации через USB-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10236 A-33280689
QC-CR#1102418
Средний Pixel, Pixel XL 30 ноября 2016 г.

Раскрытие информации через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0586 A-33649808
QC-CR#1097569
Средний Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 13 декабря 2016 г.

Раскрытие информации через SPMI-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-6426 A-33644474
QC-CR#1106842
Средний Pixel, Pixel XL 14 декабря 2016 г.

Раскрытие информации через драйвер шифрования NVIDIA

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0328 A-33898322*
N-CVE-2017-0328
Средний Нет** 24 декабря 2016 г.
CVE-2017-0330 A-33899858*
N-CVE-2017-0330
Средний Нет** 24 декабря 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Уязвимости в компонентах Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 годы. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с исправлением системы безопасности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-9931 A-35445101** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2014-9932 A-35434683** Критический Pixel, Pixel XL Доступно только сотрудникам Qualcomm
CVE-2014-9933 A-35442512** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2014-9934 A-35439275** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2014-9935 A-35444951** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2014-9936 A-35442420** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2014-9937 A-35445102** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-8995 A-35445002** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-8996 A-35444658** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-8997 A-35432947** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-8998 A-35441175** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-8999 A-35445401** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-9000 A-35441076** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-9001 A-35445400** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-9002 A-35442421** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2015-9003 A-35440626** Критический Нет** Доступно только сотрудникам Qualcomm
CVE-2016-10242 A-35434643** Критический Нет** Доступно только сотрудникам Qualcomm

* Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

**Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

*** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

  • В исправлении 2017-04-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-04-01.
  • В исправлении 2017-04-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-04-05 и всем предыдущим исправлениям.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:

  • [ro.build.version.security_patch]:[2017-04-01]
  • [ro.build.version.security_patch]:[2017-04-05]

2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.

  • На устройствах с исправлением от 1 апреля 2017 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
  • На устройствах с исправлением от 5 апреля 2017 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Как определить, на каких устройствах Google присутствует уязвимость?

В каждой таблице разделов с описанием уязвимостей 2017-04-01 и 2017-04-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.

4. На что указывают записи в столбце "Ссылки"?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

Версии

  • 3 апреля 2017 года. Бюллетень опубликован.
  • 5 апреля 2017 года. Добавлены ссылки на AOSP.
  • 21 апреля 2017 года. Исправлена атрибуция уязвимостей CVE-2016-10231 и CVE-2017-0586.
  • 27 апреля 2017 года. Информация об уязвимости CVE-2017-0540 удалена из бюллетеня.
  • 17 августа 2017 года. Обновлены ссылочные номера.