Опубликовано 1 мая 2017 г. | Обновлено 3 октября 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО на сайте для разработчиков. Все перечисленные здесь проблемы устранены в исправлении от 5 мая 2017 года и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Мы сообщили партнерам об уязвимостях 3 апреля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них, а также на исправления вне AOSP есть в этом бюллетене.
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.
У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Объявления
- Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-05-01: частичное обновление системы безопасности, в котором устранены все уязвимости уровня 2017-05-01 и более ранние.
- 2017-05-05: полное обновление системы безопасности, в котором устранены все уязвимости уровней 2017-05-01 и 2017-05-05, а также более ранние.
- Поддерживаемые устройства Google получат единое беспроводное обновление с исправлением системы безопасности от 5 мая 2017 года.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного применения уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, с помощью Проверки приложений и SafetyNet активно отслеживает случаи злоупотребления. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- ADlab из Venustech: CVE-2017-0630
- Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2016-10287.
- Экулар Сюй (徐健) из Trend Micro: CVE-2017-0599, CVE-2017-0635
- Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team: CVE-2017-0601.
- Итан Йонкер из Team Win Recovery Project: CVE-2017-0493
- Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296.
- godzheng (郑文选 @VirtualSeekers) из Tencent PC Manager: CVE-2017-0602.
- Гюлиз Серай Тунджай из Иллинойсского университета в Урбане-Шампейне: CVE-2017-0593.
- Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283.
- Цзюйху Не, Ян Чэн, Нань Ли и Циу Хуан из Xiaomi Inc: CVE-2016-10276.
- Михал Беднарский: CVE-2017-0598.
- Нейтан Крэнделл (@natecray) из Tesla's Product Security Team: CVE-2017-0331, CVE-2017-0606.
- Niky1235 (@jiych_guru): CVE-2017-0603.
- Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280.
- Рои Хэй (@roeehay) из Aleph Research: CVE-2016-10277.
- Скотт Бауэр (@ScottyBauer1): CVE-2016-10274.
- Тун Линь, Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2016-10291.
- Василий Васильев: CVE-2017-0589.
- V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600.
- Силин Гун из отдела безопасности платформы Tencent: CVE-2017-0597
- Синюань Линь из 360 Marvel Team: CVE-2017-0627.
- Юн Ван (王勇) (@ThomasKing2014) из Alibaba Inc: CVE-2017-0588.
- Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Юй Пань и Пэйдэ Чжан из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
Описание уязвимостей (исправление системы безопасности 2017-05-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-05-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через mediaserver
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 января 2017 г. |
| CVE-2017-0588 | A-34618607 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 января 2017 г. |
| CVE-2017-0589 | A-34897036 | Критический | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1 февраля 2017 г. |
| CVE-2017-0590 | A-35039946 | Критический | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 февраля 2017 г. |
| CVE-2017-0591 | A-34097672 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Доступно только сотрудникам Google |
| CVE-2017-0592 | A-34970788 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Доступно только сотрудникам Google |
Повышение привилегий через Framework API
Уязвимость позволяет локальному вредоносному ПО получать специальные разрешения. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 января 2017 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 января 2017 г. |
| CVE-2017-0595 | A-34705519 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 января 2017 г. |
| CVE-2017-0596 | A-34749392 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 января 2017 г. |
Повышение привилегий через audioserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 января 2017 г. |
Раскрытие информации через Framework API
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных из приложений. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 января 2017 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 января 2017 г. |
| CVE-2017-0600 | A-35269635 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 февраля 2017 г. |
Повышение привилегий через Bluetooth
Уязвимость потенциально позволяет локальному вредоносному ПО принимать вредоносные файлы через Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | Средний | Все | 7.0, 7.1.1, 7.1.2 | 9 февраля 2017 г. |
Раскрытие информации через шифрование файлов
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту ОС для заблокированного экрана. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] [3] | Средний | Все | 7.0, 7.1.1 | 9 ноября 2016 г. |
Раскрытие информации через Bluetooth
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Из-за особенностей проблемы ей присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 декабря 2016 г. |
Раскрытие информации через OpenSSL и BoringSSL
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации. Из-за особенностей проблемы ей присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 декабря 2016 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 февраля 2017 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Из-за особенностей проблемы ей присвоен низкий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | Низкий | Все | 7.0, 7.1.1, 7.1.2 | 16 февраля 2017 г. |
Описание уязвимостей (исправление системы безопасности 2017-05-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-05-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через GIFLIB
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 апреля 2016 г. |
Повышение привилегий через драйвер сенсорного экрана MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
Критический | Нет** | 16 июля 2016 г. |
* Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через загрузчик Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
Критический | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13 сентября 2016 г. |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
Критический | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16 ноября 2016 г. |
Повышение привилегий через звуковую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3 декабря 2016 г. |
Повышение привилегий через загрузчик Motorola
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
Критический | Nexus 6 | 21 декабря 2016 г. |
* Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
Критический | Nexus 9 | 4 января 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер питания Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
Критический | Нет* | 15 февраля 2017 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.
Уязвимости в компонентах Qualcomm
Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 года.
| CVE | Ссылки | Уровень серьезности* | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
Критический | Nexus 6P | Доступно только сотрудникам Qualcomm |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Доступно только сотрудникам Qualcomm |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
Высокий | Pixel, Pixel XL | Доступно только сотрудникам Qualcomm |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
Высокий | Pixel, Pixel XL | Доступно только сотрудникам Qualcomm |
* Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
* Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Удаленное выполнение кода через libxml2
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | Высокий | Нет** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через драйвер температурного датчика MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
Высокий | Нет** | 11 апреля 2016 г. |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
Высокий | Нет** | 11 апреля 2016 г. |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
Высокий | Нет** | 27 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
Высокий | Nexus 5X, Pixel, Pixel XL, Android One | 11 октября 2016 г. |
Повышение привилегий через видеодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 октября 2016 г. |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
Высокий | Pixel, Pixel XL | 19 декабря 2016 г. |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
Высокий | Pixel, Pixel XL | 15 февраля 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через подсистему производительности ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23 ноября 2016 г. |
Повышение привилегий через аудиодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20 декабря 2016 г. |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3 января 2017 г. |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
Высокий | Pixel, Pixel XL | 22 января 2017 г. |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
Высокий | Нет* | 15 февраля 2017 г. |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
Высокий | Pixel, Pixel XL | 15 февраля 2017 г. |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
Высокий | Нет* | 15 февраля 2017 г. |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
Высокий | Нет* | 15 февраля 2017 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.
Повышение привилегий через LED-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
Высокий | Pixel, Pixel XL | 23 декабря 2016 г. |
Повышение привилегий через драйвер шифрования Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 декабря 2016 г. |
Повышение привилегий через драйвер общей памяти Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24 декабря 2016 г. |
Повышение привилегий через Slimbus-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31 декабря 2016 г. |
Повышение привилегий через ADSPRPC-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5 января 2017 г. |
Повышение привилегий через драйвер Qualcomm для QSEE Communicator
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
Высокий | Pixel, Pixel XL | 10 января 2017 г. |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Повышение привилегий через драйвер питания MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
Высокий | Нет** | 12 января 2017 г. |
* Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через драйвер прерываний системного управления MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
Высокий | Нет** | 19 января 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через видеодрайвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
Высокий | Нет** | 19 января 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через драйвер очереди команд MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
Высокий | Нет** | 7 февраля 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Повышение привилегий через драйвер контроллера контактов Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
Высокий | Nexus 6, Android One | 15 февраля 2017 г. |
Повышение привилегий через драйвер управления защищенным каналом Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Повышение привилегий через аудиодрайвер кодеков Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
Высокий | Pixel, Pixel XL | 15 февраля 2017 г. |
Повышение привилегий через драйвер регулятора напряжения ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 Upstream kernel |
Высокий | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15 февраля 2017 г. |
Повышение привилегий через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
Высокий | Android One | 15 февраля 2017 г. |
Повышение привилегий через сетевой драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
Высокий | Nexus 5X, Pixel, Pixel XL | 15 февраля 2017 г. |
Повышение привилегий через сетевую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 Upstream kernel [2] |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | 23 марта 2017 г. |
Повышение привилегий через драйвер сенсорного экрана Goodix
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
Высокий | Android One | Доступно только сотрудникам Google |
Повышение привилегий через загрузчик HTC
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
Высокий | Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
Высокий | Nexus 5X, Pixel, Pixel XL | 16 января 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через драйвер очереди команд MediaTek
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
Высокий | Нет** | 8 февраля 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.
Раскрытие информации через драйвер Qualcomm для шифрования
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Отказ в обслуживании в Wi-Fi-драйвере Qualcomm
Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
Высокий | Nexus 5X, Pixel, Pixel XL | 16 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через UVC-драйвер ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
Средний | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2 декабря 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через видеодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
Средний | Nexus 5X, Nexus 6P, Android One | 4 декабря 2016 г. |
Раскрытие информации через драйвер питания Qualcomm (только на некоторых устройствах)
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 14 декабря 2016 г. |
Раскрытие информации через LED-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
Средний | Pixel, Pixel XL | 20 декабря 2016 г. |
Раскрытие информации через драйвер общей памяти Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 22 декабря 2016 г. |
Раскрытие информации через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
Средний | Nexus 5X, Nexus 6, Pixel, Pixel XL | 10 января 2017 г. |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
Средний | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8 февраля 2017 г. |
Раскрытие информации через подсистему трассировки ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11 января 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через аудиодрайвер кодеков Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Раскрытие информации через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Раскрытие информации через аудиодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Раскрытие информации через SPCom-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
Средний | Нет* | 15 февраля 2017 г. |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
Средний | Нет* | 15 февраля 2017 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.
Раскрытие информации через аудиодрайвер кодеков Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
Средний | Android One | 15 февраля 2017 г. |
Раскрытие информации через Wi-Fi-драйвер Broadcom
Уязвимость позволяет локальному вредоносному компоненту получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
Средний | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 23 февраля 2017 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
Средний | Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.
Уязвимости в компонентах Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 годы. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с исправлением системы безопасности.
| CVE | Ссылки | Уровень серьезности* | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9924 | A-35434631** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9925 | A-35444657** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9926 | A-35433784** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9927 | A-35433785** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9928 | A-35438623** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9930 | A-35432946** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2015-9005 | A-36393500** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2015-9006 | A-36393450** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2015-9007 | A-36393700** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2016-10297 | A-36393451** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9941 | A-36385125** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9942 | A-36385319** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9943 | A-36385219** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9944 | A-36384534** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9945 | A-36386912** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9946 | A-36385281** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9947 | A-36392400** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9948 | A-36385126** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9949 | A-36390608** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9950 | A-36385321** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9951 | A-36389161** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
| CVE-2014-9952 | A-36387019** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
* Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные уязвимости?
Информацию о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2017-05-01 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-05-01.
- В исправлении 2017-05-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-05-05 и всем предыдущим исправлениям.
Производители устройств, распространяющие эти обновления, должны установить следующие уровни:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением от 1 мая 2017 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным исправлением от 5 мая 2017 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Как определить, на каких устройствах Google присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2017-05-01 и 2017-05-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
Версии
- 1 мая 2017 года. Бюллетень опубликован.
- 2 мая 2017 года. Добавлены ссылки на AOSP.
- 10 августа 2017 года. Добавлена дополнительная ссылка на AOSP для CVE-2017-0493.
- 17 августа 2017 года. Обновлены ссылочные номера.
- 3 октября 2017 года. Удалена информация об уязвимости CVE-2017-0605.