Veröffentlicht am 01.05.2017 | Aktualisiert am 03.10.2017
Das Android-Sicherheitsbulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte als Over-the-Air-Update (OTA-Update) veröffentlicht. Die Firmware-Images für Google-Geräte wurden auch auf der Google-Entwicklerwebsite veröffentlicht. Mit Sicherheits-Patch-Levels vom 5. Mai 2017 oder höher werden alle diese Probleme behoben. Im Updatezeitplan für Google Pixel und Nexus erfahren Sie, wie Sie den Sicherheitspatch-Level eines Geräts prüfen.
Partner wurden am 3. April 2017 oder früher über die in diesem Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme wurden im Repository des Android Open Source Project (AOSP) veröffentlicht und über dieses Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Ausführung von Remote-Code auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Web-Browsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Schweregradbewertung basiert auf der Auswirkung, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstmitigationen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Ausnutzung oder einen Missbrauch dieser neu gemeldeten Probleme durch Kunden vor. Im Abschnitt Abhilfemaßnahmen für Android- und Google-Dienste finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und zu Dienstmechanismen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern.
Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.
Ankündigungen
- Dieses Bulletin enthält zwei Strings für die Sicherheitspatchebene, damit Android-Partner eine Reihe von Sicherheitslücken, die auf allen Android-Geräten ähnlich sind, schneller schließen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen und Antworten:
- 2017-05-01: Teilstring für den Stand der Sicherheitsupdates. Dieser String für die Sicherheits-Patchebene gibt an, dass alle Probleme im Zusammenhang mit dem 01.05.2017 (und allen vorherigen Strings für die Sicherheits-Patchebene) behoben wurden.
- 2017-05-05: Vollständiger String für den Stand der Sicherheitsupdates. Dieser String für die Sicherheits-Patchebene gibt an, dass alle Probleme im Zusammenhang mit dem 01.05.2017 und dem 05.05.2017 (und alle vorherigen Strings für die Sicherheits-Patchebene) behoben wurden.
- Unterstützte Google-Geräte erhalten ein einziges OTA-Update mit dem Sicherheitspatch vom 5. Mai 2017.
Maßnahmen für Android- und Google-Dienste
Hier finden Sie eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv den Missbrauch, um Nutzer vor potenziell schädlichen Apps zu warnen. „Apps überprüfen“ ist auf Geräten mit Google Mobile Services standardmäßig aktiviert und ist besonders wichtig für Nutzer, die Apps außerhalb von Google Play installieren. Tools zum Rooten von Geräten sind bei Google Play nicht zulässig. Verify Apps warnt Nutzer jedoch, wenn sie versuchen, eine erkannte Root-Anwendung zu installieren – unabhängig davon, woher sie stammt. Außerdem versucht „Apps überprüfen“, die Installation bekannter schädlicher Apps zu erkennen und zu blockieren, die eine Sicherheitslücke bei der Berechtigungserweiterung ausnutzen. Wenn eine solche Anwendung bereits installiert ist, wird der Nutzer von „Apps überprüfen“ benachrichtigt und die erkannte Anwendung wird entfernt.
- Die Google Hangouts- und Messenger-Anwendungen geben Medien nicht automatisch an Prozesse wie den Mediaserver weiter.
Danksagungen
Wir möchten uns bei den folgenden Forschern für ihre Beiträge bedanken:
- ADlab von Venustech: CVE-2017-0630
- Di Shen (@returnsme) von KeenLab (@keen_lab), Tencent: CVE-2016-10287
- Ecular Xu (徐健) von Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He (@heeeeen4x) und Bo Liu vom MS509Team: CVE-2017-0601
- Ethan Yonker vom Team Win Recovery Project: CVE-2017-0493
- Gengjia Chen (@chengjia4574) und pjf vom IceSword Lab, Qihoo 360 Technology Co., Ltd.: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选 @VirtualSeekers) von Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay von der University of Illinois at Urbana-Champaign: CVE-2017-0593
- Hao Chen und Guang Gong vom Alpha-Team, Qihoo 360 Technology Co., Ltd.: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li und Qiwu Huang von Xiaomi Inc.: CVE-2016-10276
- Michał Bednarski: CVE-2017-0598
- Nathan Crandall (@natecray) vom Tesla-Produktsicherheitsteam: CVE-2017-0331, CVE-2017-0606
- Niky1235 (@jiych_guru): CVE-2017-0603
- Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang Song von der Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
- Roee Hay (@roeehay) von Aleph Research: CVE-2016-10277
- Scott Bauer (@ScottyBauer1): CVE-2016-10274
- Tong Lin, Yuan-Tsung Lo und Xuxian Jiang vom C0RE Team: CVE-2016-10291
- Vasily Vasiliev: CVE-2017-0589
- V.E.O (@VYSEa) vom Mobile Threat Response Team von Trend Micro: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong vom Tencent Security Platform Department: CVE-2017-0597
- Xingyuan Lin vom 360 Marvel-Team: CVE-2017-0627
- Yong Wang (王勇) (@ThomasKing2014) von Alibaba Inc.: CVE-2017-0588
- Yonggang Guo (@guoygang) vom IceSword Lab, Qihoo 360 Technology Co., Ltd.: CVE-2016-10289, CVE-2017-0465
- Yu Pan vom Vulpecker-Team, Qihoo 360 Technology Co., Ltd.: CVE-2016-10282, CVE-2017-0615
- Yu Pan und Peide Zhang vom Vulpecker-Team, Qihoo 360 Technology Co., Ltd.: CVE-2017-0618, CVE-2017-0625
Sicherheitspatch-Level vom 01.05.2017 – Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 01.05.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem Meldedatum. Sofern verfügbar, verlinken wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. in der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, sind zusätzliche Verweise mit Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung im Mediaserver
Eine Sicherheitslücke zur Remote-Codeausführung im Mediaserver kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei bei der Verarbeitung von Mediendateien und Daten eine Speicherbeschädigung zu verursachen. Dieses Problem wird als kritisch eingestuft, da eine Remote-Codeausführung im Kontext des Mediaserver-Prozesses möglich ist.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4. Januar 2017 |
| CVE-2017-0588 | A-34618607 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21. Januar 2017 |
| CVE-2017-0589 | A-34897036 | Kritisch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1. Februar 2017 |
| CVE-2017-0590 | A-35039946 | Kritisch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6. Februar 2017 |
| CVE-2017-0591 | A-34097672 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Google intern |
| CVE-2017-0592 | A-34970788 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Google intern |
Sicherheitslücke vom Typ „Rechteausweitung“ in Framework-APIs
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in den Framework-APIs könnte es einer lokalen schädlichen Anwendung ermöglichen, Zugriff auf benutzerdefinierte Berechtigungen zu erhalten. Dieses Problem wird als „Hoch“ eingestuft, da es sich um eine allgemeine Umgehung der Betriebssystemschutzmaßnahmen handelt, die Anwendungsdaten von anderen Anwendungen isolieren.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5. Januar 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Mediaserver
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Mediaserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden kann, lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieter-Anwendung normalerweise nicht zugreifen kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22. Januar 2017 |
| CVE-2017-0595 | A-34705519 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24. Januar 2017 |
| CVE-2017-0596 | A-34749392 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24. Januar 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Audioserver
Eine Sicherheitslücke zur Erhöhung von Berechtigungen in Audioserver kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden kann, lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieter-Anwendung normalerweise nicht zugreifen kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25. Januar 2017 |
Sicherheitslücke bei der Offenlegung von Informationen in Framework-APIs
Eine Sicherheitslücke bei der Offenlegung von Informationen in den Framework APIs könnte es einer schädlichen lokalen Anwendung ermöglichen, die Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, auf Daten zuzugreifen, auf die die Anwendung keinen Zugriff hat.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6. Januar 2017 |
Denial-of-Service-Sicherheitslücke im Mediaserver
Eine Remote-Denial-of-Service-Sicherheitslücke im Mediaserver kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei einen Geräte-Absturz oder -Neustart zu verursachen. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service-Angriffs als „Hoch“ eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23. Januar 2017 |
| CVE-2017-0600 | A-35269635 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10. Februar 2017 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ in Bluetooth
Eine Sicherheitslücke bei der Aufhebung der Berechtigungsstufe in Bluetooth könnte es einer lokalen schädlichen Anwendung ermöglichen, schädliche Dateien, die über Bluetooth freigegeben wurden, ohne Nutzererlaubnis zu akzeptieren. Dieses Problem wird aufgrund der lokalen Umgehung der Anforderungen an die Nutzerinteraktion als mäßig eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | Moderat | Alle | 7.0, 7.1.1, 7.1.2 | 9. Februar 2017 |
Sicherheitslücke bei der Offenlegung von Informationen bei der dateibasierten Verschlüsselung
Eine Sicherheitslücke bei der Offenlegung von Informationen in der dateibasierten Verschlüsselung kann es einem lokalen böswilligen Angreifer ermöglichen, die Betriebssystemschutzmaßnahmen für den Sperrbildschirm zu umgehen. Dieses Problem wird als mäßig eingestuft, da der Sperrbildschirm umgangen werden kann.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] [3] | Moderat | Alle | 7.0, 7.1.1 | 9. November 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in Bluetooth
Eine Sicherheitslücke bei der Offenlegung von Informationen in Bluetooth könnte es einer lokalen schädlichen Anwendung ermöglichen, die Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem wird aufgrund von spezifischen Details zur Sicherheitslücke als mäßig eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | Moderat | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5. Dezember 2016 |
Sicherheitslücke zur Offenlegung von Informationen in OpenSSL und BoringSSL
Eine Sicherheitslücke bei der Offenlegung von Informationen in OpenSSL und BoringSSL kann es einem Remote-Angreifer ermöglichen, auf vertrauliche Daten zuzugreifen. Dieses Problem wird aufgrund spezifischer Details zur Sicherheitslücke als mäßig eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | Moderat | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19. Dezember 2016 |
Denial-of-Service-Sicherheitslücke im Mediaserver
Eine Denial-of-Service-Sicherheitslücke im Mediaserver kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei einen Geräte-Absturz oder -Neustart auszulösen. Dieses Problem wird als mittelschwer eingestuft, da es eine ungewöhnliche Gerätekonfiguration erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | Moderat | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23. Februar 2017 |
Denial-of-Service-Sicherheitslücke im Mediaserver
Eine Remote-Denial-of-Service-Sicherheitslücke im Mediaserver kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei einen Geräte-Absturz oder -Neustart zu verursachen. Dieses Problem wird aufgrund spezifischer Details zur Sicherheitslücke als gering eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | Geringe Anzahl | Alle | 7.0, 7.1.1, 7.1.2 | 16. Februar 2017 |
Sicherheitspatch-Level vom 05.05.2017 – Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für das Patchlevel vom 05.05.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem Meldedatum. Sofern verfügbar, verlinken wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. in der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, sind zusätzliche Verweise mit Zahlen verknüpft, die auf die Fehler-ID folgen.
Sicherheitslücke bei der Remote-Codeausführung in GIFLIB
Eine Sicherheitslücke zur Remote-Codeausführung in GIFLIB kann es einem Angreifer ermöglichen, mit einer speziell erstellten Datei bei der Verarbeitung von Mediendateien und Daten zu einer Beschädigung des Arbeitsspeichers zu führen. Dieses Problem wird als kritisch eingestuft, da es die Möglichkeit einer Remote-Codeausführung im Kontext des Mediaserver-Prozesses gibt.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13. April 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Touchscreen-Treiber von MediaTek
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im MediaTek-Touchscreen-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
Kritisch | Keine** | 16. Juli 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Bootloader
Eine Sicherheitslücke zur Erhöhung der Berechtigungen im Qualcomm-Bootloader kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
Kritisch | Nexus 5X, Nexus 6, Google Pixel, Google Pixel XL, Android One | 13. September 2016 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
Kritisch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16. November 2016 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Kernel-Sound-Subsystem
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Kernel-Sound-Subsystem kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 Upstream-Kernel |
Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Google Pixel, Google Pixel XL, Google Pixel C, Android One, Nexus Player | 3. Dezember 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Motorola-Bootloader
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Motorola-Bootloader kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Bootloaders auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
Kritisch | Nexus 6 | 21. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im NVIDIA-Videotreiber
Eine Sicherheitslücke zur Erhöhung der Berechtigungen im NVIDIA-Grafiktreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
Kritisch | Nexus 9 | 4. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Treiber für die Stromversorgung
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Kernel-Energietreiber könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da es zu einer dauerhaften lokalen Manipulation des Geräts kommen kann, was zur Reparatur des Geräts möglicherweise ein Neuflashen des Betriebssystems erfordert.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
Kritisch | Keine* | 15. Februar 2017 |
* Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücken in Qualcomm-Komponenten
Diese Sicherheitslücken betreffen Qualcomm-Komponenten und werden in den Sicherheitsbulletins von Qualcomm AMSS vom August, September, Oktober und Dezember 2016 ausführlicher beschrieben.
| CVE | Referenzen | Schweregrad* | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
Kritisch | Nexus 6P | Qualcomm intern |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Qualcomm intern |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
Hoch | Pixel/Pixel XL | Qualcomm intern |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
Hoch | Pixel/Pixel XL | Qualcomm intern |
* Die Bewertung des Schweregrads dieser Sicherheitslücken wurde vom Anbieter festgelegt.
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke bei der Remote-Codeausführung in libxml2
Eine Sicherheitslücke bei der Remote-Codeausführung in libxml2 könnte es einem Angreifer ermöglichen, mit einer speziell erstellten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da eine Remote-Codeausführung in einer Anwendung möglich ist, die diese Bibliothek verwendet.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum der Meldung |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | Hoch | Keine** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23. Juli 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im MediaTek-Thermotreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im MediaTek-Thermotreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
Hoch | Keine** | 11. April 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
Hoch | Keine** | 11. April 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
Hoch | Keine** | 27. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-WLAN-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Wi‑Fi-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
Hoch | Nexus 5X, Pixel, Pixel XL, Android One | 11. Oktober 2016 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Qualcomm-Videotreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Videotreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 24. Oktober 2016 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
Hoch | Pixel/Pixel XL | 19. Dezember 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
Hoch | Pixel/Pixel XL | 15. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Kernel-Leistungsuntersystem
Eine Sicherheitslücke vom Typ „Erhöhung der Berechtigungen“ im Kernel-Leistungsuntersystem kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 Upstream-Kernel |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Google Pixel, Google Pixel XL, Google Pixel C, Android One, Nexus Player | 23. November 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Treiber für Audio
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Soundtreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
Hoch | Nexus 5X, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 20. Dezember 2016 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
Hoch | Nexus 5X, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 3. Januar 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
Hoch | Pixel/Pixel XL | 22. Januar 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
Hoch | Keine* | 15. Februar 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
Hoch | Pixel/Pixel XL | 15. Februar 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
Hoch | Nexus 5X, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
Hoch | Keine* | 15. Februar 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
Hoch | Keine* | 15. Februar 2017 |
* Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im LED-Treiber von Qualcomm
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im LED-Treiber von Qualcomm kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
Hoch | Pixel/Pixel XL | 23. Dezember 2016 |
Sicherheitslücke vom Typ „Rechteausweitung“ im kryptografischen Qualcomm-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Kryptotreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 24. Dezember 2016 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im gemeinsamen Arbeitsspeicher-Treiber von Qualcomm
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im gemeinsamen Speichertreiber von Qualcomm kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24. Dezember 2016 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Qualcomm Slimbus-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm Slimbus-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31. Dezember 2016 |
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Qualcomm ADSPRPC-Treiber
Eine Sicherheitslücke zur Erhöhung der Berechtigungen im Qualcomm ADSPRPC-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
Hoch | Nexus 5X, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 5. Januar 2017 |
Sicherheitslücke zur Rechteausweitung im Communicator-Treiber der Qualcomm Secure Execution Environment
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm Secure Execution Environment Communicator-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
Hoch | Pixel/Pixel XL | 10. Januar 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im MediaTek-Energietreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im MediaTek-Energietreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
Hoch | Keine** | 12. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Ausweitung von Berechtigungen“ im Interrupt-Treiber zur Systemverwaltung von MediaTek
Eine Sicherheitslücke zur Erhöhung der Berechtigungen im Interrupt-Treiber der Systemverwaltung von MediaTek kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
Hoch | Keine** | 19. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im MediaTek-Videotreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im MediaTek-Videotreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
Hoch | Keine** | 19. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im MediaTek-Befehlswarteschlangentreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im MediaTek-Befehlszeilentreiber könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
Hoch | Keine** | 7. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Pin-Controller-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Pin-Controller-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
Hoch | Nexus 6, Android One | 15. Februar 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm Secure Channel Manager-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm Secure Channel Manager-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Treiber für den Audio-Codec
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Sound-Codec-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
Hoch | Pixel/Pixel XL | 15. Februar 2017 |
Rechteausweitungslücke im Kernel-Treiber für den Spannungsregler
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Kernel-Treiber für die Spannungsregelung könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 Upstream-Kernel |
Hoch | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15. Februar 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Qualcomm-Kameratreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Kameratreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
Hoch | Android One | 15. Februar 2017 |
Schwachstelle vom Typ „Ausweitung von Berechtigungen“ im Qualcomm-Netzwerktreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Netzwerktreiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
Hoch | Nexus 5X, Pixel, Pixel XL | 15. Februar 2017 |
Rechteausweitungslücke im Kernel-Netzwerk-Subsystem
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Kernel-Netzwerk-Subsystem könnte es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 Upstream-Kernel [2] |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Google Pixel, Google Pixel XL, Android One | 23. März 2017 |
Sicherheitslücke vom Typ „Rechteausweitung“ im Goodix-Touchscreen-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Goodix-Touchscreen-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
Hoch | Android One | Google intern |
Sicherheitslücke vom Typ „Rechteausweitung“ im HTC-Bootloader
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im HTC-Bootloader kann es einer lokalen schädlichen Anwendung ermöglichen, beliebigen Code im Kontext des Bootloaders auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
Hoch | Pixel/Pixel XL | Google Intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-WLAN-Treiber
Eine Sicherheitslücke im Qualcomm-WLAN-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, ohne ausdrückliche Nutzerberechtigung auf vertrauliche Daten zuzugreifen.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
Hoch | Nexus 5X, Pixel, Pixel XL | 16. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Offenlegung von Informationen Sicherheitslücke im MediaTek-Befehlszeilen-Treiber
Eine Sicherheitslücke im MediaTek-Befehlszeilen-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, ohne ausdrückliche Nutzererlaubnis auf sensible Daten zuzugreifen.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
Hoch | Keine** | 8. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Offenlegung von Informationen Sicherheitslücke im Treiber der Qualcomm-Krypto-Engine
Eine Sicherheitslücke im Qualcomm Crypto Engine-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem hat die Bewertung „Hoch“, da es dazu verwendet werden könnte, ohne ausdrückliche Nutzererlaubnis auf sensible Daten zuzugreifen.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
Hoch | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
Denial-of-Service-Sicherheitslücke im Qualcomm-WLAN-Treiber
Eine Denial-of-Service-Sicherheitslücke im Qualcomm-WLAN-Treiber kann es einem Angreifer in der Nähe ermöglichen, einen Denial-of-Service-Angriff auf das WLAN-Subsystem auszuführen. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als „Hoch“ eingestuft.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
Hoch | Nexus 5X, Pixel, Pixel XL | 16. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke zur Offenlegung von Informationen im Kernel-UVC-Treiber
Eine Sicherheitslücke im UVC-Treiber des Kernels kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mittel eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
Moderat | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke beim Offenlegen von Informationen im Qualcomm-Videotreiber
Eine Sicherheitslücke im Qualcomm-Videotreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
Moderat | Nexus 5X, Nexus 6P, Android One | 4. Dezember 2016 |
Sicherheitslücke im Qualcomm-Energietreiber (gerätespezifisch)
Eine Sicherheitslücke im Qualcomm-Energietreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
Moderat | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 14. Dezember 2016 |
Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-LED-Treiber
Eine Sicherheitslücke im Qualcomm-LED-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten zuzugreifen, die außerhalb ihrer Berechtigungsebenen liegen. Dieses Problem wird als mittel eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
Moderat | Pixel/Pixel XL | 20. Dezember 2016 |
Offenlegung von Informationen Sicherheitslücke im gemeinsamen Arbeitsspeicher-Treiber von Qualcomm
Eine Sicherheitslücke im Qualcomm-Treiber für den gemeinsamen Speicher könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
Moderat | Nexus 5X, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 22. Dezember 2016 |
Sicherheitslücke bei der Offenlegung von Informationen im Qualcomm-Kameratreiber
Eine Sicherheitslücke im Qualcomm-Kameratreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
Moderat | Nexus 5X, Nexus 6, Pixel, Pixel XL | 10. Januar 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
Moderat | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8. Februar 2017 |
Sicherheitslücke zur Offenlegung von Informationen im Kernel-Trace-Subsystem
Eine Sicherheitslücke im Kernel-Trace-Subsystem könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
Moderat | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Google Pixel, Google Pixel XL, Google Pixel C, Android One, Nexus Player | 11. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-Soundcodec-Treiber
Eine Sicherheitslücke im Qualcomm-Sound-Codec-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
Moderat | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke bei der Offenlegung von Informationen im Qualcomm-Kameratreiber
Eine Sicherheitslücke im Qualcomm-Kameratreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
Moderat | Nexus 5X, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-Soundtreiber
Eine Sicherheitslücke im Qualcomm-Soundtreiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
Moderat | Nexus 5X, Nexus 6, Nexus 6P, Google Pixel, Google Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke zur Offenlegung von Informationen im Qualcomm SPCom-Treiber
Eine Sicherheitslücke im Qualcomm SPCom-Treiber kann es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
Moderat | Keine* | 15. Februar 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
Moderat | Keine* | 15. Februar 2017 |
* Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke im Qualcomm-Sound-Codec-Treiber
Eine Sicherheitslücke im Qualcomm-Sound-Codec-Treiber könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
Moderat | Android One | 15. Februar 2017 |
Sicherheitslücke bei der Offenlegung von Informationen im Broadcom-WLAN-Treiber
Eine Sicherheitslücke im Broadcom-WLAN-Treiber, die zur Offenlegung von Informationen führt, könnte es einer lokalen schädlichen Komponente ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
Moderat | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 23. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Offenlegung von Informationen Sicherheitslücke im Synaptics-Touchscreen-Treiber
Eine Sicherheitslücke im Synaptics-Touchscreen-Treiber kann es einer schädlichen lokalen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsebenen zuzugreifen. Dieses Problem wird als mäßig eingestuft, da zuerst ein privilegierter Prozess manipuliert werden muss.
| CVE | Referenzen | Schweregrad | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
Moderat | Pixel/Pixel XL | Google intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
Sicherheitslücken in Qualcomm-Komponenten
Diese Sicherheitslücken in Qualcomm-Komponenten wurden zwischen 2014 und 2016 in den AMSS-Sicherheitsbulletins von Qualcomm veröffentlicht. Sie sind in diesem Android-Sicherheitsbulletin enthalten, um die Korrekturen einer Android-Sicherheitspatch-Ebene zuzuordnen.
| CVE | Referenzen | Schweregrad* | Aktualisierte Google-Geräte | Datum der Meldung |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9924 | A-35434631** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9925 | A-35444657** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9926 | A-35433784** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9927 | A-35433785** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9928 | A-35438623** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9930 | A-35432946** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2015-9005 | A-36393500** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2015-9006 | A-36393450** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2015-9007 | A-36393700** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2016-10297 | A-36393451** | Kritisch | Keine*** | Qualcomm intern |
| CVE-2014-9941 | A-36385125** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9942 | A-36385319** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9943 | A-36385219** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9944 | A-36384534** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9945 | A-36386912** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9946 | A-36385281** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9947 | A-36392400** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9948 | A-36385126** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9949 | A-36390608** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9950 | A-36385321** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9951 | A-36389161** | Hoch | Keine*** | Qualcomm intern |
| CVE-2014-9952 | A-36387019** | Hoch | Keine*** | Qualcomm intern |
* Die Bewertung des Schweregrads dieser Sicherheitslücken wurde vom Anbieter festgelegt.
** Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
*** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Eine Anleitung zum Prüfen des Sicherheitspatches eines Geräts finden Sie im Updatezeitplan für Google Pixel und Nexus.
- Mit den Sicherheitspatch-Levels vom 01.05.2017 oder höher werden alle Probleme behoben, die mit dem Sicherheitspatch-Level vom 01.05.2017 zusammenhängen.
- Mit den Sicherheits-Patch-Stufen vom 05.05.2017 oder höher werden alle Probleme behoben, die mit der Sicherheits-Patch-Stufe vom 05.05.2017 und allen vorherigen Patch-Stufen zusammenhängen.
Gerätehersteller, die diese Updates einbinden, sollten die Patch-Stringebene auf Folgendes festlegen:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. Warum gibt es in diesem Bulletin zwei Sicherheits-Patch-Stufen?
Dieses Bulletin enthält zwei Sicherheitspatch-Stufen, damit Android-Partner eine Reihe von Sicherheitslücken, die auf allen Android-Geräten ähnlich sind, schneller schließen können. Android-Partner werden aufgefordert, alle in diesem Bulletin aufgeführten Probleme zu beheben und den neuesten Sicherheitspatch zu verwenden.
- Auf Geräten mit dem Stand des Sicherheitspatches vom 01. Mai 2017 müssen alle mit diesem Stand des Sicherheitspatches verbundenen Probleme behoben sein. Außerdem müssen alle in früheren Sicherheitsbulletins gemeldeten Probleme behoben sein.
- Auf Geräten mit der Sicherheitspatch-Ebene vom 5. Mai 2017 oder höher müssen alle anwendbaren Patches aus diesem und früheren Sicherheitsbulletins installiert sein.
Wir empfehlen Partnern, die Korrekturen für alle behobenen Probleme in einem einzigen Update zusammenzufassen.
3. Wie finde ich heraus, welche Google-Geräte von den einzelnen Problemen betroffen sind?
In den Abschnitten mit Details zu den Sicherheitslücken vom 01.05.2017 und 05.05.2017 enthält jede Tabelle die Spalte Aktualisierte Google-Geräte, in der die betroffenen Google-Geräte aufgeführt sind, die für jedes Problem aktualisiert wurden. Für diese Spalte gibt es einige Optionen:
- Alle Google-Geräte: Wenn ein Problem alle Google-Geräte und Pixel-Geräte betrifft, wird in der Tabelle in der Spalte Aktualisierte Google-Geräte „Alle“ angezeigt. „Alle“ umfasst die folgenden unterstützten Geräte: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel und Pixel XL.
- Einige Google-Geräte: Wenn sich ein Problem nicht auf alle Google-Geräte auswirkt, werden die betroffenen Google-Geräte in der Spalte Aktualisierte Google-Geräte aufgeführt.
- Keine Google-Geräte: Wenn das Problem keine Google-Geräte mit Android 7.0 betrifft, wird in der Spalte Aktualisierte Google-Geräte der Wert „Keines“ angezeigt.
4. Worauf beziehen sich die Einträge in der Spalte „Referenzen“?
Einträge in der Spalte Referenzen der Tabelle mit den Details zur Sicherheitslücke können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. Diese Präfixe werden wie folgt zugeordnet:
| Präfix | Verweise |
|---|---|
| A- | Android-Fehler-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
Überarbeitungen
- 1. Mai 2017: Bulletin veröffentlicht.
- 2. Mai 2017: Bulletin wurde überarbeitet und enthält jetzt AOSP-Links.
- 10. August 2017: Das Bulletin wurde überarbeitet und enthält jetzt einen zusätzlichen AOSP-Link für CVE-2017-0493.
- 17. August 2017: Das Bulletin wurde überarbeitet, um die Referenznummern zu aktualisieren.
- 3. Oktober 2017: CVE-2017-0605 aus dem Bulletin entfernt.