תאריך פרסום: 1 במאי 2017 | תאריך עדכון: 3 באוקטובר 2017
עדכון האבטחה של Android מכיל פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android. בנוסף לעדכון החדשות, פרסמנו עדכון אבטחה למכשירי Nexus באמצעות עדכון OTA. קובצי האימג' של קושחת המכשיר של Google פורסמו גם באתר Google Developer. רמות תיקוני האבטחה מ-5 במאי 2017 ואילך מטפלות בכל הבעיות האלה. לוח הזמנים של עדכוני Pixel ו-Nexus מסביר איך בודקים את רמת תיקון האבטחה של המכשיר.
השותפים עודכנו לגבי הבעיות המתוארות בעדכון ב-3 באפריל 2017 או לפני כן. תיקוני קוד המקור לבעיות האלה פורסמו במאגר Android Open Source Project (AOSP) ויש קישור אליהם מהעדכון הזה. העדכון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיה החמורה ביותר היא נקודת חולשה קריטית באבטחה שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות כמה שיטות, כמו אימייל, גלישה באינטרנט והודעות MMS במהלך עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של הבעיות החדשות האלה על ידי לקוחות או על ניצול לרעה שלהן. בקטע אמצעי מיטיגציה ל-Android ולשירותי Google מפורט מידע על אמצעי ההגנה של פלטפורמת האבטחה של Android ועל אמצעי הגנה על שירותים כמו SafetyNet, שמשפרים את האבטחה של פלטפורמת Android.
אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הודעות
- בעדכון הזה יש שתי מחרוזות של רמות תיקוני אבטחה, כדי לספק לשותפי Android גמישות לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. למידע נוסף, אפשר לעיין בשאלות נפוצות ותשובות:
- 2017-05-01: מחרוזת חלקית של רמת תיקון האבטחה. המחרוזת הזו של רמת תיקון האבטחה מציינת שכל הבעיות שמשויכות ל-01 במאי 2017 (וכל המחרוזות הקודמות של רמת תיקון האבטחה) טופלו.
- 2017-05-05: מחרוזת מלאה של רמת תיקון האבטחה. מחרוזת רמת תיקון האבטחה הזו מציינת שכל הבעיות שמשויכות ל-2017-05-01 ול-2017-05-05 (וכל המחרוזות הקודמות של רמת תיקון האבטחה) טופלו.
- מכשירי Google נתמכים יקבלו עדכון OTA אחד עם רמת תיקון האבטחה מ-5 במאי 2017.
הפחתת ההשפעה על Android ועל שירותי Google
זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android והגנות על שירותים כמו SafetyNet. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Verify Apps ו-SafetyNet, שנועדו להזהיר משתמשים לגבי אפליקציות שעלולות להזיק. התכונה 'אימות אפליקציות' מופעלת כברירת מחדל במכשירים עם Google Mobile Services, והיא חשובה במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play. אסור להפיץ כלים להסרת הרשאת root במכשיר ב-Google Play, אבל שירות אימות האפליקציות מזהיר משתמשים כשהם מנסים להתקין אפליקציית rooting שזוהתה – לא משנה מה המקור שלה. בנוסף, התכונה 'אימות אפליקציות' מנסה לזהות ולחסום התקנה של אפליקציות זדוניות ידועות שמנצלות נקודת חולשה של הסלמת הרשאות. אם אפליקציה כזו כבר הותקנה, התכונה 'אימות אפליקציות' תודיע למשתמש ותנסה להסיר את האפליקציה שזוהתה.
- בהתאם לצורך, אפליקציות Google Hangouts ו-Messenger לא מעבירות מדיה באופן אוטומטי לתהליכים כמו Mediaserver.
תודות
אנחנו רוצים להודות לחוקרים הבאים על התרומות שלהם:
- ADlab של Venustech: CVE-2017-0630
- די שן (Di Shen, @returnsme) מ-KeenLab (@keen_lab), Tencent: CVE-2016-10287
- Ecular Xu (徐健) מ-Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He (@heeeeen4x) ו-Bo Liu מ-MS509Team: CVE-2017-0601
- אית'ן יונקר (Ethan Yonker) מ-Team Win Recovery Project: CVE-2017-0493
- Gengjia Chen (@chengjia4574) ו-pjf מ-IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选 @VirtualSeekers) מ-Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay מאוניברסיטת אילינוי באורבנה-שמפיין: CVE-2017-0593
- Hao Chen ו-Guang Gong מצוות Alpha, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li ו-Qiwu Huang מ-Xiaomi Inc.: CVE-2016-10276
- Michał Bednarski: CVE-2017-0598
- Nathan Crandall (@natecray) מצוות אבטחת המוצרים של Tesla: CVE-2017-0331, CVE-2017-0606
- Niky1235 (@jiych_guru): CVE-2017-0603
- Peng Xiao, Chengming Yang, Ning You, Chao Yang ו-Yang Song מקבוצת האבטחה של Alibaba לנייד: CVE-2016-10281, CVE-2016-10280
- רועי היי (@roeehay) מ-Aleph Research: CVE-2016-10277
- סקוט באואר (Scott Bauer) (@ScottyBauer1): CVE-2016-10274
- Tong Lin, Yuan-Tsung Lo ו-Xuxian Jiang מ-C0RE Team: CVE-2016-10291
- Vasily Vasiliev: CVE-2017-0589
- V.E.O (@VYSEa) מMobile Threat Response Team, Trend Micro: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong מהמחלקה של פלטפורמת האבטחה של Tencent: CVE-2017-0597
- Xingyuan Lin מצוות 360 Marvel: CVE-2017-0627
- Yong Wang (王勇) (@ThomasKing2014) מ-Alibaba Inc.: CVE-2017-0588
- Yonggang Guo (@guoygang) מ-IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Yu Pan מצוות Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan ו-Peide Zhang מצוות Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
רמת תיקון האבטחה מ-01 במאי 2017 – פרטי הפגיעות
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 2017-05-01. הדיווח כולל תיאור של הבעיה, הסבר על מידת החומרה וטבלה עם מספר ה-CVE, מקורות מידע משויכים, מידת החומרה, מכשירי Google מעודכנים, גרסאות AOSP מעודכנות (אם רלוונטי) והתאריך שבו הבעיה דווחה. כשהדבר יהיה אפשרי, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
נקודת חולשה לביצוע קוד מרחוק ב-Mediaserver
נקודת חולשה של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום לנזק בזיכרון במהלך עיבוד נתונים וקובצי מדיה. הבעיה הזו סווגה כקריטית בגלל האפשרות להריץ קוד מרחוק בהקשר של תהליך Mediaserver.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 בינואר 2017 |
| CVE-2017-0588 | A-34618607 | קריטי | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 בינואר 2017 |
| CVE-2017-0589 | A-34897036 | קריטי | הכול | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1 בפברואר 2017 |
| CVE-2017-0590 | A-35039946 | קריטי | הכול | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 בפברואר 2017 |
| CVE-2017-0591 | A-34097672 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | פנימי ל-Google |
| CVE-2017-0592 | A-34970788 | קריטי | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | פנימי ל-Google |
נקודת חולשה של העלאת הרשאות בממשקי API של Framework
נקודת חולשה של הסלמת הרשאות בממשקי ה-API של Framework עלולה לאפשר לאפליקציה זדונית מקומית לקבל גישה להרשאות בהתאמה אישית. הדירוג של הבעיה הזו הוא גבוה כי מדובר במעקף כללי של אמצעי ההגנה של מערכת ההפעלה, שמבודדים את נתוני האפליקציה מאפליקציות אחרות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 בינואר 2017 |
פרצת אבטחה מסוג הסלמת הרשאות (privilege escalation) ב-Mediaserver
נקודת חולשה של הסלמת הרשאות ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לקבל גישה מקומית ליכולות ברמה גבוהה, שאפליקציה של צד שלישי לא יכולה לגשת אליהן בדרך כלל.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 בינואר 2017 |
| CVE-2017-0595 | A-34705519 | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 בינואר 2017 |
| CVE-2017-0596 | A-34749392 | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 בינואר 2017 |
נקודת חולשה של הסלמת הרשאות ב-Audioserver
נקודת חולשה של הסלמת הרשאות ב-Audioserver עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לקבל גישה מקומית ליכולות ברמה גבוהה, שאפליקציה של צד שלישי לא יכולה לגשת אליהן בדרך כלל.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 בינואר 2017 |
נקודת חולשה של חשיפת מידע ב-Framework API
נקודת חולשה של חשיפת מידע בממשקי ה-API של Framework עלולה לאפשר לאפליקציה זדונית מקומית לעקוף את ההגנות של מערכת ההפעלה שמבודדות את נתוני האפליקציה מאפליקציות אחרות. הדירוג של הבעיה הזו הוא גבוה כי היא עלולה לשמש לקבלת גישה לנתונים שאין לאפליקציה גישה אליהם.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 בינואר 2017 |
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Mediaserver
נקודת חולשה של התקפת מניעת שירות (DoS) מרחוק ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום להקפאה או להפעלה מחדש של המכשיר. רמת החומרה של הבעיה היא גבוהה בגלל האפשרות להתקפת מניעת שירות מרחוק.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 בינואר 2017 |
| CVE-2017-0600 | A-35269635 | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 בפברואר 2017 |
נקודת חולשה של הסלמת הרשאות ב-Bluetooth
נקודת חולשה של הרשאת גישה ברמה גבוהה יותר ב-Bluetooth עלולה לאפשר לאפליקציה זדונית מקומית לקבל קבצים מזיקים ששותפו באמצעות Bluetooth ללא רשות המשתמש. הדירוג של הבעיה הזו הוא 'בינונית' בגלל עקיפה מקומית של דרישות האינטראקציה עם המשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | בינונית | הכול | 7.0, 7.1.1, 7.1.2 | 9 בפברואר 2017 |
נקודת חולשה של חשיפת מידע בהצפנה מבוססת-קבצים
נקודת חולשה של חשיפת מידע בהצפנה מבוססת-קבצים עלולה לאפשר לתוקף זדוני מקומי לעקוף את ההגנות של מערכת ההפעלה על מסך הנעילה. הדירוג של הבעיה הזו הוא 'בינונית' בגלל האפשרות לעקוף את מסך הנעילה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] [3] | בינונית | הכול | 7.0, 7.1.1 | 9 בנובמבר 2016 |
נקודת חולשה של חשיפת מידע ב-Bluetooth
נקודת חולשה של חשיפת מידע ב-Bluetooth עלולה לאפשר לאפליקציה זדונית מקומית לעקוף את ההגנות של מערכת ההפעלה שמבודדות את נתוני האפליקציה מאפליקציות אחרות. הדירוג של הבעיה הזו הוא 'בינונית' בגלל פרטים ספציפיים לנקודת החולשה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | בינונית | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 בדצמבר 2016 |
נקודת חולשה של חשיפת מידע ב-OpenSSL וב-BoringSSL
נקודת חולשה של חשיפת מידע ב-OpenSSL וב-BoringSSL עלולה לאפשר לתוקף מרחוק לקבל גישה למידע רגיש. הדירוג של הבעיה הזו הוא 'בינונית' בגלל פרטים ספציפיים לנקודת החולשה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | בינונית | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 בדצמבר 2016 |
נקודת חולשה של התקפת מניעת שירות ב-Mediaserver
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום להקפאה או להפעלה מחדש של המכשיר. הדירוג של הבעיה הזו הוא 'בינונית' כי היא דורשת הגדרה נדירה של המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | בינונית | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 בפברואר 2017 |
נקודת חולשה של התקפת מניעת שירות ב-Mediaserver
נקודת חולשה של התקפת מניעת שירות (DoS) מרחוק ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום להקפאה או להפעלה מחדש של המכשיר. הבעיה הזו דורגה ברמה נמוכה בגלל פרטים ספציפיים לנקודת החולשה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | נמוכה | הכול | 7.0, 7.1.1, 7.1.2 | 16 בפברואר 2017 |
רמת תיקון האבטחה מ-5 במאי 2017 – פרטי הפגיעות
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 05-05-2017. הדיווח כולל תיאור של הבעיה, הסבר על מידת החומרה וטבלה עם מספר ה-CVE, מקורות מידע משויכים, מידת החומרה, מכשירי Google מעודכנים, גרסאות AOSP מעודכנות (אם רלוונטי) והתאריך שבו הבעיה דווחה. כשהדבר יהיה אפשרי, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
נקודת חולשה לביצוע קוד מרחוק ב-GIFLIB
נקודת חולשה של הרצת קוד מרחוק ב-GIFLIB עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום לנזק בזיכרון במהלך עיבוד נתונים וקובצי מדיה. הבעיה הזו סווגה כקריטית בגלל האפשרות להריץ קוד מרחוק בהקשר של תהליך Mediaserver.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | קריטי | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 באפריל 2016 |
נקודת חולשה של העלאת הרשאות במנהל ההתקן של מסך המגע של MediaTek
נקודת חולשה של העלאת הרשאות במנהל ההתקן של מסך המגע של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה קבועה במכשיר המקומי, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
קריטי | ללא** | 16 ביולי 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הסלמת הרשאות (privilege escalation) בתוכנת האתחול של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) ב-bootloader של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
קריטי | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13 בספטמבר 2016 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
קריטי | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16 בנובמבר 2016 |
נקודת חולשה של הרשאות מוגברות במערכת המשנה של הקול בליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) במערכת המשנה של האודיו בליבה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה קבועה במכשיר המקומי, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 ליבה של Upstream |
קריטי | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3 בדצמבר 2016 |
פרצת אבטחה מסוג הסלמת הרשאות (privilege escalation) בתוכנת האתחול של Motorola
נקודת חולשה של הסלמת הרשאות (privilege escalation) ב-bootloader של Motorola עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של ה-bootloader. הבעיה הזו מסווגת כקריטית בגלל האפשרות של פגיעה קבועה במכשיר ברמה המקומית, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
קריטי | Nexus 6 | 21 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה מסוג הרשאות מוגברות ב-NVIDIA video driver
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הווידאו של NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
קריטי | Nexus 9 | 4 בינואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל החשמל של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) ב-Qualcomm power driver בליבה עשויה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה קבועה במכשיר המקומי, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
קריטי | ללא* | 15 בפברואר 2017 |
* נקודת החולשה הזו לא משפיעה על מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים.
נקודות חולשה ברכיבים של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm, ומפורטות בהרחבה בעדכוני האבטחה של Qualcomm AMSS מחודשים אוגוסט, ספטמבר, אוקטובר ודצמבר 2016.
| CVE | קובצי עזר | מידת החומרה* | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
קריטי | Nexus 6P | Qualcomm פנימית |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
קריטי | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Qualcomm פנימית |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
רחב | Pixel, Pixel XL | Qualcomm פנימית |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
רחב | Pixel, Pixel XL | Qualcomm פנימית |
* דירוג החומרה של נקודות החולשה האלה נקבע על ידי הספק.
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה לביצוע קוד מרחוק ב-libxml2
נקודת חולשה של ביצוע קוד מרחוק ב-libxml2 עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך ללא הרשאות. הדירוג של הבעיה הזו הוא גבוה בגלל האפשרות להריץ קוד מרחוק באפליקציה שמשתמשת בספרייה הזו.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | רחב | ללא** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 ביולי 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים באתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
פרצת אבטחה מסוג הרשאות יתר ב-MediaTek thermal driver
נקודת חולשה של הסלמת הרשאות במנהל התרמי של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
רחב | ללא** | 11 באפריל 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
רחב | ללא** | 11 באפריל 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
רחב | ללא** | 27 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירי Google נתמכים עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-Wi-Fi של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-Wi-Fi של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
רחב | Nexus 5X, Pixel, Pixel XL, Android One | 11 באוקטובר 2016 |
נקודת חולשה של הרשאות מוגברות במנהל הווידאו של Qualcomm
נקודת חולשה של העלאת הרשאות במנהל הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 באוקטובר 2016 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
רחב | Pixel, Pixel XL | 19 בדצמבר 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
רחב | Pixel, Pixel XL | 15 בפברואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של העלאת הרשאות במערכת המשנה לביצועי הליבה
נקודת חולשה של העלאת הרשאות במערכת המשנה של ביצועי הליבה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 ליבה של Upstream |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23 בנובמבר 2016 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל האודיו של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל האודיו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20 בדצמבר 2016 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3 בינואר 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
רחב | Pixel, Pixel XL | 22 בינואר 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
רחב | ללא* | 15 בפברואר 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
רחב | Pixel, Pixel XL | 15 בפברואר 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
רחב | ללא* | 15 בפברואר 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
רחב | ללא* | 15 בפברואר 2017 |
* נקודת החולשה הזו לא משפיעה על מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-LED של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-LED של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
רחב | Pixel, Pixel XL | 23 בדצמבר 2016 |
נקודת חולשה של הרשאות מוגברות ב-Qualcomm crypto driver
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הקריפטו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 בדצמבר 2016 |
נקודת חולשה של העלאת הרשאות במנהל הזיכרון המשותף של Qualcomm
נקודת חולשה של העלאת הרשאות במנהל הזיכרון המשותף של Qualcomm עלולה לאפשר ליישום זדוני מקומי להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24 בדצמבר 2016 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm Slimbus
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm Slimbus עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31 בדצמבר 2016 |
נקודת חולשה של הרשאות מוגברות במנהל Qualcomm ADSPRPC
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm ADSPRPC עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5 בינואר 2017 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל התקשורת של Qualcomm Secure Execution Environment
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm Secure Execution Environment Communicator עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו קיבלה דירוג גבוה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
רחב | Pixel, Pixel XL | 10 בינואר 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
נקודת חולשה מסוג סילוף הרשאות ב-MediaTek power driver
נקודת חולשה של הסלמת הרשאות במנהל החשמל של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
רחב | ללא** | 12 בינואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של העלאת הרשאות במנהל ההפרעות לניהול המערכת של MediaTek
פגיעות בהסלמת הרשאות ב-MediaTek system management interrupt driver עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה, כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
רחב | ללא** | 19 בינואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הרשאות מוגברות במנהל הווידאו של MediaTek
נקודת חולשה של העלאת הרשאות במנהל הווידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
רחב | ללא** | 19 בינואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של העלאת הרשאות בנהג של תור הפקודות של MediaTek
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל התור של הפקודות של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
רחב | ללא** | 7 בפברואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של העלאת הרשאות בנהג של בקר הפינים של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל של בקר הפינים של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
רחב | Nexus 6, Android One | 15 בפברואר 2017 |
נקודת חולשה של העלאת הרשאות ב-Qualcomm Secure Channel Manager Driver
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm Secure Channel יכולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
נקודת חולשה של העלאת הרשאות במנהל הקודק של האודיו של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הקול של Qualcomm יכולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
רחב | Pixel, Pixel XL | 15 בפברואר 2017 |
נקודת חולשה של העלאת הרשאות בנהג של מתאם המתח בליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) בהתקן של בקר המתח בליבה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 ליבה של Upstream |
רחב | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15 בפברואר 2017 |
נקודת חולשה של הרשאות מוגברות במנהל המצלמה של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
רחב | Android One | 15 בפברואר 2017 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הרשתות של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הרשתות של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
רחב | Nexus 5X, Pixel, Pixel XL | 15 בפברואר 2017 |
נקודת חולשה של הרשאות מוגברות במערכת המשנה של רשת הליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) במערכת המשנה של הרשת בליבה עשויה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 ליבה ב-upstream [2] |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | 23 במרץ 2017 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) בנהג מסך המגע של Goodix
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל המסך המגע של Goodix עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
רחב | Android One | פנימי ל-Google |
נקודת חולשה מסוג הסלמת הרשאות (privilege escalation) ב-bootloader של HTC
נקודת חולשה של הסלמת הרשאות במחולל האתחול של HTC עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של מנהל האתחול. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
רחב | Pixel, Pixel XL | Google פנימי |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה לחשיפת מידע במנהל ה-Wi-Fi של Qualcomm
נקודת חולשה של חשיפת מידע במנהל ה-Wi-Fi של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לגשת למידע אישי רגיש ללא אישור מפורש מהמשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
רחב | Nexus 5X, Pixel, Pixel XL | 16 בינואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של חשיפת מידע ב-MediaTek command queue driver
נקודת חולשה של חשיפת מידע ב-MediaTek command queue driver עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לגשת למידע אישי רגיש ללא אישור מפורש מהמשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
רחב | ללא** | 8 בפברואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של חשיפת מידע ב-Qualcomm crypto engine driver
נקודת חולשה של חשיפת מידע במנהל של מנוע הקריפטו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לגשת למידע אישי רגיש ללא אישור מפורש מהמשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
נקודת חולשה מסוג התקפת מניעת שירות (DoS) במנהל ה-Wi-Fi של Qualcomm
נקודת חולשה של התקפת מניעת שירות (DoS) במנהל ה-Wi-Fi של Qualcomm עלולה לאפשר לתוקף בקרבת מקום לגרום להתקפת מניעת שירות במערכת המשנית של ה-Wi-Fi. הדירוג של הבעיה הזו הוא גבוה בגלל האפשרות להתקפת מניעת שירות מרחוק.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
רחב | Nexus 5X, Pixel, Pixel XL | 16 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של חשיפת מידע ב-kernel UVC driver
נקודת חולשה של חשיפת מידע במנהל ה-UVC של הליבה עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
בינונית | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה לחשיפת מידע במנהל הווידאו של Qualcomm
נקודת חולשה של חשיפת מידע במנהל הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
בינונית | Nexus 5X, Nexus 6P, Android One | 4 בדצמבר 2016 |
נקודת חולשה של חשיפת מידע ב-Qualcomm power driver (ספציפי למכשיר)
נקודת חולשה של חשיפת מידע ב-Qualcomm power driver עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
בינונית | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 14 בדצמבר 2016 |
נקודת חולשה לחשיפת מידע במנהל ה-LED של Qualcomm
נקודת חולשה של חשיפת מידע במנהל ה-LED של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
בינונית | Pixel, Pixel XL | 20 בדצמבר 2016 |
נקודת חולשה של חשיפת מידע ב-Qualcomm driver של זיכרון משותף
נקודת חולשה של חשיפת מידע במנהל הזיכרון המשותף של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
בינונית | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 22 בדצמבר 2016 |
נקודת חולשה בחשיפת מידע במנהל המצלמה של Qualcomm
נקודת חולשה של חשיפת מידע במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
בינונית | Nexus 5X, Nexus 6, Pixel, Pixel XL | 10 בינואר 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
בינונית | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8 בפברואר 2017 |
נקודת חולשה של חשיפת מידע במערכת המשנה של מעקב הליבה
נקודת חולשה של חשיפת מידע במערכת המשנה למעקב אחר הליבה עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
בינונית | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11 בינואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של חשיפת מידע במנהל ה-codec של Qualcomm
נקודת חולשה של חשיפת מידע במנהל הקודק של האודיו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
בינונית | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
נקודת חולשה בחשיפת מידע במנהל המצלמה של Qualcomm
נקודת חולשה של חשיפת מידע במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
בינונית | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
נקודת חולשה לחשיפת מידע ב-Qualcomm sound driver
נקודת חולשה של חשיפת מידע במנהל האודיו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
בינונית | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 בפברואר 2017 |
נקודת חולשה של חשיפת מידע במנהל Qualcomm SPCom
נקודת חולשה של חשיפת מידע ב-Qualcomm SPCom driver עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
בינונית | ללא* | 15 בפברואר 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
בינונית | ללא* | 15 בפברואר 2017 |
* מכשירי Google נתמכים עם Android מגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של חשיפת מידע ב-Qualcomm sound codec driver
נקודת חולשה של חשיפת מידע במנהל הקודק של האודיו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
בינונית | Android One | 15 בפברואר 2017 |
נקודת חולשה של חשיפת מידע במנהל ה-Wi-Fi של Broadcom
נקודת חולשה של חשיפת מידע במנהל ה-Wi-Fi של Broadcom עלולה לאפשר לרכיב זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאות שלו. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
בינונית | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 23 בפברואר 2017 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של חשיפת מידע במנהל של מסך המגע של Synaptics
נקודת חולשה של חשיפת מידע במנהל של מסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
בינונית | Pixel, Pixel XL | פנימי ל-Google |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודות חולשה ברכיבים של Qualcomm
נקודות החולשה האלה שמשפיעות על רכיבי Qualcomm פורסמו במסגרת עדכוני האבטחה של Qualcomm AMSS בין השנים 2014 ל-2016. הם כלולים בדף העדכונים הזה בנושא אבטחת Android כדי לשייך את התיקונים שלהם לרמת תיקון האבטחה ב-Android.
| CVE | קובצי עזר | מידת החומרה* | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9924 | A-35434631** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9925 | A-35444657** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9926 | A-35433784** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9927 | A-35433785** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9928 | A-35438623** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9930 | A-35432946** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2015-9005 | A-36393500** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2015-9006 | A-36393450** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2015-9007 | A-36393700** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2016-10297 | A-36393451** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2014-9941 | A-36385125** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9942 | A-36385319** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9943 | A-36385219** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9944 | A-36384534** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9945 | A-36386912** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9946 | A-36385281** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9947 | A-36392400** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9948 | A-36385126** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9949 | A-36390608** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9950 | A-36385321** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9951 | A-36389161** | רחב | ללא*** | Qualcomm פנימית |
| CVE-2014-9952 | A-36387019** | רחב | ללא*** | Qualcomm פנימית |
* דירוג החומרה של נקודות החולשה האלה נקבע על ידי הספק.
** התיקון לבעיה הזו לא זמין לכולם. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
*** מכשירים נתמכים של Google עם Android בגרסה 7.1.1 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
כדי לבדוק את רמת תיקון האבטחה של מכשיר, אפשר לעיין בהוראות שמפורטות בלוח הזמנים של עדכוני Pixel ו-Nexus.
- רמות תיקוני האבטחה מ-1 במאי 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-1 במאי 2017.
- רמות תיקון האבטחה מ-5 במאי 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-5 במאי 2017 ובכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון ל-:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. למה יש בעדכון הזה שתי רמות של תיקוני אבטחה?
בעדכון הזה יש שתי רמות תיקון אבטחה, כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות שמפורטות בדף העדכונים הזה ולהשתמש ברמת התיקון האחרונה של האבטחה.
- מכשירים עם רמת תיקון האבטחה מ-1 במאי 2017 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בעדכוני האבטחה הקודמים.
- במכשירים עם תיקון אבטחה ברמה של 5 במאי 2017 ואילך חייבים לכלול את כל התיקונים הרלוונטיים מהעדכונים האלה (ומהעדכונים הקודמים).
מומלץ לשותפים לארוז את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. איך אפשר לדעת אילו מכשירי Google מושפעים מכל בעיה?
בקטעים 2017-05-01 ו-2017-05-05 של פרטי נקודות החולשה באבטחה, בכל טבלה יש עמודה מכשירי Google מעודכנים שמפרטת את מגוון מכשירי Google שהושפעו מכל בעיה ועברו עדכון. בעמודה הזו יש כמה אפשרויות:
- כל מכשירי Google: אם בעיה משפיעה על כל המכשירים ועל מכשירי Pixel, בעמודה מכשירי Google מעודכנים יופיע הכיתוב 'הכול'. האפשרות 'הכול' כוללת את המכשירים הנתמכים הבאים: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ו-Pixel XL.
- חלק ממכשירי Google: אם הבעיה לא משפיעה על כל מכשירי Google, מכשירי Google המושפעים מופיעים בעמודה מכשירי Google מעודכנים.
- אין מכשירי Google: אם הבעיה לא משפיעה על מכשירי Google עם Android מגרסה 7.0, בעמודה מכשירי Google מעודכנים יופיע הערך 'ללא'.
4. לאילו פריטים מתמפות הרשומות בעמודה 'הפניות'?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות לכלול קידומת שמזהה את הארגון שאליו שייך ערך העזר. התחיליות האלה ממופות באופן הבא:
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר הסימוכין של Qualcomm |
| M- | מספר הסימוכין של MediaTek |
| N- | מספר הסימוכין של NVIDIA |
| B- | מספר הסימוכין של Broadcom |
גרסאות קודמות
- 1 במאי 2017: העדכון פורסם.
- 2 במאי 2017: העדכון עודכן ונוספו אליו קישורים ל-AOSP.
- 10 באוגוסט 2017: העדכון עודכן ונוסף לו קישור ל-AOSP נוסף עבור CVE-2017-0493.
- 17 באוגוסט 2017: העדכנו את מספרי ההפניה בעדכון.
- 3 באוקטובר 2017: העדכון עודכן והבעיה CVE-2017-0605 הוסרה.