Publicado em 1º de maio de 2017 | Atualizado em 3 de outubro de 2017
O Boletim de segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Além do boletim, lançamos uma atualização de segurança para dispositivos Nexus por uma atualização over the air (OTA). As imagens de firmware do dispositivo do Google também foram lançadas no site para desenvolvedores do Google. Os níveis de patch de segurança de 5 de maio de 2017 ou mais recentes resolvem todos esses problemas. Consulte o programa de atualização do Pixel e Nexus para saber como verificar o nível do patch de segurança de um dispositivo.
Os parceiros foram notificados dos problemas descritos no boletim em 3 de abril de 2017 ou antes. Os patches do código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.
O problema mais grave é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não recebemos relatos de exploração ou abuso ativo de clientes desses problemas recém-informados. Consulte a seção Mitigações de serviços do Android e do Google para saber mais sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como a SafetyNet, que melhoram a segurança da plataforma Android.
Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.
Anúncios
- Este boletim tem duas strings de nível de patch de segurança para oferecer aos parceiros
do Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades
semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para
mais informações:
- 2017-05-01: string de nível de patch de segurança parcial. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-05-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
- 2017-05-05: string de nível de patch de segurança completa. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-05-01 e 2017-05-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
- Os dispositivos Google com suporte vão receber uma única atualização OTA com o nível de patch de segurança de 5 de maio de 2017.
Mitigações do Android e dos serviços do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android fica mais difícil devido a melhorias nas versões mais recentes da Plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente os abusos com o Verify Apps e a SafetyNet, que foram criados para alertar os usuários sobre apps potencialmente nocivos. A opção "Verificar apps" é ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam apps fora do Google Play. Ferramentas de enraizamento de dispositivos são proibidas no Google Play, mas o recurso "Verificar apps" avisa os usuários quando eles tentam instalar um aplicativo de enraizamento detectado, não importa de onde ele vem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se esse aplicativo já tiver sido instalado, o recurso "Verificar apps" vai notificar o usuário e tentar remover o aplicativo detectado.
- Conforme apropriado, os aplicativos do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos como o Mediaserver.
Agradecimentos
Agradecemos as contribuições dos seguintes pesquisadores:
- ADlab da Venustech: CVE-2017-0630
- Di Shen (@returnsme) do KeenLab (@keen_lab), Tencent: CVE-2016-10287.
- Ecular Xu (徐健) da Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He (@heeeeen4x) e Bo Liu da MS509Team: CVE-2017-0601
- Ethan Yonker do Team Win Recovery Project: CVE-2017-0493
- Gengjia Chen (@chengjia4574) e pjf do IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选 @VirtualSeekers) do Gerenciador de PC do Tencent: CVE-2017-0602
- Güliz Seray Tuncay, da University of Illinois at Urbana-Champaign: CVE-2017-0593
- Hao Chen e Guang Gong da Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li e Qiwu Huang, da Xiaomi Inc.: CVE-2016-10276
- Michał Bednarski: CVE-2017-0598
- Nathan Crandall (@natecray) da equipe de segurança de produtos da Tesla: CVE-2017-0331, CVE-2017-0606
- Niky1235 (@jiych_guru): CVE-2017-0603
- Peng Xiao, Chengming Yang, Ning You, Chao Yang e Yang Song do Grupo de Segurança de Dispositivos Móveis da Alibaba: CVE-2016-10281, CVE-2016-10280
- Roee Hay (@roeehay) da Aleph Research: CVE-2016-10277
- Scott Bauer (@ScottyBauer1): CVE-2016-10274
- Tong Lin, Yuan-Tsung Lo e Xuxian Jiang da Equipe C0RE: CVE-2016-10291
- Vasily Vasiliev: CVE-2017-0589
- V.E.O (@VYSEa) da Equipe de Resposta a Ameaças para dispositivos móveis, Trend Micro: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong, do Departamento de Plataforma de Segurança da Tencent: CVE-2017-0597
- Xingyuan Lin da equipe do 360 Marvel: CVE-2017-0627
- Yong Wang (王勇) (@ThomasKing2014) da Alibaba Inc.: CVE-2017-0588
- Yonggang Guo (@guoygang) do IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Yu Pan da Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan e Peide Zhang da Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
2017-05-01 nível do patch de segurança-detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2017-05-01. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Google atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de notificação. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no Mediaserver
Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor use um arquivo criado especialmente para causar corrupção de memória durante o processamento de arquivos de mídia e dados. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do processo do Mediaserver.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | Crítico | Tudo | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 de janeiro de 2017 |
| CVE-2017-0588 | A-34618607 | Crítico | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 de janeiro de 2017 |
| CVE-2017-0589 | A-34897036 | Crítico | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1º de fevereiro de 2017 |
| CVE-2017-0590 | A-35039946 | Crítico | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 de fevereiro de 2017 |
| CVE-2017-0591 | A-34097672 | Crítico | Tudo | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Uso interno do Google |
| CVE-2017-0592 | A-34970788 | Crítico | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Uso interno do Google |
Vulnerabilidade de elevação de privilégio em APIs do framework
Uma elevação de vulnerabilidade de privilégio nas APIs do framework pode permitir que um aplicativo malicioso local tenha acesso a permissões personalizadas. Esse problema é classificado como Alto porque é um bypass geral para proteções do sistema operacional que isolam dados de aplicativos de outros aplicativos.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 de janeiro de 2017 |
Vulnerabilidade de elevação de privilégio no Mediaserver
Uma elevação de vulnerabilidade de privilégio no Mediaserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como "Alto" porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 de janeiro de 2017 |
| CVE-2017-0595 | A-34705519 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 de janeiro de 2017 |
| CVE-2017-0596 | A-34749392 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 de janeiro de 2017 |
Vulnerabilidade de elevação de privilégios no Audioserver
Uma elevação de vulnerabilidade de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como "Alto" porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 de janeiro de 2017 |
Vulnerabilidade de divulgação de informações em APIs de framework
Uma vulnerabilidade de divulgação de informações nas APIs do framework pode permitir que um aplicativo malicioso local contorne as proteções do sistema operacional que isolam os dados de outros aplicativos. Esse problema tem classificação alta porque pode ser usado para acessar dados a que o aplicativo não tem acesso.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 de janeiro de 2017 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço remota no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como de alta gravidade devido à possibilidade de negação remota de serviço.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 de janeiro de 2017 |
| CVE-2017-0600 | A-35269635 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no Bluetooth
Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um aplicativo malicioso local aceite arquivos nocivos compartilhados por Bluetooth sem a permissão do usuário. Esse problema é classificado como moderado devido ao desvio local de requisitos de interação do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | Moderada | Tudo | 7.0, 7.1.1, 7.1.2 | 9 de fevereiro de 2017 |
Vulnerabilidade de divulgação de informações na Criptografia baseada em arquivos
Uma vulnerabilidade de divulgação de informações na criptografia baseada em arquivos pode permitir que um invasor malicioso local contorne as proteções do sistema operacional para a tela de bloqueio. Esse problema é considerado moderado devido à possibilidade de contornar a tela de bloqueio.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] [3] | Moderada | Tudo | 7.0, 7.1.1 | 9 de novembro de 2016 |
Vulnerabilidade de divulgação de informações no Bluetooth
Uma vulnerabilidade de divulgação de informações no Bluetooth pode permitir que um aplicativo malicioso local contorne as proteções do sistema operacional que isolam os dados de outros aplicativos. Esse problema é classificado como moderado devido a detalhes específicos da vulnerabilidade.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no OpenSSL e BoringSSL
Uma vulnerabilidade de divulgação de informações no OpenSSL e no BoringSSL pode permitir que um invasor remoto tenha acesso a informações sensíveis. Esse problema foi classificado como moderado devido a detalhes específicos da vulnerabilidade.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 de dezembro de 2016 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço no Mediaserver pode permitir que um invasor use um arquivo criado especialmente para causar a suspensão ou reinicialização de um dispositivo. Esse problema é classificado como moderado porque requer uma configuração de dispositivo incomum.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 de fevereiro de 2017 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço remota no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como de baixa gravidade devido a detalhes específicos da vulnerabilidade.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | Baixa | Tudo | 7.0, 7.1.1, 7.1.2 | 16 de fevereiro de 2017 |
2017-05-05 nível do patch de segurança-Detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2017-05-05. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Google atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de notificação. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no GIFLIB
Uma vulnerabilidade de execução remota de código no GIFLIB pode permitir que um invasor use um arquivo criado especialmente para causar corrupção de memória durante o processamento de dados e arquivos de mídia. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do processo do Mediaserver.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | Crítico | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 de abril de 2016 |
Vulnerabilidade de elevação de privilégio no driver de touchscreen MediaTek
Uma vulnerabilidade de elevação de privilégio no driver da tela touch MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
Crítico | Nenhuma** | 16 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no carregador de inicialização da Qualcomm
Uma elevação de vulnerabilidade de privilégio no bootloader da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
Crítico | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13 de setembro de 2016 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
Crítico | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16 de novembro de 2016 |
Elevação da vulnerabilidade de privilégio no subsistema de som do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de som do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 Kernel upstream |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no carregador de inicialização da Motorola
Uma elevação de vulnerabilidade de privilégio no bootloader da Motorola pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do bootloader. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente do dispositivo local, o que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
Crítico | Nexus 6 | 21 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de elevação de privilégio no driver de vídeo NVIDIA
Uma vulnerabilidade de elevação de privilégio no driver de vídeo da NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
Crítico | Nexus 9 | 4 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Elevação de vulnerabilidade de privilégio no driver de energia da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de energia Qualcomm do kernel pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
Crítico | Nenhuma* | 15 de fevereiro de 2017 |
* Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidades em componentes da Qualcomm
Essas vulnerabilidades afetam componentes da Qualcomm e são descritas em mais detalhes nos boletins de segurança da Qualcomm AMSS de agosto, setembro, outubro e dezembro de 2016.
| CVE | Referências | Gravidade* | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
Crítico | Nexus 6P | Qualcomm interno |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Qualcomm interno |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
Alta | Pixel, Pixel XL | Qualcomm interno |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
Alta | Pixel, Pixel XL | Qualcomm interno |
* A classificação de gravidade dessas vulnerabilidades foi determinada pelo fornecedor.
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de execução remota de código no libxml2
Uma vulnerabilidade de execução remota de código no libxml2 pode permitir que um invasor use um arquivo criado especialmente para executar um código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | Alta | Nenhuma** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site para desenvolvedores do Google.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no driver térmico do MediaTek
Uma elevação de vulnerabilidade de privilégio no driver térmico da MediaTek pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
Alta | Nenhuma** | 11 de abril de 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
Alta | Nenhuma** | 11 de abril de 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
Alta | Nenhuma** | 27 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
Alta | Nexus 5X, Pixel, Pixel XL, Android One | 11 de outubro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de vídeo da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 de outubro de 2016 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
Alta | Pixel, Pixel XL | 19 de dezembro de 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
Alta | Pixel, Pixel XL | 15 de fevereiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de elevação de privilégio no subsistema de desempenho do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de desempenho do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 Kernel upstream |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23 de novembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de som da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20 de dezembro de 2016 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3 de janeiro de 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
Alta | Pixel, Pixel XL | 22 de janeiro de 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
Alta | Nenhuma* | 15 de fevereiro de 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
Alta | Pixel, Pixel XL | 15 de fevereiro de 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
Alta | Nenhuma* | 15 de fevereiro de 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
Alta | Nenhuma* | 15 de fevereiro de 2017 |
* Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no driver LED da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de LED da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
Alta | Pixel, Pixel XL | 23 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de criptografia da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de criptografia da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de memória compartilhada da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de memória compartilhada da Qualcomm poderia permitir que um aplicativo malicioso local executasse um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver do Qualcomm Slimbus.
Uma elevação de vulnerabilidade de privilégio no driver Slimbus da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31 de dezembro de 2016 |
Elevação de vulnerabilidade de privilégio no driver ADSPRPC da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver ADSPRPC da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5 de janeiro de 2017 |
Elevação de vulnerabilidade de privilégio no driver do Qualcomm Secure Execution Environment Communicator
Uma vulnerabilidade de elevação de privilégio no driver do Communicator do ambiente de execução seguro da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
Alta | Pixel, Pixel XL | 10 de janeiro de 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
Elevação de vulnerabilidade de privilégio no driver de energia do MediaTek
Uma elevação de vulnerabilidade de privilégio no driver de energia do MediaTek pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
Alta | Nenhuma** | 12 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no driver de interrupção de gerenciamento do sistema MediaTek
Uma elevação de vulnerabilidade de privilégio no driver de interrupção de gerenciamento do sistema MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
Alta | Nenhuma** | 19 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de vídeo MediaTek
Uma elevação de vulnerabilidade de privilégio no driver de vídeo MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
Alta | Nenhuma** | 19 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de fila de comandos da MediaTek
Uma elevação de vulnerabilidade de privilégio no driver da fila de comandos da MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
Alta | Nenhuma** | 7 de fevereiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver do controlador de pino da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver do controlador de pino da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
Alta | Nexus 6, Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no driver do gerenciador de canal seguro da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver do Gerenciador de canal seguro da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no driver do codec de som Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver do codec de som da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
Alta | Pixel, Pixel XL | 15 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no driver do regulador de tensão do kernel
Uma elevação de vulnerabilidade de privilégio no driver do regulador de tensão do kernel pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 Kernel upstream |
Alta | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no driver da câmera Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver da câmera Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
Alta | Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no driver de rede Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de rede da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
Alta | Nexus 5X, Pixel, Pixel XL | 15 de fevereiro de 2017 |
Vulnerabilidade de elevação de privilégio no subsistema de rede do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de rede do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 Kernel upstream [2] |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | 23 de março de 2017 |
Elevação de vulnerabilidade de privilégio no driver de tela sensível ao toque da Goodix
Uma elevação de vulnerabilidade de privilégio no driver da tela sensível ao toque da Goodix pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
Alta | Android One | Uso interno do Google |
Vulnerabilidade de elevação de privilégio no bootloader do HTC
Uma elevação de vulnerabilidade de privilégio no bootloader do HTC pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do bootloader. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
Alta | Pixel, Pixel XL | Interno do Google |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver de Wi-Fi da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
Alta | Nexus 5X, Pixel, Pixel XL | 16 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver da fila de comandos do MediaTek
Uma vulnerabilidade de divulgação de informações no driver da fila de comandos da MediaTek poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
Alta | Nenhuma** | 8 de fevereiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de divulgação de informações no driver do mecanismo criptográfico da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver do mecanismo de criptografia da Qualcomm poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de negação de serviço no driver do Wi-Fi da Qualcomm
Uma vulnerabilidade de negação de serviço no driver de Wi-Fi da Qualcomm pode permitir que um invasor próximo cause uma negação de serviço no subsistema de Wi-Fi. Esse problema é classificado como alto devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
Alta | Nexus 5X, Pixel, Pixel XL | 16 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver UVC do kernel
Uma vulnerabilidade de divulgação de informações no driver UVC do kernel pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
Moderada | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver de vídeo da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de vídeo da Qualcomm poderia permitir que um aplicativo malicioso local acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
Moderada | Nexus 5X, Nexus 6P, Android One | 4 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no driver de energia da Qualcomm (específico do dispositivo)
Uma vulnerabilidade de divulgação de informações no driver de energia da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
Moderada | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 14 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no driver de LED da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de LED da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
Moderada | Pixel, Pixel XL | 20 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no driver de memória compartilhada da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de memória compartilhada da Qualcomm poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
Moderada | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 22 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no driver da câmera Qualcomm
Uma vulnerabilidade de divulgação de informações no driver da câmera da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
Moderada | Nexus 5X, Nexus 6, Pixel, Pixel XL | 10 de janeiro de 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
Moderada | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8 de fevereiro de 2017 |
Vulnerabilidade de divulgação de informações no subsistema de rastreamento do kernel
Uma vulnerabilidade de divulgação de informações no subsistema de rastreamento do kernel pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
Moderada | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver do codec de som Qualcomm
Uma vulnerabilidade de divulgação de informações no driver do codec de som da Qualcomm poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
Moderada | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de divulgação de informações no driver da câmera Qualcomm
Uma vulnerabilidade de divulgação de informações no driver da câmera da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
Moderada | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de divulgação de informações no driver de som da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de som da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
Moderada | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de divulgação de informações no driver SPCom da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver SPCom da Qualcomm poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
Moderada | Nenhuma* | 15 de fevereiro de 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
Moderada | Nenhuma* | 15 de fevereiro de 2017 |
* Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de divulgação de informações no driver do codec de som da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver do codec de som da Qualcomm poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
Moderada | Android One | 15 de fevereiro de 2017 |
Vulnerabilidade de divulgação de informações no driver de Wi-Fi da Broadcom
Uma vulnerabilidade de divulgação de informações no driver de Wi-Fi da Broadcom pode permitir que um componente malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
Moderada | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 23 de fevereiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver da tela touchscreen Synaptics
Uma vulnerabilidade de divulgação de informações no driver da tela touchscreen da Synaptics permite que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
Moderada | Pixel, Pixel XL | Uso interno do Google |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidades em componentes da Qualcomm
Essas vulnerabilidades que afetam os componentes da Qualcomm foram lançadas como parte dos boletins de segurança da Qualcomm AMSS entre 2014 e 2016. Elas estão incluídas neste boletim de segurança do Android para associar as correções a um nível do patch de segurança do Android.
| CVE | Referências | Gravidade* | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9924 | A-35434631** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9925 | A-35444657** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9926 | A-35433784** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9927 | A-35433785** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9928 | A-35438623** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9930 | A-35432946** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2015-9005 | A-36393500** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2015-9006 | A-36393450** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2015-9007 | A-36393700** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2016-10297 | A-36393451** | Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2014-9941 | A-36385125** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9942 | A-36385319** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9943 | A-36385219** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9944 | A-36384534** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9945 | A-36386912** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9946 | A-36385281** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9947 | A-36392400** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9948 | A-36385126** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9949 | A-36390608** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9950 | A-36385321** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9951 | A-36389161** | Alta | Nenhuma*** | Qualcomm interno |
| CVE-2014-9952 | A-36387019** | Alta | Nenhuma*** | Qualcomm interno |
* A classificação de gravidade dessas vulnerabilidades foi determinada pelo fornecedor.
** O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
*** Dispositivos Google com suporte no Android 7.1.1 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, leia as instruções na programação de atualizações do Pixel e do Nexus.
- Os níveis de patch de segurança de 2017-05-01 ou mais recentes resolvem todos os problemas associados ao nível de patch de segurança 2017-05-01.
- Os níveis do patch de segurança de 2017-05-05 ou mais recentes resolvem todos os problemas associados ao nível do patch de segurança 2017-05-05 e todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros do Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android com mais rapidez. Recomendamos que os parceiros do Android corrijam todos os problemas deste boletim e usem o nível mais recente do patch de segurança.
- Os dispositivos que usam o nível do patch de segurança de 1º de maio de 2017 precisam incluir todos os problemas associados a esse nível, além de correções para todos os problemas informados em boletins de segurança anteriores.
- Os dispositivos que usam o nível de patch de segurança de 5 de maio de 2017 ou mais recente precisam incluir todos os patches aplicáveis nestes e nos boletins de segurança anteriores.
Recomendamos que os parceiros agrupem as correções de todos os problemas que estão resolvendo em uma única atualização.
3. Como determinar quais dispositivos do Google são afetados por cada problema?
Nas seções de detalhes da vulnerabilidade de segurança 2017-05-01 e 2017-05-05, cada tabela tem uma coluna Dispositivos Google atualizados que abrange o intervalo de dispositivos Google afetados atualizados para cada problema. Essa coluna tem algumas opções:
- Todos os dispositivos Google: se um problema afetar todos os dispositivos e os dispositivos Pixel, a tabela vai mostrar "Todos" na coluna Dispositivos Google atualizados. "Todos" inclui os seguintes dispositivos compatíveis: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel e Pixel XL.
- Alguns dispositivos Google: se um problema não afetar todos os dispositivos Google, os dispositivos afetados serão listados na coluna Dispositivos Google atualizados.
- Nenhum dispositivo Google: se nenhum dispositivo Google com Android 7.0 for afetado pelo problema, a tabela terá "Nenhum" na coluna Dispositivos Google atualizados.
4. Para que as entradas na coluna de referências são mapeadas?
As entradas na coluna References da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence. Esses prefixos são mapeados da seguinte maneira:
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| QC- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência da NVIDIA |
| B- | Número de referência da Broadcom |
Revisões
- 1º de maio de 2017: boletim publicado.
- 2 de maio de 2017: o boletim foi revisado para incluir links do AOSP.
- 10 de agosto de 2017: o boletim foi revisado para incluir outro link do AOSP para CVE-2017-0493.
- 17 de agosto de 2017: o boletim foi revisado para atualizar os números de referência.
- 3 de outubro de 2017: o boletim foi revisado para remover a CVE-2017-0605.