Опубликовано 7 ноября 2016 г. | Обновлено 21 декабря 2016 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 6 ноября 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Мы сообщили партнерам о проблемах 20 октября 2016 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак описывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Объявления
- После появления Pixel и Pixel XL все устройства, поддерживаемые Google, обозначаются как "устройства Google" (вместо ранее используемого термина "устройства Nexus").
- Мы включили в этот бюллетень сведения о трех обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2016-11-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-11-01 и более ранние.
- 2016-11-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2016-11-01 и 2016-11-05, а также более ранние.
- Дополнительные обновления системы безопасности
Дополнительные обновления системы безопасности служат для определения устройств с исправленными проблемами, информация о которых была опубликована после выпуска обновления. Исправление таких уязвимостей необязательно до обновления системы безопасности уровня 2016-12-01.
- 2016-11-06: обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-11-05, а также уязвимость CVE-2016-5195, опубликованная 19 октября 2016 г.
- На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 ноября 2016 года.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех устройствах с мобильными сервисами Google. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-6722.
- Андрей Капишников и Мириам Гершенсон из Google: CVE-2016-6703.
- Ао Ван (@ArayzSegment) и Цзыно Хань из PKAV, Silence Information Technology: CVE-2016-6700, CVE-2016-6702.
- Askyshang из отдела безопасности платформы, Tencent: CVE-2016-6713.
- Билли Лау из команды безопасности Android: CVE-2016-6737.
- Константинос Патсакис и Ефимиос Алепис из Пирейского университета: CVE-2016-6715.
- dragonltx из команды Alibaba Mobile Security: CVE-2016-6714.
- Гэл Бениамини из Project Zero: CVE-2016-6707, CVE-2016-6717.
- Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906.
- Гуан Гун (龚广) (@oldfresher) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-6754.
- Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698.
- Марко Грасси (@marcograss) из KeenLab, Tencent (@keen_lab): CVE-2016-6828.
- Марк Бренд из Project Zero: CVE-2016-6706.
- Марк Ренуф из Google: CVE-2016-6724.
- Михал Беднарский (github.com/michalbednarski): CVE-2016-6710.
- Минь Чун из команды безопасности Android: CVE-2016-6743.
- Питер Пи (@heisecode) из Trend Micro: CVE-2016-6721.
- Цидань Хэ (何淇丹) (@flanker_hqd) и Гэнмин Лю (刘耕铭) (@dmxcsnsbh) из KeenLab, Tencent: CVE-2016-6705.
- Робин Ли из Google: CVE-2016-6708.
- Скотт Бауэр (@ScottyBauer1): CVE-2016-6751.
- Сергей Бобров (@Black2Fan) из Лаборатории Касперского: CVE-2016-6716.
- Севен Шэнь (@lingtongshen) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753.
- Виктор ван дер Вен, Херберт Бос, Кавэ Разави и Криштиану Джуффрида из Амстердамского свободного университета; Яник Фратантонио, Мартина Линдорфер и Джованни Винья из Калифорнийского университета в Санта-Барбаре: CVE-2016-6728.
- Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-6712, CVE-2016-6699, CVE-2016-6711.
- Вэнькэ Доу (vancouverdou@gmail.com), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-6720.
- Виш У (吴潍浠) (@wish_wu) из Trend Micro Inc.: CVE-2016-6704.
- Яков Шафранович из Nightwatch Cybersecurity: CVE-2016-6723.
- Юань-Цун Ло, Яо Цзюнь, Тун Линь, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736.
- Юань-Цун Ло, Яо Цзюнь, Сяодун Ван, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746.
Отдельная благодарность Заку Ригглу из команды безопасности Android за помощь в устранении нескольких уязвимостей из этого бюллетеня.
Описание уязвимостей (обновление системы безопасности 2016-11-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-11-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через mediaserver
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6699 | A-31373622 | Критический | Все | 7.0 | 27 июля 2016 г. |
Повышение привилегий через libzipfile
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6700 | A-30916186 | Критический | Нет* | 4.4.4, 5.0.2, 5.1.1 | 17 августа 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Удаленное выполнение кода через Skia
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса галереи.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6701 | A-30190637 | Высокий | Все | 7.0 | Доступно только сотрудникам Google |
Удаленное выполнение кода через libjpeg
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6702 | A-30259087 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1 | 19 июля 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Удаленное выполнение кода через Android Runtime
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданных данных. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту среду выполнения.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6703 | A-30765246 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6704 | A-30229821 [2] [3] | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 июля 2016 г. |
| CVE-2016-6705 | A-30907212 [2] | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 августа 2016 г. |
| CVE-2016-6706 | A-31385713 | Высокий | Все | 7.0 | 8 сентября 2016 г. |
Повышение привилегий через System Server
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6707 | A-31350622 | Высокий | Все | 6.0, 6.0.1, 7.0 | 7 сентября 2016 г. |
Повышение привилегий через System UI
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту рабочих профилей в многооконном режиме. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем либо изменения настроек безопасности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6708 | A-30693465 | Высокий | Все | 7.0 | Доступно только сотрудникам Google |
Раскрытие информации через Conscrypt
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации приложений, которые используют устаревший API шифрования. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6709 | A-31081987 | Высокий | Все | 6.0, 6.0.1, 7.0 | 9 октября 2015 г. |
Раскрытие информации через диспетчер загрузки
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6710 | A-30537115 [2] | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 июля 2016 г. |
Отказ в обслуживании в Bluetooth
Уязвимость позволяет находящемуся поблизости злоумышленнику заблокировать доступ по Bluetooth к пораженному устройству. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2014-9908 | A-28672558 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1 | 5 мая 2014 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Отказ в обслуживании в OpenJDK
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2015-0410 | A-30703445 | Высокий | Все | 7.0 | 16 января 2015 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6711 | A-30593765 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 августа 2016 г. |
| CVE-2016-6712 | A-30593752 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 августа 2016 г. |
| CVE-2016-6713 | A-30822755 | Высокий | Все | 6.0, 6.0.1, 7.0 | 11 августа 2016 г. |
| CVE-2016-6714 | A-31092462 | Высокий | Все | 6.0, 6.0.1, 7.0 | 22 августа 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.
Повышение привилегий через Framework API
Уязвимость позволяет локальному вредоносному ПО записывать аудио без разрешения пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти требования к взаимодействию с пользователем (связанные с получением доступа к функциям, которые обычно должны быть разрешены или запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6715 | A-29833954 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 июня 2016 г. |
Повышение привилегий через AOSP Launcher
Уязвимость позволяет локальному вредоносному ПО создавать ярлыки с повышенными привилегиями без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6716 | A-30778130 | Средний | Все | 7.0 | 5 августа 2016 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует эксплуатации другой уязвимости.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6717 | A-31350239 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 7 сентября 2016 г. |
Повышение привилегий через сервис управления аккаунтами
Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальной информации без взаимодействия с пользователем. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6718 | A-30455516 | Средний | Все | 7.0 | Доступно только сотрудникам Google |
Повышение привилегий через Bluetooth
Уязвимость позволяет локальному вредоносному ПО связываться с любыми устройствами Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6719 | A-29043989 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Доступно только сотрудникам Google |
Раскрытие информации через mediaserver
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6720 | A-29422020 [2] [3] [4] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 июня 2016 г. |
| CVE-2016-6721 | A-30875060 | Средний | Все | 6.0, 6.0.1, 7.0 | 13 августа 2016 г. |
| CVE-2016-6722 | A-31091777 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 августа 2016 г. |
Отказ в обслуживании в автоконфигурации прокси-сервера
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку она возникает на устройствах с нестандартной конфигурацией.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6723 | A-30100884 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 июля 2016 г. |
Отказ в обслуживании в сервисе управления вводом
Уязвимость позволяет локальному вредоносному ПО вызывать бесконечную цепочку перезагрузок устройства. Ей присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании, который устраняется сбросом настроек устройства.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6724 | A-30568284 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Доступно только сотрудникам Google |
Описание уязвимостей (обновление системы безопасности 2016-11-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-11-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через драйвер шифрования Qualcomm
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6725 | A-30515053 QC-CR#1050970 |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 июля 2016 г. |
Повышение привилегий через файловую систему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8961 | A-30952474
Upstream kernel |
Критический | Pixel, Pixel XL | 18 октября 2015 г. |
| CVE-2016-7911 | A-30946378
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 1 июля 2016 г. |
| CVE-2016-7910 | A-30942273
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 29 июля 2016 г. |
Повышение привилегий через SCSI-драйвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8962 | A-30951599
Upstream kernel |
Критический | Pixel, Pixel XL | 30 октября 2015 г. |
Повышение привилегий через медиадрайвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-7913 | A-30946097
Upstream kernel |
Критический | Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL | 28 января 2016 г. |
Повышение привилегий через USB-драйвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-7912 | A-30950866
Upstream kernel |
Критический | Pixel C, Pixel, Pixel XL | 14 апреля 2016 г. |
Повышение привилегий через подсистему ION ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6728 | A-30400942* | Критический | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 25 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через загрузчик Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6729 | A-30977990*
QC-CR#977684 |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6730 | A-30904789* N-CVE-2016-6730 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6731 | A-30906023* N-CVE-2016-6731 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6732 | A-30906599* N-CVE-2016-6732 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6733 | A-30906694* N-CVE-2016-6733 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6734 | A-30907120* N-CVE-2016-6734 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6735 | A-30907701* N-CVE-2016-6735 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6736 | A-30953284* N-CVE-2016-6736 |
Критический | Pixel C | 18 августа 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через сетевую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6828 | A-31183296
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 августа 2016 г. |
Повышение привилегий через звуковую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2184 | A-30952477
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 31 марта 2016 г. |
Повышение привилегий через подсистему ION ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6737 | A-30928456* | Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Уязвимости в компонентах Qualcomm
В таблице ниже перечислены уязвимости системы безопасности, затрагивающие компоненты Qualcomm, которые детально описаны в бюллетене по безопасности Qualcomm AMSS за июнь 2016 года и в оповещении системы безопасности 80-NV606-17.
| CVE | Ссылки | Уровень серьезности* | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6727 | A-31092400** | Критический | Android One | Доступно только сотрудникам Qualcomm |
| CVE-2016-6726 | A-30775830** | Высокий | Nexus 6, Android One | Доступно только сотрудникам Qualcomm |
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Удаленное выполнение кода через Expat
В таблице ниже перечислены уязвимости, затрагивающие библиотеку Expat. Самая серьезная из них – повышение привилегий через синтаксический анализатор Expat для XML-файлов. Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует библиотеку Expat.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-0718 | A-28698301 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 мая 2016 г. |
| CVE-2012-6702 | A-29149404 | Средний | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 марта 2016 г. |
| CVE-2016-5300 | A-29149404 | Средний | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 июня 2016 г. |
| CVE-2015-1283 | A-27818751 | Низкий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 июля 2015 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.
Удаленное выполнение кода через Webview
Уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте непривилегированного процесса, когда пользователь посещает сайт. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6754 | A-31217937 | Высокий | Нет* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 августа 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.
Удаленное выполнение кода через Freetype
Уязвимость позволяет злоумышленнику загрузить специально созданный шрифт, чтобы нарушить целостность информации в памяти непривилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2014-9675 | A-24296662 [2] | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Повышение привилегий через подсистему производительности ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8963 | A-30952077
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 15 декабря 2015 г. |
Повышение привилегий через подсистему аудита системных вызовов
Уязвимость позволяет локальному вредоносному ПО нарушить работу аудита системных вызовов в ядре. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня ядра и аналогичные технологии защиты.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6136 | A-30956807
Upstream kernel |
Высокий | Android One, Pixel C, Nexus Player | 1 июля 2016 г. |
Повышение привилегий через драйвер шифрования Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6738 | A-30034511
QC-CR#1050538 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 июля 2016 г. |
Повышение привилегий через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6739 | A-30074605* QC-CR#1049826 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 11 июля 2016 г. |
| CVE-2016-6740 | A-30143904
QC-CR#1056307 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 июля 2016 г. |
| CVE-2016-6741 | A-30559423
QC-CR#1060554 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер шины Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3904 | A-30311977
QC-CR#1050455 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 июля 2016 г. |
Повышение привилегий через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6742 | A-30799828* | Высокий | Nexus 5X, Android One | 9 августа 2016 г. |
| CVE-2016-6744 | A-30970485* | Высокий | Nexus 5X | 19 августа 2016 г. |
| CVE-2016-6745 | A-31252388* | Высокий | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 1 сентября 2016 г. |
| CVE-2016-6743 | A-30937462* | Высокий | Nexus 9, Android One | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Раскрытие информации через компоненты ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8964 | A-30951112
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 ноября 2015 г. |
| CVE-2016-7915 | A-30951261
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 19 января 2016 г. |
| CVE-2016-7914 | A-30513364
Upstream kernel |
Высокий | Pixel C, Pixel, Pixel XL | 6 апреля 2016 г. |
| CVE-2016-7916 | A-30951939
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 мая 2016 г. |
Раскрытие информации через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6746 | A-30955105* N-CVE-2016-6746 |
Высокий | Pixel C | 18 августа 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6747 | A-31244612* N-CVE-2016-6747 |
Высокий | Nexus 9 | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Раскрытие информации через компоненты ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-7917 | A-30947055
Upstream kernel |
Средний | Pixel C, Pixel, Pixel XL | 2 февраля 2016 г. |
| CVE-2016-6753 | A-30149174* | Средний | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 13 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Раскрытие информации через компоненты Qualcomm
Уязвимость в компонентах Qualcomm (в том числе в драйвере графического процессора, драйвере питания, SMSM-драйвере сети вида "точка-точка" и аудиодрайвере) позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6748 | A-30076504
QC-CR#987018 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 июля 2016 г. |
| CVE-2016-6749 | A-30228438
QC-CR#1052818 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 июля 2016 г. |
| CVE-2016-6750 | A-30312054
QC-CR#1052825 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 июля 2016 г. |
| CVE-2016-3906 | A-30445973
QC-CR#1054344 |
Средний | Nexus 5X, Nexus 6P | 27 июля 2016 г. |
| CVE-2016-3907 | A-30593266
QC-CR#1054352 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 августа 2016 г. |
| CVE-2016-6698 | A-30741851
QC-CR#1058826 |
Средний | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 2 августа 2016 г. |
| CVE-2016-6751 | A-30902162* QC-CR#1062271 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 15 августа 2016 г. |
| CVE-2016-6752 | A-31498159
QC-CR#987051 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Описание уязвимостей (обновление системы безопасности 2016-11-06)
В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Повышение привилегий через подсистему памяти ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
Примечание. В исправлении от 6 ноября 2016 года эта уязвимость устранена, как и все проблемы уровней 2016-11-01 и 2016-11-05.
| CVE | Ссылки | Уровень серьезности | Обновленные версии ядра | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5195 | A-32141528 Upstream kernel [2] |
Критический | 3.10, 3.18 | 12 октября 2016 г. |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
- В исправлении от 1 ноября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-11-01.
- В исправлении от 5 ноября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-11-05.
- В исправлении от 6 ноября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-11-06.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06]
2. Почему в этом бюллетене говорится о трех обновлениях системы безопасности?
Мы включили в этот бюллетень сведения о трех обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
- На устройствах с установленным обновлением от 1 ноября 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
- На устройствах с установленным обновлением от 5 ноября 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
- На устройствах с установленным обновлением от 6 ноября 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Как определить, на каких устройствах Google присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2016-11-01, 2016-11-05 и 2016-11-06 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Google.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
Версии
- 7 ноября 2016 года. Бюллетень опубликован.
- 8 ноября 2016 года. Добавлены ссылки на AOSP и обновлено описание для CVE-2016-6709.
- 17 ноября 2016 года. Добавлена атрибуция уязвимости CVE-2016-6828.
- 21 декабря 2016 года. Обновлен раздел благодарностей.