Biuletyn dotyczący bezpieczeństwa Androida — luty 2017 r

Opublikowano 06 lutego 2017 | Zaktualizowano 8 lutego 2017 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego urządzeń Google zostały także udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 5 lutego 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 03 stycznia 2017 roku lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2017-02-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z datą 2017-02-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń) zostały rozwiązane.
    • 2017-02-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-02-01 i 2017-02-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Google otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 lutego 2017 r.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

Chcielibyśmy także podziękować następującym osobom za ich wkład w powstanie niniejszego biuletynu:

  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) i Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室)

Poziom poprawki zabezpieczeń 2017-02-01 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-02-01. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Surfaceflingerze

Luka w zabezpieczeniach Surfaceflingera umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Surfaceflinger.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0405 A-31960359 Krytyczny Wszystko 7.0, 7.1.1 4 października 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserverze

Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0406 A-32915871 [ 2 ] Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 14 listopada 2016 r
CVE-2017-0407 A-32873375 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 12 listopada 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libgdx

Luka w bibliotece libgdx umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0408 A-32769670 Wysoki Wszystko 7.1.1 9 listopada 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libstagefright

Luka w libstagefright umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0409 A-31999646 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach związanej z podniesieniem uprawnień w Java.Net

Podniesienie uprawnień w bibliotece Java.Net może umożliwić złośliwej zawartości internetowej przekierowanie użytkownika do innej witryny internetowej bez wyraźnego pozwolenia. Ten problem ma ocenę Wysoki, ponieważ stanowi zdalne obejście wymagań dotyczących interakcji użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-5552 A-31858037 Wysoki Wszystko 7.0, 7.1.1 30 września 2016 r

Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework

Luka w interfejsach API platformy Framework umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0410 A-31929765 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 października 2016 r
CVE-2017-0411 A-33042690 [ 2 ] Wysoki Wszystko 7.0, 7.1.1 21 listopada 2016 r
CVE-2017-0412 A-33039926 [ 2 ] Wysoki Wszystko 7.0, 7.1.1 21 listopada 2016 r

Zwiększenie luki w zabezpieczeniach serwera multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0415 A-32706020 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 4 listopada 2016 r

Podniesienie luki w uprawnieniach w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0416 A-32886609 [ 2 ] Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google
CVE-2017-0417 A-32705438 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 listopada 2016 r
CVE-2017-0418 A-32703959 [ 2 ] Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 listopada 2016 r
CVE-2017-0419 A-32220769 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 października 2016 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w poczcie AOSP

Luka w zabezpieczeniach poczty AOSP umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych, do których aplikacja nie ma dostępu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0420 A-32615212 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 września 2016 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w programie AOSP Messaging

Luka w zabezpieczeniach AOSP Messaging umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych, do których aplikacja nie ma dostępu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0413 A-32161610 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 13 października 2016 r
CVE-2017-0414 A-32807795 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 10 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w interfejsach API platformy Framework

Luka w interfejsach API platformy Framework umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych, do których aplikacja nie ma dostępu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0421 A-32555637 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w Bionic DNS

Luka w zabezpieczeniach Bionic DNS umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu wykorzystanie specjalnie spreparowanego pakietu sieciowego w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0422 A-32322088 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 października 2016 r

Podniesienie luki w uprawnieniach w Bluetooth

Luka w zabezpieczeniach Bluetooth umożliwiająca podniesienie uprawnień może umożliwić bezpośredniemu atakującemu zarządzanie dostępem do dokumentów na urządzeniu. Ten problem został oceniony jako umiarkowany, ponieważ wymaga najpierw wykorzystania osobnej luki w stosie Bluetooth.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0423 A-32612586 Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 listopada 2016 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w programie AOSP Messaging

Luka w zabezpieczeniach AOSP Messaging umożliwiająca ujawnienie informacji może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku uzyskanie dostępu do danych poza jego poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ stanowi ogólne obejście dogłębnej ochrony na poziomie użytkownika lub technologii ograniczania ryzyka wykorzystania luk w uprzywilejowanym procesie.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0424 A-32322450 Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 20 października 2016 r

Luka umożliwiająca ujawnienie informacji w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0425 A-32720785 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w systemie plików

Luka w systemie plików umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0426 A-32799236 [ 2 ] Umiarkowany Wszystko 7.0, 7.1.1 Wewnętrzne Google

Poziom poprawki zabezpieczeń 2017-02-05 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-02-05. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w sterowniku kryptograficznym Qualcomm

Luka w sterowniku kryptograficznym Qualcomm umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście jądra.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8418 A-32652894
QC-CR#1077457
Krytyczny Nic* 10 października 2016 r

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach systemu plików jądra

Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0427 A-31495866* Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA

Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
Krytyczny Nexusa 9 25 października 2016 r
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
Krytyczny Nexusa 9 3 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach podsystemu sieciowego jądra

Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-9914 A-32882659
Jądro nadrzędne
Krytyczny Nexus 6, Nexus Player 9 listopada 2016 r

Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0430 A-32838767*
B-RB#107459
Krytyczny Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luki w komponentach Qualcomm

Następująca luka dotyczy komponentów Qualcomm i została opisana bardziej szczegółowo w biuletynie bezpieczeństwa Qualcomm AMSS z września 2016 r.

CVE Bibliografia Powaga* Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0431 A-32573899** Krytyczny Nic*** Wewnętrzne Qualcomma

* Stopień ważności tych luk został określony przez dostawcę.

** Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

*** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika MediaTek

Luka w sterowniku MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0432 A-28332719*
M-ALPS02708925
Wysoki Nic** 21 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics

Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście chipsetu ekranu dotykowego. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0433 A-31913571* Wysoki Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 września 2016 r
CVE-2017-0434 A-33001936* Wysoki Piksel, piksel XL 18 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Secure Execution Environment Communicator

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w napędzie Qualcomm Secure Execution Environment Communicator może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8480 A-31804432
QC-CR#1086186 [ 2 ]
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 września 2016 r

Zwiększenie luki w zabezpieczeniach sterownika dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8481 A-31906415*
QC-CR#1078000
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 października 2016 r
CVE-2017-0435 A-31906657*
QC-CR#1078000
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 października 2016 r
CVE-2017-0436 A-32624661*
QC-CR#1078000
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0437 A-32402310
QC-CR#1092497
Wysoki Nexus 5X, Pixel, Pixel XL 25 października 2016 r
CVE-2017-0438 A-32402604
QC-CR#1092497
Wysoki Nexus 5X, Pixel, Pixel XL 25 października 2016 r
CVE-2017-0439 A-32450647
QC-CR#1092059
Wysoki Nexus 5X, Pixel, Pixel XL 25 października 2016 r
CVE-2016-8419 A-32454494
QC-CR#1087209
Wysoki Nexus 5X, Pixel, Pixel XL 26 października 2016 r
CVE-2016-8420 A-32451171
QC-CR#1087807
Wysoki Nexus 5X, Pixel, Pixel XL 26 października 2016 r
CVE-2016-8421 A-32451104
QC-CR#1087797
Wysoki Nexus 5X, Pixel, Pixel XL 26 października 2016 r
CVE-2017-0440 A-33252788
QC-CR#1095770
Wysoki Nexus 5X, Pixel, Pixel XL 11 listopada 2016 r
CVE-2017-0441 A-32872662
QC-CR#1095009
Wysoki Nexus 5X, Pixel, Pixel XL 11 listopada 2016 r
CVE-2017-0442 A-32871330
QC-CR#1092497
Wysoki Nexus 5X, Pixel, Pixel XL 13 listopada 2016 r
CVE-2017-0443 A-32877494
QC-CR#1092497
Wysoki Nexus 5X, Pixel, Pixel XL 13 listopada 2016 r
CVE-2016-8476 A-32879283
QC-CR#1091940
Wysoki Nexus 5X, Pixel, Pixel XL 14 listopada 2016 r

Zwiększenie luki w zabezpieczeniach sterownika dźwięku Realtek

Luka w sterowniku dźwięku Realtek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0444 A-32705232* Wysoki Nexusa 9 7 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego HTC

Luka w zabezpieczeniach sterownika ekranu dotykowego HTC umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0445 A-32769717* Wysoki Piksel, piksel XL 9 listopada 2016 r
CVE-2017-0446 A-32917445* Wysoki Piksel, piksel XL 15 listopada 2016 r
CVE-2017-0447 A-32919560* Wysoki Piksel, piksel XL 15 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA

Luka w sterowniku wideo NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
Wysoki Nexusa 9 7 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest ograniczany przez bieżącą konfigurację platformy.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0449 A-31707909*
B-RB#32094
Umiarkowany Nexusa 6, Nexusa 6P 23 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Podniesienie luki w uprawnieniach w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ łagodzi go bieżąca konfiguracja platformy.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0450 A-32917432* Umiarkowany Nexusa 9 15 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach systemu plików jądra

Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń zapobiegających eskalacji uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ stanowi ogólne obejście dogłębnej ochrony na poziomie użytkownika lub technologii ograniczania exploitów.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10044 A-31711619* Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w komunikatorze Qualcomm Secure Execution Environment Communicator

Luka w zabezpieczeniach Qualcomm Secure Execution Environment Communicator umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8414 A-31704078
QC-CR#1076407
Umiarkowany Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 września 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0451 A-31796345
QC-CR#1073129 [ 2 ]
Umiarkowany Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 27 września 2016 r

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

  • Poziomy poprawek zabezpieczeń z dnia 2017-02-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-02-01.
  • Poziomy poprawek zabezpieczeń z dnia 2017-02-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-02-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 lutego 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z poprawki zabezpieczeń z dnia 5 lutego 2017 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Jak ustalić, których urządzeń Google dotyczy dany problem?

W sekcjach ze szczegółami dotyczącymi luki w zabezpieczeniach z dnia 2017-02-01 i 2017-02-05 każda tabela zawiera kolumnę Zaktualizowane urządzenia Google , która obejmuje zakres urządzeń Google, których dotyczy problem, zaktualizowanych pod kątem każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Google : jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w kolumnie Zaktualizowane urządzenia Google w tabeli będzie widoczna wartość „Wszystkie”. „Wszystkie” oznacza następujące obsługiwane urządzenia : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
  • Niektóre urządzenia Google : jeśli problem nie dotyczy wszystkich urządzeń Google, urządzenia Google, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Google .
  • Brak urządzeń Google : jeśli problem nie dotyczy żadnego urządzenia Google z systemem Android 7.0, w kolumnie Zaktualizowane urządzenia Google w tabeli będzie widoczna informacja „Brak”.

4. Do czego odnoszą się wpisy w kolumnie referencje?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiksy są mapowane w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

Wersje

  • 06 lutego 2017: Biuletyn opublikowany.
  • 8 lutego 2017 r.: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.