Опубликован 3 января 2017 г. | Обновлен 2 февраля 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все перечисленные здесь проблемы устранены в исправлении от 5 января 2017 года и более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Мы сообщили партнерам об уязвимостях 5 декабря 2016 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них и на исправления вне AOSP есть в этом бюллетене.
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на устройстве, где идет обработка медиафайлов. Например, это может быть при просмотре сайтов в интернете и работе с электронной почтой и MMS. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или злоумышленник их обойдет.
У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Объявления
- Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-01-01: частичное исправление системы безопасности, в котором устранены все уязвимости уровня 2017-01-01 и более ранние.
- 2017-01-05: полное исправление системы безопасности, в котором устранены все уязвимости уровней 2017-01-01 и 2017-01-05, а также более ранние.
- На поддерживаемые устройства Google будет установлено единое беспроводное обновление системы безопасности от 5 января 2017 года.
Перечень уязвимостей
В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Александру Бланда: CVE-2017-0390.
- Дэниел Микей из Copperhead Security: CVE-2017-0397.
- Дасин Го (@freener0) из Xuanwu Lab, Tencent: CVE-2017-0386.
- derrek (@derrekr6): CVE-2017-0392.
- Ди Шэнь (@returnsme) из Keen Lab (@keen_lab), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403.
- donfos (Аравинд Мачири) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472.
- Энь Хэ (@heeeeen4x) из MS509Team: CVE-2017-0394.
- Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464.
- Команда Google WebM: CVE-2017-0393.
- Гуан Гун (龚广) (@oldfresher) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0387.
- Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465.
- Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360: CVE-2016-8475.
- Джон Сойер (@jcase) и Шон Бопре (@firewaterdevs): CVE-2016-8462.
- Джон Сойер (@jcase), Шон Бопре (@firewaterdevs) и Бен Актис (@Ben_RA): CVE-2016-8461.
- Минцзянь Чжоу (@Mingjian_Zhou), Юйци Лу (@nikos233), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0383.
- Монк Авел: CVE-2017-0396, CVE-2017-0399.
- Питер Пи (@heisecode) из Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474.
- Цидань Хэ (何淇丹) (@flanker_hqd) из KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382.
- Рои Хэй и Майкл Гоберман из IBM Security X-Force: CVE-2016-8467.
- Севен Шэнь (@lingtongshen) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-8466.
- Стив Морроу: CVE-2017-0389.
- V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0381.
- Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2017-0391.
- Вэнькэ Доу, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0402, CVE-2017-0398.
- Вэнькэ Доу, Ханьсян Вэнь, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0400.
- Вэнькэ Доу, Хунли Хань, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0384, CVE-2017-0385.
- Вэнькэ Доу, Юйци Лу (@nikos233), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0401.
- Яо Цзюнь, Юань-Цун Ло, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435.
- Юн Ван (王勇) (@ThomasKing2014) и Цзюнь Чэн из Alibaba Inc.: CVE-2017-0404.
- Юань-Цун Ло, Тун Линь, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449.
- Юань-Цун Ло, Яньфэн Ван, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-8430, CVE-2016-8482.
- Юйсян Ли (@Xbalien29) из отдела безопасности платформы Tencent: CVE-2017-0395.
- Чжаньпэн Чжао (行之) (@0xr0ot) из Security Research Lab, Cheetah Mobile: CVE-2016-8451.
Также благодарим всех, кто помог в составлении этого бюллетеня:
- Баоцзэн Дин, Чэнмин Ян, Пэн Сяо, Нин Ю, Ян Дун, Чао Ян, И Чжан и Ян Сун из Alibaba Mobile Security Group.
- Питер Пи (@heisecode) из Trend Micro.
- Зубин Митра из Google.
Описание уязвимостей (исправление системы безопасности 2017-01-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-01-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через c-ares
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного запроса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2016-5180 | A-32205736 | Высокий | Все | 7.0 | 29 сентября 2016 г. |
Удаленное выполнение кода через Framesequence
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0382 | A-32338390 | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 октября 2016 г. |
Повышение привилегий через Framework API
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0383 | A-31677614 | Высокий | Все | 7.0, 7.1.1 | 21 сентября 2016 г. |
Повышение привилегий через audioserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0384 | A-32095626 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 октября 2016 г. |
CVE-2017-0385 | A-32585400 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 октября 2016 г. |
Повышение привилегий через libnl
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0386 | A-32255299 | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 октября 2016 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить локальный доступ к разрешениям, недоступным сторонним приложениям.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0387 | A-32660278 | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 ноября 2016 г. |
Раскрытие информации через External Storage Provider
Уязвимость позволяет локальному дополнительному пользователю получить доступ к информации на SD-карте, подключенной основным пользователем. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0388 | A-32523490 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Доступно только сотрудникам Google |
Отказ в обслуживании в сетевой части ядра
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0389 | A-31850211 [2] [3] | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 20 июля 2016 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0390 | A-31647370 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 сентября 2016 г. |
CVE-2017-0391 | A-32322258 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 20 октября 2016 г. |
CVE-2017-0392 | A-32577290 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 октября 2016 г. |
CVE-2017-0393 | A-30436808 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Доступно только сотрудникам Google |
Отказ в обслуживании через телефонную связь
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0394 | A-31752213 | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 сентября 2016 г. |
Повышение привилегий через Контакты
Уязвимость позволяет локальному вредоносному ПО скрыто добавлять контактную информацию. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0395 | A-32219099 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 октября 2016 г. |
Раскрытие информации через mediaserver
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0381 | A-31607432 | Средний | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 сентября 2016 г. |
CVE-2017-0396 | A-31781965 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 сентября 2016 г. |
CVE-2017-0397 | A-32377688 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 октября 2016 г. |
Раскрытие информации через audioserver
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0398 | A-32438594 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
CVE-2017-0398 | A-32635664 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
CVE-2017-0398 | A-32624850 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
CVE-2017-0399 | A-32247948 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 октября 2016 г. |
CVE-2017-0400 | A-32584034 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
CVE-2017-0401 | A-32448258 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 октября 2016 г. |
CVE-2017-0402 | A-32436341 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
Описание уязвимостей (исправление системы безопасности 2017-01-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-01-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Повышение привилегий через подсистему памяти ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-3288 | A-32460277 Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 июля 2015 г. |
Повышение привилегий через загрузчик Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8422 | A-31471220 QC-CR#979426 |
Критический | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 июля 2016 г. |
CVE-2016-8423 | A-31399736 QC-CR#1000546 |
Критический | Nexus 6P, Pixel, Pixel XL | 24 августа 2016 г. |
Повышение привилегий через файловую систему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2015-5706 | A-32289301 Upstream kernel |
Критический | Нет* | 1 августа 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
Критический | Nexus 9 | 17 сентября 2016 г. |
CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
Критический | Nexus 9 | 28 сентября 2016 г. |
CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
Критический | Nexus 9 | 28 сентября 2016 г. |
CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
Критический | Nexus 9 | 28 сентября 2016 г. |
CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
Критический | Nexus 9 | 28 сентября 2016 г. |
CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
Критический | Nexus 9 | 6 октября 2016 г. |
CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
Критический | Nexus 9 | 13 октября 2016 г. |
CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
Критический | Nexus 9 | 17 октября 2016 г. |
CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
Критический | Pixel C | 25 октября 2016 г. |
CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
Критический | Pixel C | 26 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
Критический | Нет** | 24 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через драйвер Qualcomm для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8434 | A-32125137 QC-CR#1081855 |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 октября 2016 г. |
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
Критический | Pixel C | 7 ноября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через видеодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8436 | A-32450261 QC-CR#1007860 |
Критический | Нет* | 13 октября 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Уязвимости в компонентах Qualcomm
Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за ноябрь 2015 года, август 2016 года, сентябрь 2016 года и октябрь 2016 года.
CVE | Ссылки | Уровень серьезности* | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8438 | A-31624565** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8442 | A-31625910** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8443 | A-32576499** | Критический | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8437 | A-31623057** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8439 | A-31625204** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8440 | A-31625306** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8441 | A-31625904** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-8398 | A-31548486** | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One | Доступно только сотрудникам Qualcomm |
CVE-2016-8459 | A-32577972** | Высокий | Нет*** | Доступно только сотрудникам Qualcomm |
CVE-2016-5080 | A-31115235** | Средний | Nexus 5X | Доступно только сотрудникам Qualcomm |
* Уровень серьезности этих уязвимостей определен поставщиком компонентов.
** Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
*** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через камеру Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8412 | A-31225246 QC-CR#1071891 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 августа 2016 г. |
CVE-2016-8444 | A-31243641* QC-CR#1074310 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P | 26 августа 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через компоненты MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
Высокий | Нет** | 25 сентября 2016 г. |
CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
Высокий | Нет** | 25 сентября 2016 г. |
CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
Высокий | Нет** | 25 сентября 2016 г. |
CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
Высокий | Нет** | 28 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8415 | A-31750554 QC-CR#1079596 |
Высокий | Nexus 5X, Pixel, Pixel XL | 26 сентября 2016 г. |
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
Высокий | Nexus 9 | 28 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через аудиодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8450 | A-32450563 QC-CR#880388 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 октября 2016 г. |
Повышение привилегий через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8451 | A-32178033* | Высокий | Нет** | 13 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через подсистему безопасности ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-7042 | A-32178986 Upstream kernel |
Высокий | Pixel C | 14 октября 2016 г. |
Повышение привилегий через подсистему производительности ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2017-0403 | A-32402548* | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через звуковую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2017-0404 | A-32510733* | Высокий | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8452 | A-32506396 QC-CR#1050323 |
Высокий | Nexus 5X, Android One, Pixel, Pixel XL | 28 октября 2016 г. |
Повышение привилегий через драйвер радиоустройства Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-5345 | A-32639452 QC-CR#1079713 |
Высокий | Android One | 3 ноября 2016 г. |
Повышение привилегий через подсистему профилирования ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-9754 | A-32659848 Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4 ноября 2016 г. |
Повышение привилегий через Wi-Fi-драйвер Broadcom
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8453 | A-24739315* B-RB#73392 |
Высокий | Nexus 6 | Доступно только сотрудникам Google |
CVE-2016-8454 | A-32174590* B-RB#107142 |
Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 октября 2016 г. |
CVE-2016-8455 | A-32219121* B-RB#106311 |
Высокий | Nexus 6P | 15 октября 2016 г. |
CVE-2016-8456 | A-32219255* B-RB#105580 |
Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 октября 2016 г. |
CVE-2016-8457 | A-32219453* B-RB#106116 |
Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8458 | A-31968442* | Высокий | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
Высокий | Nexus 9 | 21 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через загрузчик ОС
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8461 | A-32369621* | Высокий | Nexus 9, Pixel, Pixel XL | 21 октября 2016 г. |
CVE-2016-8462 | A-32510383* | Высокий | Pixel, Pixel XL | 27 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Отказ в обслуживании в файловой системе FUSE Qualcomm
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8463 | A-30786860 QC-CR#586855 |
Высокий | Нет* | 3 января 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Отказ в обслуживании в загрузчике ОС
Уязвимость позволяет злоумышленнику вызывать нарушения в работе системы. Возможно, для устранения проблемы потребуется переустановить ОС. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8467 | A-30308784* | Высокий | Nexus 6, Nexus 6P | 29 июня 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Wi-Fi-драйвер Broadcom
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса и предотвращается текущими настройками платформы.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8464. | A-29000183* B-RB#106314 |
Средний | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 мая 2016 г. |
CVE-2016-8466 | A-31822524* B-RB#105268 |
Средний | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 сентября 2016 г. |
CVE-2016-8465 | A-32474971* B-RB#106053 |
Средний | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Повышение привилегий через Binder
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту такого процесса, а также предотвращается текущими настройками платформы.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8468 | A-32394425* | Средний | Pixel C, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через драйвер NVIDIA для камеры
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
Средний | Nexus 9 | 7 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
Средний | Нет** | 15 сентября 2016 г. |
CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
Средний | Нет** | 15 сентября 2016 г. |
CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
Средний | Нет** | 15 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Раскрытие информации через драйвер STMicroelectronics
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8473 | A-31795790* | Средний | Nexus 5X, Nexus 6P | 28 сентября 2016 г. |
CVE-2016-8474 | A-31799972* | Средний | Nexus 5X, Nexus 6P | 28 сентября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Раскрытие информации через постпроцессор аудио Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
---|---|---|---|---|---|
CVE-2017-0399 | A-32588756 [2] | Средний | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 октября 2016 г. |
CVE-2017-0400 | A-32438598 [2] | Средний | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
CVE-2017-0401 | A-32588016 | Средний | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 октября 2016 г. |
CVE-2017-0402 | A-32588352 [2] | Средний | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 октября 2016 г. |
Раскрытие информации через драйвер ввода HTC
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2016-8475 | A-32591129* | Средний | Pixel, Pixel XL | 30 октября 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
Отказ в обслуживании в файловой системе ядра
Уязвимость позволяет локальному вредоносному приложению выполнять перезагрузку или вызывать зависание устройства. Ей присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании, который устраняется сбросом настроек устройства.
CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
---|---|---|---|---|
CVE-2014-9420 | A-32477499 Upstream kernel |
Средний | Pixel C | 25 декабря 2014 г. |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2017-01-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-01-01.
- В исправлении 2017-01-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-01-05 и всем предыдущим исправлениям.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:
- [ro.build.version.security_patch]:[2017-01-01];
- [ro.build.version.security_patch]:[2017-01-05].
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением от 1 января 2017 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным исправлением от 5 января 2017 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Как определить, на каких устройствах Google присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2017-01-01 и 2017-01-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Google с актуальной версией Android.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
Префикс | Значение |
---|---|
A- | Идентификатор ошибки Android |
QC- | Ссылочный номер Qualcomm |
M- | Ссылочный номер MediaTek |
N- | Ссылочный номер NVIDIA |
B- | Ссылочный номер Broadcom |
Версии
- 3 января 2017 года. Опубликовано впервые.
- 4 января 2017 года. Добавлены ссылки на AOSP.
- 5 января 2017 года. Исправлен номер версии AOSP с 7.1 на 7.1.1.
- 12 января 2017 года. Удалена повторяющаяся информация об уязвимости CVE-2016-8467.
- 24 января 2017 года. Обновлено описание и уровень серьезности для CVE-2017-0381.
- 2 февраля 2017 года. Добавлена дополнительная ссылка на исправление для CVE-2017-0389.