Opublikowano 6 lutego 2017 r. | Zaktualizowano 8 lutego 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Oprócz biuletynu udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pomocą aktualizacji OTA. Obrazy oprogramowania układowego urządzeń Google zostały też opublikowane na stronie dla deweloperów Google. Wszystkie te problemy zostały rozwiązane w poziomach aktualizacji zabezpieczeń z 5 lutego 2017 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 3 stycznia 2017 r. lub wcześniej. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.
Najpoważniejszym z tych problemów jest krytyczne zagrożenie bezpieczeństwa, które może umożliwić zdalne wykonywanie kodu na urządzeniu docelowym za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy bezpieczeństwa Androida oraz zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Zapobieganie naruszeniom zabezpieczeń Androida i usług Google.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków dotyczącego poziomu poprawki zabezpieczeń, aby umożliwić partnerom Androida szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z odpowiedziami na najczęstsze pytania:
- 2017-02-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-02-01 (i wszystkimi poprzednimi ciągami znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2017-02-05: kompletny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-02-01 i 2017-02-05 (oraz wszystkie poprzednie ciągi znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Google otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 lutego 2017 r.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takich jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Verify Apps i SafetyNet, które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja weryfikacji aplikacji ostrzega użytkowników, gdy próbują oni zainstalować wykryte narzędzie do rootowania – niezależnie od tego, skąd pochodzi. Dodatkowo Weryfikacja aplikacji próbuje wykrywać i blokować instalowanie znanych szkodliwych aplikacji, które wykorzystują lukę umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Daniel Dakhno: CVE-2017-0420
- Daniel Micay z Copperhead Security: CVE-2017-0410
- Dzmitry Lukyanenka: CVE-2017-0414
- Frank Liberato z zespołu Chrome: CVE-2017-0409
- Gal Beniamini z Project Zero: CVE-2017-0411, CVE-2017-0412
- Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- Guang Gong (龚广) (@oldfresher) z zespołu Alpha, Qihoo 360 Technology Co.Ltd: CVE-2017-0415
- Hanxiang Wen, Wenke Dou, Mingjian Zhou ( @Mingjian_Zhou), i Xuxian Jiang z zespołu C0RE: CVE-2017-0418
- Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
- Jeff Sharkey z Google: CVE-2017-0421, CVE-2017-0423
- Jeff Trim: CVE-2017-0422
- Jianqiang Zhao ( @jianqiangzhao) i pjf z IceSword Lab, Qihoo 360: CVE-2017-0445
- ma.la i Nikolay Elenkov z LINE Corporation: CVE-2016-5552
- Max Spector of Google: CVE-2017-0416
- Mingjian Zhou ( @Mingjian_Zhou), Yuqi Lu ( @nikos233) i Xuxian Jiang z zespołu C0RE: CVE-2017-0425
- Qidan He (何淇丹) (@flanker_hqd) i Di Shen (申迪) (@returnsme) z KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427
- Sagi Kedmi z IBM X-Force Research: CVE-2017-0433
- Scott Bauer (@ScottyBauer1) i Daniel Micay z Copperhead Security: CVE-2017-0405
- Seven Shen (@lingtongshen) z zespołu Trend Micro ds. zagrożeń mobilnych: CVE-2017-0449, CVE-2016-8418
- Tong Lin, Yuan-Tsung Lo, Chiachih Wu ( @chiachih_wu), oraz Xuxian Jiang z zespołu C0RE: CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- V.E.O (@VYSEa) z zespołu ds. reagowania na zagrożenia na urządzeniach mobilnych w Trend Micro: CVE-2017-0424
- Weichao Sun (@sunblate) z Alibaba Inc.: CVE-2017-0407
- Wenke Dou, Hongli Han, Mingjian Zhou ( @Mingjian_Zhou), i Xuxian Jiang z zespołu C0RE: CVE-2017-0450
- Wenke Dou, Yuqi Lu ( @nikos233), Mingjian Zhou ( @Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE: CVE-2017-0417
- Wish Wu (@wish_wu) ( 吴潍浠 此彼) z Ant-financial Light-Year Security Lab: CVE-2017-0408
- Yao Jun, Yuan-Tsung Lo, Chiachih Wu ( @chiachih_wu), oraz Xuxian Jiang z zespołu C0RE: CVE-2016-8480
- Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2017-0444
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu ( @chiachih_wu), i Xuxian Jiang z zespołu C0RE: CVE-2017-0428
- Yuan-Tsung Lo, Xiaodong Wang, Chiachih Wu (@chiachih_wu) oraz Xuxian Jiang z zespołu C0RE: CVE-2017-0448, CVE-2017-0429
- Zhen Zhou (@henices) i Zhixin Li z NSFocus: CVE-2017-0406
Dziękujemy też za udział w tworzeniu tego biuletynu:
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) i Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室)
Poziom aktualizacji zabezpieczeń z 01.02.2017 – szczegóły dotyczące luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-02-01. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka umożliwiająca zdalne wykonanie kodu w programie Surfaceflinger
Luka w zabezpieczeniach w programie Surfaceflinger umożliwiająca zdalne uruchomienie kodu może umożliwić atakującemu użycie specjalnie spreparowanego pliku, aby spowodować uszkodzenie pamięci podczas przetwarzania danych i plików multimedialnych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Surfaceflinger.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0405 | A-31960359 | Krytyczny | Wszystko | 7.0, 7.1.1 | 4 października 2016 r. |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0406 | A-32915871 [2] | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 14 listopada 2016 r. |
| CVE-2017-0407 | A-32873375 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 12 listopada 2016 r. |
Luka w zabezpieczeniach libgdx umożliwiająca zdalne wykonywanie kodu
Luka w zabezpieczeniach w libgdx umożliwiająca zdalne uruchomienie kodu może umożliwić atakującemu użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0408 | A-32769670 | Wysoki | Wszystko | 7.1.1 | 9 listopada 2016 r. |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libstagefright
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w libstagefright może umożliwić atakującemu użycie specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0409 | A-31999646 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Nieuprawniona eskalacja uprawnień w Java.Net
Podwyższenie uprawnień w bibliotece Java.Net może umożliwić złośliwym treściom internetowym przekierowanie użytkownika do innej witryny bez jego wyraźnej zgody. Ten problem ma ocenę wysoką, ponieważ umożliwia zdalne obejście wymagań dotyczących interakcji z użytkownikiem.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5552 | A-31858037 | Wysoki | Wszystko | 7.0, 7.1.1 | 30 września 2016 r. |
Podniesienie uprawnień w interfejsach API frameworku
Podatność na podniesienie uprawnień w interfejsach API Framework może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wysokich uprawnieniach. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0410 | A-31929765 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 października 2016 r. |
| CVE-2017-0411 | A-33042690 [2] | Wysoki | Wszystko | 7.0, 7.1.1 | 21 listopada 2016 r. |
| CVE-2017-0412 | A-33039926 [2] | Wysoki | Wszystko | 7.0, 7.1.1 | 21 listopada 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Mediaserver
Podatność w Mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0415 | A-32706020 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 4 listopada 2016 r. |
Luka w zabezpieczeniach w Audioserver, która umożliwia podniesienie uprawnień
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w Audioserverze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wyższych uprawnieniach. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0416 | A-32886609 [2] | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
| CVE-2017-0417 | A-32705438 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 listopada 2016 r. |
| CVE-2017-0418 | A-32703959 [2] | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 listopada 2016 r. |
| CVE-2017-0419 | A-32220769 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 października 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w AOSP Mail
W AOSP Mail występuje luka w zabezpieczeniach, która umożliwia lokalnej złośliwej aplikacji obejście zabezpieczeń systemu operacyjnego izolujących dane aplikacji od innych aplikacji. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie dostępu do danych, do których aplikacja nie ma dostępu.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0420 | A-32615212 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 12 września 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w AOSP Messaging
W ramach podatności w systemie AOSP Messaging możliwe jest, że lokalna aplikacja złośliwa może ominąć zabezpieczenia systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie dostępu do danych, do których aplikacja nie ma dostępu.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0413 | A-32161610 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 13 października 2016 r. |
| CVE-2017-0414 | A-32807795 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 10 listopada 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w interfejsach API Framework
W ramach podatności w interfejsach API Framework można uzyskać dostęp do informacji, co może umożliwić lokalnej złośliwej aplikacji obejście zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie dostępu do danych, do których aplikacja nie ma dostępu.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0421 | A-32555637 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Luki w zabezpieczeniach związane z atakami typu DoS w Bionic DNS
Usługa Bionic DNS jest podatna na atak typu „odmowa usługi”, który umożliwia zdanemu atakującemu użycie specjalnie spreparowanego pakietu sieciowego do zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0422 | A-32322088 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 października 2016 r. |
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w Bluetoothie
Uprawnienie dotyczące podwyższania uprawnień w Bluetooth może umożliwić atakującemu w pobliżu zarządzanie dostępem do dokumentów na urządzeniu. Ten problem został oceniony jako „Umiarkowany”, ponieważ wymaga najpierw wykorzystania osobnej luki w systemie Bluetooth.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0423 | A-32612586 | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 listopada 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w AOSP Messaging
W ramach AOSP Messaging występuje luka umożliwiająca zdalnemu atakującemu dostęp do danych poza poziomem uprawnień za pomocą specjalnie spreparowanego pliku. Ten problem ma ocenę Średni, ponieważ jest to ogólne obejście zaawansowanej obrony na poziomie użytkownika lub technologii ograniczania podatności w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0424 | A-32322450 | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 20 października 2016 r. |
Luka w zabezpieczeniach w Audioserver, która umożliwia ujawnianie informacji
W usłudze Audioserver występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziom uprawnień. Ten problem został oceniony jako „Umiarkowany”, ponieważ może umożliwiać dostęp do danych wrażliwych bez zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0425 | A-32720785 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 listopada 2016 r. |
Luka w zabezpieczeniach polegająca na ujawnianiu informacji w Filesystem
Użytkownik lokalny może uzyskać dostęp do danych spoza poziomu uprawnień, jeśli w systemie plików występuje luka w zabezpieczeniach dotycząca ujawnienia informacji. Ten problem został oceniony jako „Umiarkowany”, ponieważ może umożliwiać dostęp do danych wrażliwych bez zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0426 | A-32799236 [2] | Umiarkowana | Wszystko | 7.0, 7.1.1 | Tylko w Google |
Poziom aktualizacji zabezpieczeń z 05.02.2017 – szczegóły dotyczące luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 lutego 2017 r. Zawiera opis problemu, uzasadnienie powagi, a także tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
podatność w sterowniku kryptograficznym Qualcomma umożliwiająca zdalne wykonywanie kodu;
Luka w zabezpieczeniach w sterowniku kryptograficznym Qualcomma umożliwiająca zdalnym atakującym uruchomienie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość zdalnego uruchamiania kodu w kontekście jądra.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8418 | A-32652894 QC-CR#1077457 |
Krytyczny | Brak* | 10 października 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie plików jądra
Uprawnienia związane z luką w systemie plików jądra mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0427 | A-31495866* | Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku GPU NVIDIA
Podatność w zasadach kontroli w sterowniku GPU firmy NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0428 | A-32401526* N-CVE-2017-0428 |
Krytyczny | Nexus 9 | 25 października 2016 r. |
| CVE-2017-0429 | A-32636619* N-CVE-2017-0429 |
Krytyczny | Nexus 9 | 3 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w podsystemie sieciowym jądra
Uprawnienie dotyczące podwyższenia uprawnień w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9914 | A-32882659 Kernel upstream |
Krytyczny | Nexus 6, Nexus Player | 9 listopada 2016 r. |
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0430 | A-32838767* B-RB#107459 |
Krytyczny | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luki w komponentach Qualcomm
Podana poniżej luka dotyczy komponentów Qualcomm i jest opisana w szczegółach w biuletynie z wrzesnia 2016 r. dotyczącym zabezpieczeń AMSS firmy Qualcomm.
| CVE | Pliki referencyjne | Poziom ważności* | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0431 | A-32573899** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
** Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
*** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku MediaTek
Podatność w kodzie w sterowniku MediaTek umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0432 | A-28332719* M-ALPS02708925 |
Wysoki | Brak** | 21 kwietnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
podatność na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics
Użytkownik lokalny może wykorzystać podatność w sterowniku ekranu dotykowego firmy Synaptics do zwiększenia uprawnień, co pozwoli złośliwej aplikacji na wykonanie dowolnego kodu w kontekście chipsetu ekranu dotykowego. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0433 | A-31913571* | Wysoki | Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 września 2016 r. |
| CVE-2017-0434 | A-33001936* | Wysoki | Pixel, Pixel XL | 18 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w środowisku Secure Execution Environment firmy Qualcomm w module Communicator
Podatność na podniesienie uprawnień w podsystemie Communicator w ramach środowiska bezpiecznego wykonania Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę wysoką, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8480 | A-31804432 QC-CR#1086186 [2] |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 września 2016 r. |
Luki w zarządzaczu dźwięku Qualcomma umożliwiające podniesienie uprawnień
Podatność w sterowniku dźwięku Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8481 | A-31906415* QC-CR#1078000 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 października 2016 r. |
| CVE-2017-0435 | A-31906657* QC-CR#1078000 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 października 2016 r. |
| CVE-2017-0436 | A-32624661* QC-CR#1078000 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0437 | A-32402310 QC-CR#1092497 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 25 października 2016 r. |
| CVE-2017-0438 | A-32402604 QC-CR#1092497 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 25 października 2016 r. |
| CVE-2017-0439 | A-32450647 QC-CR#1092059 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 25 października 2016 r. |
| CVE-2016-8419 | A-32454494 QC-CR#1087209 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 26 października 2016 r. |
| CVE-2016-8420 | A-32451171 QC-CR#1087807 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 26 października 2016 r. |
| CVE-2016-8421 | A-32451104 QC-CR#1087797 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 26 października 2016 r. |
| CVE-2017-0440 | A-33252788 QC-CR#1095770 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 11 listopada 2016 r. |
| CVE-2017-0441 | A-32872662 QC-CR#1095009 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 11 listopada 2016 r. |
| CVE-2017-0442 | A-32871330 QC-CR#1092497 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 13 listopada 2016 r. |
| CVE-2017-0443 | A-32877494 QC-CR#1092497 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 13 listopada 2016 r. |
| CVE-2016-8476 | A-32879283 QC-CR#1091940 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 14 listopada 2016 r. |
Luka w sterowniku dźwięku Realtek podnosząca uprawnienia
Podatność w ramach funkcji uprzywilejowania w sterowniku dźwięku Realtek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0444 | A-32705232* | Wysoki | Nexus 9 | 7 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luki w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego HTC
Podatność na podniesienie uprawnień w sterowniku ekranu dotykowego HTC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0445 | A-32769717* | Wysoki | Pixel, Pixel XL | 9 listopada 2016 r. |
| CVE-2017-0446 | A-32917445* | Wysoki | Pixel, Pixel XL | 15 listopada 2016 r. |
| CVE-2017-0447 | A-32919560* | Wysoki | Pixel, Pixel XL | 15 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku wideo Nvidii
W sterowniku karty graficznej NVIDIA występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0448 | A-32721029* N-CVE-2017-0448 |
Wysoki | Nexus 9 | 7 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0449 | A-31707909* B-RB#32094 |
Umiarkowana | Nexus 6, Nexus 6P | 23 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach w Audioserver, która umożliwia podniesienie uprawnień
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w Audioserverze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wyższych uprawnieniach. Ten problem ma ocenę Średni, ponieważ jest łagodzony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0450 | A-32917432* | Umiarkowana | Nexus 9 | 15 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie plików jądra
W przypadku luki w zabezpieczeniach umożliwiającej podniesienie uprawnień w systemie plików jądra lokalna złośliwa aplikacja mogłaby ominąć zabezpieczenia zapobiegające eskalacji uprawnień. Ten problem został oceniony jako „Umiarkowany”, ponieważ jest to ogólny sposób obejścia zabezpieczeń na poziomie użytkownika lub technologii zapobiegania atakom.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10044 | A-31711619* | Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Ujawnienie informacji w środowisku wykonawczym Qualcomm Secure Execution Environment w urządzeniu Communicator
W ramach tej podatności w komunikatorze środowiska bezpiecznego wykonania Qualcomm aplikacja lokalna może uzyskać dostęp do danych spoza poziomu uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8414 | A-31704078 QC-CR#1076407 |
Umiarkowana | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 września 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku dźwięku Qualcomm;
W sterowniku dźwięku Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0451 | A-31796345 QC-CR#1073129 [2] |
Umiarkowana | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 27 września 2016 r. |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 2017-02-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-02-01.
- Poziomy aktualizacji zabezpieczeń z 2017-02-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-02-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
[ro.build.version.security_patch]:[2017-02-01][ro.build.version.security_patch]:[2017-02-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 lutego 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 lutego 2017 r. lub nowszego, muszą zawierać wszystkie odpowiednie poprawki z tych (i poprzednich) komunikatów dotyczących zabezpieczeń.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Jak sprawdzić, które urządzenia Google są dotknięte danym problemem?
W sekcjach 2017-02-01 i 2017-02-05 zawierających szczegóły dotyczące luk w zabezpieczeniach w danych wersjach, w każdej tabeli znajduje się kolumna Zaktualizowane urządzenia Google, która obejmuje zakres urządzeń Google, które zostały zaktualizowane w związku z każdym problemem. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Google: jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w tabeli w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Wszystkie”. „Wszystkie” obejmuje te obsługiwane urządzenia: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
- Niektóre urządzenia Google: jeśli problem nie dotyczy wszystkich urządzeń Google, te, na które ma wpływ, są wymienione w kolumnie Zaktualizowane urządzenia Google.
- Brak urządzeń Google: jeśli problem nie dotyczy żadnych urządzeń Google z Androidem 7.0, w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Brak”.
4. Do czego odnoszą się wpisy w kolumnie „Odwołania”?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w ten sposób:
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Wersje
- 6 lutego 2017 r.: opublikowano biuletyn.
- 8 lutego 2017 r.: w powiadomieniu uwzględniono linki do AOSP.