Boletim de segurança do Android – fevereiro de 2017

Publicado em 06 de fevereiro de 2017 | Atualizado em 8 de fevereiro de 2017

O Boletim de Segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para os dispositivos do Google por meio de uma atualização over-the-air (OTA). As imagens de firmware do dispositivo Google também foram lançadas no site do Google Developer . Os níveis de patch de segurança de 05 de fevereiro de 2017 ou posterior abordam todos esses problemas. Consulte a programação de atualização do Pixel e do Nexus para saber como verificar o nível de patch de segurança de um dispositivo.

Os sócios foram notificados das questões descritas no boletim em 03 de janeiro de 2017 ou anterior. Os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações de serviço do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet , que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Anúncios

  • Este boletim tem duas strings de nível de patch de segurança para fornecer aos parceiros Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para obter informações adicionais:
    • 2017-02-01 : String de nível de patch de segurança parcial. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-02-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
    • 2017-02-05 : Sequência de nível de patch de segurança completa. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-02-01 e 2017-02-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
  • Os dispositivos compatíveis do Google receberão uma única atualização OTA com o nível de patch de segurança de 05 de fevereiro de 2017.

Mitigações de serviços Android e Google

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente o abuso com o Verify Apps e o SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . Verificar aplicativos está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root do dispositivo são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o Mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

Também gostaríamos de agradecer às seguintes pessoas por suas contribuições para este boletim:

  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) e Lenx Wei (韦韬) do Baidu X-Lab (百度安全实验室)

2017-02-01 nível de patch de segurança — detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-02-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos do Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Surfaceflinger

Uma vulnerabilidade de execução remota de código no Surfaceflinger pode permitir que um invasor usando um arquivo especialmente criado cause corrupção de memória durante o processamento de dados e arquivos de mídia. Esse problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do processo Surfaceflinger.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0405 A-31960359 Crítico Tudo 7.0, 7.1.1 4 de outubro de 2016

Vulnerabilidade de execução remota de código no Mediaserver

Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor usando um arquivo especialmente criado cause corrupção de memória durante o processamento de dados e arquivos de mídia. Esse problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do processo Mediaserver.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0406 A-32915871 [ 2 ] Crítico Tudo 6.0, 6.0.1, 7.0, 7.1.1 14 de novembro de 2016
CVE-2017-0407 A-32873375 Crítico Tudo 6.0, 6.0.1, 7.0, 7.1.1 12 de novembro de 2016

Vulnerabilidade de execução remota de código na libgdx

Uma vulnerabilidade de execução remota de código na libgdx pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0408 A-32769670 Alto Tudo 7.1.1 9 de novembro de 2016

Vulnerabilidade de execução remota de código em libstagefright

Uma vulnerabilidade de execução remota de código no libstagefright pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0409 A-31999646 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 Google interno

Vulnerabilidade de elevação de privilégio em Java.Net

Uma elevação de privilégio na biblioteca Java.Net pode permitir que conteúdo mal-intencionado da Web redirecione um usuário para outro site sem permissão explícita. Esse problema é classificado como Alto porque é um desvio remoto dos requisitos de interação do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-5552 A-31858037 Alto Tudo 7.0, 7.1.1 30 de setembro de 2016

Vulnerabilidade de elevação de privilégio nas APIs do Framework

Uma vulnerabilidade de elevação de privilégio nas APIs do Framework pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0410 A-31929765 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 de outubro de 2016
CVE-2017-0411 A-33042690 [ 2 ] Alto Tudo 7.0, 7.1.1 21 de novembro de 2016
CVE-2017-0412 A-33039926 [ 2 ] Alto Tudo 7.0, 7.1.1 21 de novembro de 2016

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no Mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0415 A-32706020 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 4 de novembro de 2016

Vulnerabilidade de elevação de privilégios no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0416 A-32886609 [ 2 ] Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interno
CVE-2017-0417 A-32705438 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016
CVE-2017-0418 A-32703959 [ 2 ] Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016
CVE-2017-0419 A-32220769 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 de outubro de 2016

Vulnerabilidade de divulgação de informações no AOSP Mail

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0420 A-32615212 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 de setembro de 2016

Vulnerabilidade de divulgação de informações em mensagens AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Messaging pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0413 A-32161610 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 13 de outubro de 2016
CVE-2017-0414 A-32807795 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 10 de novembro de 2016

Vulnerabilidade de divulgação de informações nas APIs do Framework

Uma vulnerabilidade de divulgação de informações nas APIs do Framework pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0421 A-32555637 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interno

Vulnerabilidade de negação de serviço no DNS biônico

Uma vulnerabilidade de negação de serviço no DNS Bionic pode permitir que um invasor remoto use um pacote de rede especialmente criado para causar um travamento ou reinicialização do dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0422 A-32322088 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016

Vulnerabilidade de elevação de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um invasor próximo gerencie o acesso a documentos no dispositivo. Esse problema é classificado como Moderado porque primeiro requer a exploração de uma vulnerabilidade separada na pilha Bluetooth.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0423 A-32612586 Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 de novembro de 2016

Vulnerabilidade de divulgação de informações em mensagens AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Messaging pode permitir que um invasor remoto usando um arquivo criado especial acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque é um desvio geral para uma defesa em nível de usuário em profundidade ou tecnologia de mitigação de exploração em um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0424 A-32322450 Moderado Tudo 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016

Vulnerabilidade de divulgação de informações no Audioserver

Uma vulnerabilidade de divulgação de informações no Audioserver pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0425 A-32720785 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016

Vulnerabilidade de divulgação de informações no sistema de arquivos

Uma vulnerabilidade de divulgação de informações no sistema de arquivos pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0426 A-32799236 [ 2 ] Moderado Tudo 7.0, 7.1.1 Google interno

2017-02-05 nível de patch de segurança — detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-02-05. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos do Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no driver de criptografia da Qualcomm

Uma vulnerabilidade de execução remota de código no driver de criptografia da Qualcomm pode permitir que um invasor remoto execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do kernel.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8418 A-32652894
QC-CR#1077457
Crítico Nenhum* 10 de outubro de 2016

* Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégios no sistema de arquivos do kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0427 A-31495866* Crítico Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
Crítico Nexus 9 25 de outubro de 2016
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
Crítico Nexus 9 3 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no subsistema de rede do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de rede do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2014-9914 A-32882659
Kernel upstream
Crítico Nexus 6, Jogador Nexus 9 de novembro de 2016

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0430 A-32838767*
B-RB#107459
Crítico Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Google interno

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidades em componentes da Qualcomm

A vulnerabilidade a seguir afeta os componentes da Qualcomm e é descrita em mais detalhes no boletim de segurança Qualcomm AMSS de setembro de 2016.

CVE Referências Gravidade* Dispositivos Google atualizados Data do relatório
CVE-2017-0431 A-32573899** Crítico Nenhum*** Qualcomm interno

* A classificação de gravidade para essas vulnerabilidades foi determinada pelo fornecedor.

** O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

*** Dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no driver MediaTek

Uma vulnerabilidade de elevação de privilégio no driver MediaTek pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0432 A-28332719*
M-ALPS02708925
Alto Nenhum** 21 de abril de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

** Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Elevação de vulnerabilidade de privilégio no driver de tela sensível ao toque Synaptics

Uma vulnerabilidade de elevação de privilégio no driver da tela sensível ao toque Synaptics pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do chipset da tela sensível ao toque. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0433 A-31913571* Alto Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 de setembro de 2016
CVE-2017-0434 A-33001936* Alto Pixel, Pixel XL 18 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Secure Execution Environment Communicator

Uma vulnerabilidade de elevação de privilégio na unidade Qualcomm Secure Execution Environment Communicator pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8480 A-31804432
QC-CR#1086186 [ 2 ]
Alto Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 de setembro de 2016

Elevação de vulnerabilidade de privilégio no driver de som da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8481 A-31906415*
QC-CR#1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 1º de outubro de 2016
CVE-2017-0435 A-31906657*
QC-CR#1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 1º de outubro de 2016
CVE-2017-0436 A-32624661*
QC-CR#1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0437 A-32402310
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2017-0438 A-32402604
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2017-0439 A-32450647
QC-CR#1092059
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2016-8419 A-32454494
QC-CR#1087209
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2016-8420 A-32451171
QC-CR#1087807
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2016-8421 A-32451104
QC-CR#1087797
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2017-0440 A-33252788
QC-CR#1095770
Alto Nexus 5X, Pixel, Pixel XL 11 de novembro de 2016
CVE-2017-0441 A-32872662
QC-CR#1095009
Alto Nexus 5X, Pixel, Pixel XL 11 de novembro de 2016
CVE-2017-0442 A-32871330
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 13 de novembro de 2016
CVE-2017-0443 A-32877494
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 13 de novembro de 2016
CVE-2016-8476 A-32879283
QC-CR#1091940
Alto Nexus 5X, Pixel, Pixel XL 14 de novembro de 2016

Elevação de vulnerabilidade de privilégio no driver de som Realtek

Uma vulnerabilidade de elevação de privilégio no driver de som Realtek pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0444 A-32705232* Alto Nexus 9 7 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação da vulnerabilidade de privilégio no driver da tela sensível ao toque HTC

Uma vulnerabilidade de elevação de privilégio no driver da tela sensível ao toque HTC pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0445 A-32769717* Alto Pixel, Pixel XL 9 de novembro de 2016
CVE-2017-0446 A-32917445* Alto Pixel, Pixel XL 15 de novembro de 2016
CVE-2017-0447 A-32919560* Alto Pixel, Pixel XL 15 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA

Uma vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Alto porque pode ser usado para acessar dados confidenciais sem permissão explícita do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
Alto Nexus 9 7 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado e é mitigado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0449 A-31707909*
B-RB#32094
Moderado Nexus 6, Nexus 6P 23 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Moderado porque é mitigado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0450 A-32917432* Moderado Nexus 9 15 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no sistema de arquivos do kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local ignore proteções que impedem uma escalação de privilégios. Esse problema é classificado como Moderado porque é um desvio geral para uma defesa em nível de usuário em profundidade ou tecnologia de mitigação de exploração.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-10044 A-31711619* Moderado Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Google interno

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de divulgação de informações no Qualcomm Secure Execution Environment Communicator

Uma vulnerabilidade de divulgação de informações no Qualcomm Secure Execution Environment Communicator pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8414 A-31704078
QC-CR#1076407
Moderado Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 de setembro de 2016

Vulnerabilidade de divulgação de informações no driver de som da Qualcomm

Uma vulnerabilidade de divulgação de informações no driver de som da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0451 A-31796345
QC-CR#1073129 [ 2 ]
Moderado Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 27 de setembro de 2016

Perguntas e respostas comuns

Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para saber como verificar o nível de patch de segurança de um dispositivo, leia as instruções na programação de atualização do Pixel e do Nexus .

  • Os níveis de patch de segurança de 2017-02-01 ou posterior abordam todos os problemas associados ao nível de patch de segurança 2017-02-01.
  • Os níveis de patch de segurança de 2017-02-05 ou posterior abordam todos os problemas associados ao nível de patch de segurança 2017-02-05 e todos os níveis de patch anteriores.

Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Por que este boletim tem dois níveis de patch de segurança?

Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Os parceiros Android são incentivados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.

  • Os dispositivos que usam o nível de patch de segurança de 1º de fevereiro de 2017 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
  • Os dispositivos que usam o nível de patch de segurança de 5 de fevereiro de 2017 ou mais recente devem incluir todos os patches aplicáveis ​​neste (e nos anteriores) boletins de segurança.

Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.

3. Como determino quais dispositivos do Google são afetados por cada problema?

Nas seções de detalhes da vulnerabilidade de segurança de 2017-02-01 e 2017-02-05 , cada tabela tem uma coluna de dispositivos do Google atualizados que abrange o intervalo de dispositivos do Google afetados atualizados para cada problema. Esta coluna tem algumas opções:

  • Todos os dispositivos Google : se um problema afetar os dispositivos Todos e Pixel, a tabela terá "Todos" na coluna Dispositivos Google atualizados . "Todos" engloba os seguintes dispositivos compatíveis : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel e Pixel XL.
  • Alguns dispositivos Google : se um problema não afetar todos os dispositivos Google, os dispositivos Google afetados são listados na coluna Dispositivos Google atualizados .
  • Nenhum dispositivo Google : se nenhum dispositivo Google executando o Android 7.0 for afetado pelo problema, a tabela terá "Nenhum" na coluna Dispositivos Google atualizados .

4. Para que mapeiam as entradas na coluna de referências?

As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence. Esses prefixos mapeiam da seguinte forma:

Prefixo Referência
UMA- ID do bug do Android
CQ- Número de referência da Qualcomm
M- Número de referência da MediaTek
N- Número de referência da NVIDIA
B- Número de referência da Broadcom

Revisões

  • 06 de fevereiro de 2017: Boletim publicado.
  • 08 de fevereiro de 2017: Boletim revisado para incluir links AOSP.
,

Publicado em 06 de fevereiro de 2017 | Atualizado em 8 de fevereiro de 2017

O Boletim de Segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para os dispositivos do Google por meio de uma atualização over-the-air (OTA). As imagens de firmware do dispositivo Google também foram lançadas no site do Google Developer . Os níveis de patch de segurança de 05 de fevereiro de 2017 ou posterior abordam todos esses problemas. Consulte a programação de atualização do Pixel e do Nexus para saber como verificar o nível de patch de segurança de um dispositivo.

Os sócios foram notificados das questões descritas no boletim em 03 de janeiro de 2017 ou anterior. Os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço estejam desabilitadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações de serviço do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet , que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Anúncios

  • Este boletim tem duas strings de nível de patch de segurança para fornecer aos parceiros Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para obter informações adicionais:
    • 2017-02-01 : String de nível de patch de segurança parcial. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-02-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
    • 2017-02-05 : Sequência de nível de patch de segurança completa. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-02-01 e 2017-02-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
  • Os dispositivos compatíveis do Google receberão uma única atualização OTA com o nível de patch de segurança de 05 de fevereiro de 2017.

Mitigações de serviços Android e Google

Este é um resumo das mitigações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente o abuso com o Verify Apps e o SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais . Verificar aplicativos está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root do dispositivo são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o Mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

Também gostaríamos de agradecer às seguintes pessoas por suas contribuições para este boletim:

  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) e Lenx Wei (韦韬) do Baidu X-Lab (百度安全实验室)

2017-02-01 nível de patch de segurança — detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-02-01. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos do Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no Surfaceflinger

Uma vulnerabilidade de execução remota de código no Surfaceflinger pode permitir que um invasor usando um arquivo especialmente criado cause corrupção de memória durante o processamento de dados e arquivos de mídia. Esse problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do processo Surfaceflinger.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0405 A-31960359 Crítico Tudo 7.0, 7.1.1 4 de outubro de 2016

Vulnerabilidade de execução remota de código no Mediaserver

Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor usando um arquivo especialmente criado cause corrupção de memória durante o processamento de dados e arquivos de mídia. Esse problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do processo Mediaserver.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0406 A-32915871 [ 2 ] Crítico Tudo 6.0, 6.0.1, 7.0, 7.1.1 14 de novembro de 2016
CVE-2017-0407 A-32873375 Crítico Tudo 6.0, 6.0.1, 7.0, 7.1.1 12 de novembro de 2016

Vulnerabilidade de execução remota de código na libgdx

Uma vulnerabilidade de execução remota de código na libgdx pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0408 A-32769670 Alto Tudo 7.1.1 9 de novembro de 2016

Vulnerabilidade de execução remota de código em libstagefright

Uma vulnerabilidade de execução remota de código no libstagefright pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0409 A-31999646 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 Google interno

Vulnerabilidade de elevação de privilégio em Java.Net

Uma elevação de privilégio na biblioteca Java.Net pode permitir que conteúdo mal-intencionado da Web redirecione um usuário para outro site sem permissão explícita. Esse problema é classificado como Alto porque é um desvio remoto dos requisitos de interação do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2016-5552 A-31858037 Alto Tudo 7.0, 7.1.1 30 de setembro de 2016

Vulnerabilidade de elevação de privilégio nas APIs do Framework

Uma vulnerabilidade de elevação de privilégio nas APIs do Framework pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0410 A-31929765 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 de outubro de 2016
CVE-2017-0411 A-33042690 [ 2 ] Alto Tudo 7.0, 7.1.1 21 de novembro de 2016
CVE-2017-0412 A-33039926 [ 2 ] Alto Tudo 7.0, 7.1.1 21 de novembro de 2016

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no Mediaserver pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0415 A-32706020 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 4 de novembro de 2016

Vulnerabilidade de elevação de privilégios no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0416 A-32886609 [ 2 ] Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interno
CVE-2017-0417 A-32705438 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016
CVE-2017-0418 A-32703959 [ 2 ] Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016
CVE-2017-0419 A-32220769 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 de outubro de 2016

Vulnerabilidade de divulgação de informações no AOSP Mail

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0420 A-32615212 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 de setembro de 2016

Vulnerabilidade de divulgação de informações em mensagens AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Messaging pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0413 A-32161610 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 13 de outubro de 2016
CVE-2017-0414 A-32807795 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 10 de novembro de 2016

Vulnerabilidade de divulgação de informações nas APIs do Framework

Uma vulnerabilidade de divulgação de informações nas APIs do Framework pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0421 A-32555637 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google interno

Vulnerabilidade de negação de serviço no DNS biônico

Uma vulnerabilidade de negação de serviço no DNS Bionic pode permitir que um invasor remoto use um pacote de rede especialmente criado para causar um travamento ou reinicialização do dispositivo. Esse problema é classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0422 A-32322088 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016

Vulnerabilidade de elevação de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um invasor próximo gerencie o acesso a documentos no dispositivo. Esse problema é classificado como Moderado porque primeiro requer a exploração de uma vulnerabilidade separada na pilha Bluetooth.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0423 A-32612586 Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 de novembro de 2016

Vulnerabilidade de divulgação de informações em mensagens AOSP

Uma vulnerabilidade de divulgação de informações no AOSP Messaging pode permitir que um invasor remoto usando um arquivo criado especial acesse dados fora de seus níveis de permissão. Esse problema é classificado como Moderado porque é um desvio geral para uma defesa em nível de usuário em profundidade ou tecnologia de mitigação de exploração em um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0424 A-32322450 Moderado Tudo 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016

Vulnerabilidade de divulgação de informações no Audioserver

Uma vulnerabilidade de divulgação de informações no Audioserver pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0425 A-32720785 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016

Vulnerabilidade de divulgação de informações no sistema de arquivos

Uma vulnerabilidade de divulgação de informações no sistema de arquivos pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões AOSP atualizadas Data do relatório
CVE-2017-0426 A-32799236 [ 2 ] Moderado Tudo 7.0, 7.1.1 Google interno

2017-02-05 nível de patch de segurança — detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-02-05. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos do Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.

Vulnerabilidade de execução remota de código no driver de criptografia da Qualcomm

Uma vulnerabilidade de execução remota de código no driver de criptografia da Qualcomm pode permitir que um invasor remoto execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do kernel.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8418 A-32652894
QC-CR#1077457
Crítico Nenhum* 10 de outubro de 2016

* Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégios no sistema de arquivos do kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0427 A-31495866* Crítico Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA

Uma vulnerabilidade de elevação de privilégio no driver da GPU NVIDIA pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
Crítico Nexus 9 25 de outubro de 2016
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
Crítico Nexus 9 3 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no subsistema de rede do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de rede do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2014-9914 A-32882659
Kernel upstream
Crítico Nexus 6, Jogador Nexus 9 de novembro de 2016

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Crítico devido à possibilidade de comprometimento local permanente do dispositivo, o que pode exigir a atualização do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0430 A-32838767*
B-RB#107459
Crítico Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Google interno

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidades em componentes da Qualcomm

A vulnerabilidade a seguir afeta os componentes da Qualcomm e é descrita em mais detalhes no boletim de segurança Qualcomm AMSS de setembro de 2016.

CVE Referências Gravidade* Dispositivos Google atualizados Data do relatório
CVE-2017-0431 A-32573899** Crítico Nenhum*** Qualcomm interno

* A classificação de gravidade para essas vulnerabilidades foi determinada pelo fornecedor.

** O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

*** Dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no driver MediaTek

Uma vulnerabilidade de elevação de privilégio no driver MediaTek pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0432 A-28332719*
M-ALPS02708925
Alto Nenhum** 21 de abril de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

** Os dispositivos Google com suporte no Android 7.0 ou posterior que instalaram todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Elevação de vulnerabilidade de privilégio no driver de tela sensível ao toque Synaptics

Uma vulnerabilidade de elevação de privilégio no driver da tela sensível ao toque Synaptics pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do chipset da tela sensível ao toque. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0433 A-31913571* Alto Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 de setembro de 2016
CVE-2017-0434 A-33001936* Alto Pixel, Pixel XL 18 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Secure Execution Environment Communicator

Uma vulnerabilidade de elevação de privilégio na unidade Qualcomm Secure Execution Environment Communicator pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8480 A-31804432
QC-CR#1086186 [ 2 ]
Alto Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 de setembro de 2016

Elevação de vulnerabilidade de privilégio no driver de som da Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver de som da Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8481 A-31906415*
QC-CR#1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 1º de outubro de 2016
CVE-2017-0435 A-31906657*
QC-CR#1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 1º de outubro de 2016
CVE-2017-0436 A-32624661*
QC-CR#1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0437 A-32402310
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2017-0438 A-32402604
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2017-0439 A-32450647
QC-CR#1092059
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2016-8419 A-32454494
QC-CR#1087209
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2016-8420 A-32451171
QC-CR#1087807
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2016-8421 A-32451104
QC-CR#1087797
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2017-0440 A-33252788
QC-CR#1095770
Alto Nexus 5X, Pixel, Pixel XL 11 de novembro de 2016
CVE-2017-0441 A-32872662
QC-CR#1095009
Alto Nexus 5X, Pixel, Pixel XL 11 de novembro de 2016
CVE-2017-0442 A-32871330
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 13 de novembro de 2016
CVE-2017-0443 A-32877494
QC-CR#1092497
Alto Nexus 5X, Pixel, Pixel XL 13 de novembro de 2016
CVE-2016-8476 A-32879283
QC-CR#1091940
Alto Nexus 5X, Pixel, Pixel XL 14 de novembro de 2016

Elevação de vulnerabilidade de privilégio no driver de som Realtek

An elevation of privilege vulnerability in the Realtek sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0444 A-32705232* Alto Nexus 9 Nov 7, 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Elevação da vulnerabilidade de privilégio no driver da tela sensível ao toque HTC

Uma vulnerabilidade de elevação de privilégio no driver da tela sensível ao toque HTC pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0445 A-32769717* Alto Pixel, Pixel XL Nov 9, 2016
CVE-2017-0446 A-32917445* Alto Pixel, Pixel XL Nov 15, 2016
CVE-2017-0447 A-32919560* Alto Pixel, Pixel XL Nov 15, 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. Esse problema é classificado como Alto porque pode ser usado para acessar dados confidenciais sem permissão explícita do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
Alto Nexus 9 Nov 7, 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto do kernel. Esse problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado e é mitigado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0449 A-31707909*
B-RB#32094
Moderado Nexus 6, Nexus 6P Sep 23, 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. This issue is rated as Moderate because it is mitigated by current platform configurations.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0450 A-32917432* Moderado Nexus 9 Nov 15, 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Vulnerabilidade de elevação de privilégios no sistema de arquivos do kernel

An elevation of privilege vulnerability in the kernel file system could enable a local malicious application to bypass protections that prevent an escalation of privileges. This issue is rated as Moderate because it is a general bypass for a user level defense in depth or exploit mitigation technology.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-10044 A-31711619* Moderado Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Google interno

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developer .

Information disclosure vulnerability in Qualcomm Secure Execution Environment Communicator

An information disclosure vulnerability in the Qualcomm Secure Execution Environment Communicator could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2016-8414 A-31704078
QC-CR#1076407
Moderado Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL Sep 23, 2016

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referências Gravidade Dispositivos Google atualizados Data do relatório
CVE-2017-0451 A-31796345
QC-CR#1073129 [ 2 ]
Moderado Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL Sep 27, 2016

Perguntas e respostas comuns

This section answers common questions that may occur after reading this bulletin.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2017-02-01 or later address all issues associated with the 2017-02-01 security patch level.
  • Security patch levels of 2017-02-05 or later address all issues associated with the 2017-02-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the February 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of February 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-02-01 and 2017-02-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisões

  • February 06, 2017: Bulletin published.
  • February 08, 2017: Bulletin revised to include AOSP links.