תאריך פרסום: 6 במרץ 2017 | תאריך עדכון: 7 במרץ 2017
עדכון האבטחה של Android מכיל פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android. בנוסף להודעה, פרסמנו עדכון אבטחה למכשירי Google באמצעות עדכון אוויר (OTA). קובצי האימג' של קושחת המכשיר של Google פורסמו גם באתר Google Developer. כל הבעיות האלה נפתרות ברמות תיקוני האבטחה מ-5 במרץ 2017 ואילך. לוח הזמנים של עדכוני Pixel ו-Nexus מסביר איך בודקים את רמת תיקון האבטחה של המכשיר.
השותפים עודכנו לגבי הבעיות המתוארות בעדכון ב-6 בפברואר 2017 או לפני כן. תיקוני קוד המקור לבעיות האלה פורסמו במאגר Android Open Source Project (AOSP) ויש קישור אליהם מהעדכון הזה. העדכון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיה החמורה ביותר היא נקודת חולשה קריטית באבטחה שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות כמה שיטות, כמו אימייל, גלישה באינטרנט והודעות MMS במהלך עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שעלולה להיות לניצול נקודת החולשה על מכשיר מושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של הבעיות החדשות האלה על ידי לקוחות או על ניצול לרעה שלהן. בקטע אמצעי מיטיגציה ל-Android ולשירותי Google מפורט מידע על אמצעי ההגנה של פלטפורמת האבטחה של Android ועל אמצעי הגנה על שירותים כמו SafetyNet, שמשפרים את האבטחה של פלטפורמת Android.
אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הודעות
- בעדכון הזה יש שתי מחרוזות של רמות תיקוני אבטחה, כדי לספק לשותפי Android גמישות לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. למידע נוסף, אפשר לעיין בשאלות נפוצות ותשובות:
- 2017-03-01: מחרוזת חלקית של רמת תיקון האבטחה. המחרוזת הזו של רמת תיקון האבטחה מציינת שכל הבעיות שמשויכות ל-01 במרץ 2017 (וכל המחרוזות הקודמות של רמת תיקון האבטחה) טופלו.
- 2017-03-05: מחרוזת מלאה של רמת תיקון האבטחה. המחרוזת הזו של רמת תיקון האבטחה מציינת שכל הבעיות שמשויכות ל-2017-03-01 ול-2017-03-05 (וכל המחרוזות הקודמות של רמת תיקון האבטחה) טופלו.
- מכשירי Google נתמכים יקבלו עדכון OTA אחד עם רמת תיקון האבטחה מ-5 במרץ 2017.
אמצעי מיטיגציה לשירותי Android ו-Google
זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android ועל ידי אמצעי הגנה על שירותים, כמו SafetyNet. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Verify Apps ו-SafetyNet, שנועדו להזהיר משתמשים לגבי אפליקציות שעלולות להזיק. התכונה 'אימות אפליקציות' מופעלת כברירת מחדל במכשירים עם Google Mobile Services, והיא חשובה במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play. אסור להפיץ כלים להסרת הרשאת root במכשיר ב-Google Play, אבל שירות אימות האפליקציות מזהיר משתמשים כשהם מנסים להתקין אפליקציית rooting שזוהתה – לא משנה מה המקור שלה. בנוסף, התכונה 'אימות אפליקציות' מנסה לזהות ולחסום התקנה של אפליקציות זדוניות ידועות שמנצלות נקודת חולשה של הסלמת הרשאות. אם אפליקציה כזו כבר הותקנה, התכונה 'אימות אפליקציות' תודיע למשתמש ותנסה להסיר את האפליקציה שזוהתה.
- בהתאם לצורך, אפליקציות Google Hangouts ו-Messenger לא מעבירות מדיה באופן אוטומטי לתהליכים כמו Mediaserver.
תודות
אנחנו רוצים להודות לחוקרים הבאים על התרומות שלהם:
- Alexander Potapenko מצוות Google Dynamic Tools: CVE-2017-0537
- Baozeng Ding, Chengming Yang, Peng Xiao ו-Yang Song מקבוצת האבטחה של Alibaba Mobile: CVE-2017-0506
- Baozeng Ding, Ning You, Chengming Yang, Peng Xiao ו-Yang Song מ-Alibaba Mobile Security Group: CVE-2017-0463
- Billy Lau מצוות האבטחה של Android: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek (@derrekr6) ו-Scott Bauer (@ScottyBauer1): CVE-2017-0521
- די שן (Di Shen) (@returnsme) מ-KeenLab (@keen_lab), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
- En He (@heeeeen4x) ו-Bo Liu מ-MS509Team: CVE-2017-0490
- Gengjia Chen (@chengjia4574) ו-pjf מ-IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
- Hao Chen ו-Guang Gong מצוות Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- הירוקיו ימאמוטו ופאנג צ'ן מ-Sony Mobile Communications Inc.: CVE-2017-0481
- חוקרי IBM Security X-Force, סאגי קדמי ורואי היי: CVE-2017-0510
- Jianjun Dai (@Jioun_dai) מ-Qihoo 360 Skyeye Labs: CVE-2017-0478
- ג'יאנגיאנג זאו (@jianqiangzhao) ו-pjf מ-IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534
- Lubo Zhang, Tong Lin, Yuan-Tsung Lo ו-Xuxian Jiang מ-C0RE Team: CVE-2016-8479
- מאקוטו אונוקי מ-Google: CVE-2017-0491
- Mingjian Zhou (@Mingjian_Zhou), Hanxiang Wen ו-Xuxian Jiang מ-C0RE Team: CVE-2017-0479, CVE-2017-0480
- Nathan Crandall (@natecray): CVE-2017-0535
- Nathan Crandall (@natecray) מצוות אבטחת המוצרים של Tesla Motors: CVE-2017-0306
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) מ-Baidu X-Lab (百度安全实验室): CVE-2016-8417
- Qidan He (何淇丹) (@flanker_hqd) מ-KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
- Qing Zhang מ-Qihoo 360 ו-Guangdong Bai מהמכון הטכנולוגי של סינגפור (SIT): CVE-2017-0496
- Quhe ו-wanchouchou מ-Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- Sahara של תקשורת מאובטחת ב-DarkMatter: CVE-2017-0528
- salls (@chris_salls) מצוות Shellphish Grill, UC Santa Barbara: CVE-2017-0505
- Scott Bauer (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516
- Sean Beaupre (beaups): CVE-2017-0455
- Seven Shen (@lingtongshen) מ-Trend Micro: CVE-2017-0452
- Shinichi Matsumoto מ-Fujitsu: CVE-2017-0498
- Stéphane Marques מ-ByteRev: CVE-2017-0489
- Svetoslav Ganov מ-Google: CVE-2017-0492
- Tong Lin, Yuan-Tsung Lo ו-Xuxian Jiang מ-C0RE Team: CVE-2017-0333
- V.E.O (@VYSEa) מMobile Threat Response Team, Trend Micro: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495
- Wish Wu (吴潍浠 此彼) (@wish_wu) מ-Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- Yu Pan מצוות Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo ו-Xuxian Jiang מ-C0RE Team: CVE-2017-0526, CVE-2017-0527
- Yuqi Lu (@nikos233), Wenke Dou, Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou) ו-Xuxian Jiang מצוות C0RE: CVE-2017-0483
- Zinuo Han (weibo.com/ele7enxxh) מ-Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497
רמת תיקון האבטחה מ-01 במרץ 2017 – פרטי הפגיעות
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 2017-03-01. הדיווח כולל תיאור של הבעיה, הסבר על מידת החומרה וטבלה עם מספר ה-CVE, מקורות מידע משויכים, מידת החומרה, מכשירי Google מעודכנים, גרסאות AOSP מעודכנות (אם רלוונטי) והתאריך שבו הבעיה דווחה. כשהדבר יהיה אפשרי, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
נקודת חולשה לביצוע קוד מרחוק ב-OpenSSL וב-BoringSSL
נקודת חולשה של הרצת קוד מרחוק ב-OpenSSL וב-BoringSSL עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום לנזק בזיכרון במהלך עיבוד הקבצים והנתונים. הבעיה הזו סווגה כקריטית בגלל האפשרות להריץ קוד מרחוק בהקשר של תהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | קריטי | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 באוגוסט 2016 |
נקודת חולשה לביצוע קוד מרחוק ב-Mediaserver
נקודת חולשה של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום לנזק בזיכרון במהלך עיבוד נתונים וקובצי מדיה. הבעיה הזו סווגה כקריטית בגלל האפשרות להריץ קוד מרחוק בהקשר של תהליך Mediaserver.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 25 בנובמבר 2016 |
| CVE-2017-0467 | A-33250932 [2] | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 30 בנובמבר 2016 |
| CVE-2017-0468 | A-33351708 [2] | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 5 בדצמבר 2016 |
| CVE-2017-0469 | A-33450635 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 8 בדצמבר 2016 |
| CVE-2017-0470 | A-33818500 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 21 בדצמבר 2016 |
| CVE-2017-0471 | A-33816782 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 21 בדצמבר 2016 |
| CVE-2017-0472 | A-33862021 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 23 בדצמבר 2016 |
| CVE-2017-0473 | A-33982658 | קריטי | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 30 בדצמבר 2016 |
| CVE-2017-0474 | A-32589224 | קריטי | הכול | 7.0, 7.1.1 | פנימי ל-Google |
נקודת חולשה של הרשאות מוגברות במאמת התאוששות
נקודת חולשה של הסלמת הרשאות באימות השחזור עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | קריטי | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 באוקטובר 2016 |
נקודת חולשה לביצוע קוד מרחוק ב-AOSP Messaging
נקודת חולשה של הרצת קוד מרחוק ב-AOSP Messaging עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום לנזק בזיכרון במהלך עיבוד נתונים וקובצי מדיה. הבעיה הזו סווגה ברמה גבוהה בגלל האפשרות להריץ קוד מרחוק בהקשר של תהליך ללא הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 6 בדצמבר 2016 |
נקודת חולשה לביצוע קוד מרחוק ב-libgdx
נקודת חולשה של הרצת קוד מרחוק ב-libgdx עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך ללא הרשאות. הדירוג של הבעיה הזו הוא גבוה בגלל האפשרות להריץ קוד מרחוק באפליקציה שמשתמשת בספרייה הזו.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | רחב | הכול | 7.1.1 | 14 בדצמבר 2016 |
נקודת חולשה לביצוע קוד מרחוק בספריית Framesequence
נקודת חולשה בהרצת קוד מרחוק בספריית Framesequence עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך ללא הרשאות. הדירוג של הבעיה הזו הוא גבוה בגלל האפשרות להריץ קוד מרחוק באפליקציה שמשתמשת בספריית Framesequence.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | רחב | הכול | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 בדצמבר 2016 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) ב-NFC
נקודת חולשה של הסלמת הרשאות ב-NFC עלולה לאפשר לתוקף שנמצא בקרבת מקום להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לקבל גישה מקומית ליכולות ברמה גבוהה, שבדרך כלל לא זמינות לאפליקציה של צד שלישי.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 בנובמבר 2016 |
נקודת חולשה של הסלמת הרשאות ב-Audioserver
נקודת חולשה של הסלמת הרשאות ב-Audioserver עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לקבל גישה מקומית ליכולות ברמה גבוהה, שאפליקציה של צד שלישי לא יכולה לגשת אליהן בדרך כלל.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 בנובמבר 2016 |
| CVE-2017-0480 | A-32705429 [2] | רחב | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 בנובמבר 2016 |
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Mediaserver
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום להקפאה או להפעלה מחדש של המכשיר. רמת החומרה של הבעיה היא גבוהה בגלל האפשרות להתקפת מניעת שירות מרחוק.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 22 בנובמבר 2016 |
| CVE-2017-0483 | A-33137046 [2] | רחב | הכול | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 בנובמבר 2016 |
| CVE-2017-0484 | A-33298089 [2] | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 1 בדצמבר 2016 |
| CVE-2017-0485 | A-33387820 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 6 בדצמבר 2016 |
| CVE-2017-0486 | A-33621215 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 14 בדצמבר 2016 |
| CVE-2017-0487 | A-33751193 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 19 בדצמבר 2016 |
| CVE-2017-0488 | A-34097213 | רחב | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | פנימי ל-Google |
נקודת חולשה מסוג סילוף הרשאות ב-Location Manager
נקודת חולשה של העלאת רמת הרשאה ב'מנהל המיקום' עלולה לאפשר לאפליקציה זדונית מקומית לעקוף את ההגנות של מערכת ההפעלה על נתוני המיקום. הדירוג של הבעיה הזו הוא 'בינונית' כי אפשר להשתמש בה כדי ליצור נתונים לא מדויקים.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | בינונית | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 בנובמבר 2016 |
נקודת חולשה של הסלמת הרשאות (privilege escalation) ב-Wi-Fi
נקודת חולשה של העלאת הרשאות ב-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית למחוק נתוני משתמשים. הדירוג של הבעיה הזו הוא 'בינונית' כי מדובר במעקף מקומי של דרישות האינטראקציה עם המשתמש, שבדרך כלל מחייבות את המשתמש להתחיל את האינטראקציה או לקבל הרשאה לכך.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | בינונית | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 25 בנובמבר 2016 |
נקודת חולשה של הרשאות מוגברות ב-Package Manager
נקודת חולשה של העלאת הרשאות ב-Package Manager עלולה לאפשר לאפליקציה זדונית מקומית למנוע ממשתמשים להסיר אפליקציות או להסיר הרשאות מאפליקציות. הדירוג של הבעיה הזו הוא 'בינונית' כי מדובר במעקף מקומי של דרישות האינטראקציה עם המשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | בינונית | הכול | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | פנימי ל-Google |
נקודת חולשה של הסלמת הרשאות בממשק המשתמש של המערכת
נקודת חולשה של הסלמת הרשאות בממשק המשתמש של המערכת עלולה לאפשר לאפליקציה זדונית מקומית ליצור שכבת-על של ממשק משתמש שתכסה את כל המסך. הבעיה הזו סווגה כבעיה ברמה בינונית כי היא עקיפה מקומית של דרישות האינטראקציה עם המשתמש, שבדרך כלל מחייבות את המשתמש להתחיל את הפעולה או לקבל הרשאה לכך.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | בינונית | הכול | 7.1.1 | פנימי ל-Google |
נקודת חולשה של חשיפת מידע ב-AOSP Messaging
נקודת חולשה של חשיפת מידע ב-AOSP Messaging עלולה לאפשר לתוקף מרחוק לגשת לנתונים מחוץ לרמות ההרשאות שלו באמצעות קובץ שנוצר במיוחד. הדירוג של הבעיה הזו הוא 'בינונית' כי אפשר להשתמש בה כדי לגשת למידע רגיש ללא הרשאה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | בינונית | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 9 בנובמבר 2016 |
נקודת חולשה של חשיפת מידע ב-Mediaserver
נקודת חולשה של חשיפת מידע ב-Mediaserver עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי אפשר להשתמש בה כדי לגשת למידע אישי רגיש ללא הרשאה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | בינונית | הכול | 6.0, 6.0.1, 7.0, 7.1.1 | 11 בדצמבר 2016 |
נקודת חולשה של התקפת מניעת שירות (DoS) באשף ההגדרה
נקודת חולשה של התקפת מניעת שירות (DoS) באשף ההגדרה עלולה לאפשר לאפליקציה זדונית מקומית לחסום באופן זמני את הגישה למכשיר המושפע. הבעיה הזו סווגה כבעיה בינונית כי יכול להיות שיהיה צורך לבצע איפוס להגדרות המקוריות כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | בינונית | ללא** | 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 בספטמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Google, שזמינים באתר Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של התקפת מניעת שירות ב-Mediaserver
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ שנוצר במיוחד כדי לגרום להקפאה או להפעלה מחדש של המכשיר. הדירוג של הבעיה הזו הוא 'בינונית' כי היא דורשת הגדרה נדירה של המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | בינונית | הכול | 7.0, 7.1.1 | 2 בדצמבר 2016 |
נקודת חולשה של התקפת מניעת שירות (DoS) באשף ההגדרה
נקודת חולשה של התקפת מניעת שירות (DoS) באשף ההגדרה עלולה לאפשר לתוקף מקומי לדרוש כניסה לחשבון Google אחרי איפוס להגדרות המקוריות. הדירוג של הבעיה הזו הוא 'בינונית' כי יכול להיות שיהיה צורך לבצע איפוס להגדרות המקוריות כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [2] | בינונית | הכול | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | פנימי ל-Google |
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Audioserver
נקודת חולשה של התקפת מניעת שירות (DoS) ב-Audioserver עלולה לאפשר לאפליקציה מקומית זדונית לגרום להקפאה או להפעלה מחדש של המכשיר. הבעיה הזו סווגה ברמה נמוכה בגלל האפשרות להתקפת מניעת שירות (DoS) זמנית.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | נמוכה | הכול | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 באוקטובר 2016 |
רמת תיקון האבטחה מ-5 במרץ 2017 – פרטי הפגיעות
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון מ-5 במרץ 2017. הדיווח כולל תיאור של הבעיה, הסבר על מידת החומרה וטבלה עם מספר ה-CVE, מקורות מידע משויכים, מידת החומרה, מכשירי Google מעודכנים, גרסאות AOSP מעודכנות (אם רלוונטי) והתאריך שבו הבעיה דווחה. כשהדבר יהיה אפשרי, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
נקודת חולשה של הרשאות מוגברות ברכיבים של MediaTek
נקודת חולשה של העלאת הרשאות ברכיבי MediaTek, כולל מנהל ההתקן M4U, מנהל ההתקן של הצליל, מנהל ההתקן של מסך המגע, מנהל ההתקן של GPU ומנהל ההתקן של Command Queue, עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב את הבעלים לבצע איפוס של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
קריטי | ללא** | 27 באפריל 2016 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
קריטי | ללא** | 27 באפריל 2016 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
קריטי | ללא** | 27 באפריל 2016 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
קריטי | ללא** | 28 באפריל 2016 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
קריטי | ללא** | 9 ביולי 2016 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
קריטי | ללא** | 28 בספטמבר 2016 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
קריטי | ללא** | 18 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הרשאות מוגברות במנהל ההתקן של NVIDIA GPU
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ההתקנים של NVIDIA GPU עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
קריטי | Pixel C | 6 באוקטובר 2016 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
קריטי | Pixel C | 21 בנובמבר 2016 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
קריטי | Pixel C | 25 בדצמבר 2016 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
קריטי | Nexus 9 | 6 בינואר 2017 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
קריטי | Pixel C | פנימי ל-Google |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הרשאות מוגברות במערכת המשנה ION של הליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) במערכת המשנה ION של הליבה עשויה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה קבועה במכשיר המקומי, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | קריטי | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 6 באוקטובר 2016 |
| CVE-2017-0508 | A-33940449* | קריטי | Pixel C | 28 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-Wi-Fi של Broadcom
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-Wi-Fi של Broadcom עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה קבועה במכשיר המקומי, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
קריטי | ללא** | 12 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
פרצת אבטחה מסוג הרשאות מוגברות בכלי לניפוי באגים של FIQ בליבה
נקודת חולשה של הסלמת הרשאות במנטר ה-FIQ של הליבה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | קריטי | Nexus 9 | 25 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הרשאות מוגברות במנהל ההתקן של GPU של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-GPU של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
קריטי | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 29 בספטמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הרשאות מוגברות במערכת המשנה של רשת הליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) במערכת המשנה של הרשת בליבה עשויה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה קבועה במכשיר המקומי, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 ליבה של Upstream |
קריטי | Pixel C, Pixel, Pixel XL | 4 בדצמבר 2016 |
| CVE-2016-10200 | A-33753815 ליבה של Upstream |
קריטי | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 בדצמבר 2016 |
נקודות חולשה ברכיבים של Qualcomm
נקודת החולשה הבאה משפיעה על רכיבי Qualcomm, והיא מתוארת בפירוט נוסף בעדכון האבטחה של Qualcomm AMSS מחודש ספטמבר 2016.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2016-8485 | A-28823681** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2016-8486 | A-28823691** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2016-8487 | A-28823724** | קריטי | ללא*** | Qualcomm פנימית |
| CVE-2016-8488 | A-31625756** | קריטי | ללא*** | Qualcomm פנימית |
* דירוג החומרה של נקודות החולשה האלה נקבע על ידי הספק.
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
*** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הרשאות מוגברות במערכת המשנה של רשת הליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) במערכת המשנה של הרשת בליבה עשויה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 ליבה של Upstream |
רחב | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 12 באוקטובר 2016 |
| CVE-2016-9793 | A-33363517 ליבה של Upstream |
רחב | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 2 בדצמבר 2016 |
נקודת חולשה של העלאת הרשאות במנהל החומרה של קלט Qualcomm
פגיעות מסוג העלאת הרשאות במנהל החומרה של קלט Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
רחב | Android One, Pixel, Pixel XL | 21 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של העלאת הרשאות בנהג החיישן לחומרה של MediaTek
נקודת חולשה של העלאת הרשאות במנהל ההתקן של חיישן החומרה של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
רחב | ללא** | 22 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הרשאות מוגברות במנהל Qualcomm ADSPRPC
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm ADSPRPC עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 בספטמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של העלאת הרשאות במנהל של חיישן טביעות האצבע של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל של חיישן טביעות האצבע של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
רחב | Pixel, Pixel XL | 24 באוקטובר 2016 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
רחב | Pixel, Pixel XL | 24 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של העלאת הרשאות בנהג של מנוע הקריפטו של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל של מנוע הקריפטו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 24 בספטמבר 2016 |
נקודת חולשה של הרשאות מוגברות במנהל המצלמה של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
רחב | Pixel, Pixel XL | 31 באוקטובר 2016 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
רחב | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 בנובמבר 2016 |
נקודת חולשה של הסלמת הרשאות ב-MediaTek APK
נקודת חולשה של העלאת הרשאות ב-APK של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות. הבעיה הזו קיבלה דירוג גבוה בגלל האפשרות להריץ קוד שרירותי באופן מקומי בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
רחב | ללא** | 15 בנובמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-Wi-Fi של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-Wi-Fi של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
רחב | Nexus 5X, Pixel, Pixel XL | 15 בנובמבר 2016 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
רחב | Nexus 5X, Android One | 30 בדצמבר 2016 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
רחב | ללא* | פנימי ל-Google |
* מכשירי Google נתמכים עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל המסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | רחב | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 בנובמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ה-IPA של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל Qualcomm IPA עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
רחב | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 בנובמבר 2016 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
רחב | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 בנובמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הרשאות מוגברות ב-HTC Sensor Hub Driver
נקודת חולשה של הסלמת הרשאות ב-HTC Sensor Hub Driver עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | רחב | Nexus 9 | 25 בדצמבר 2016 |
| CVE-2017-0527 | A-33899318* | רחב | Nexus 9, Pixel, Pixel XL | 25 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הרשאות מוגברות במנהל ההתקן של NVIDIA GPU
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל ההתקנים של NVIDIA GPU עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הבעיה הזו סווגה כקריטית בגלל האפשרות של פגיעה חמורה ומקיפה במכשיר, שעשויה לחייב הפעלה מחדש של מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
רחב | ללא** | 28 בנובמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הרשתות של Qualcomm
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל הרשתות של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 30 בנובמבר 2016 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
רחב | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | פנימי ל-Google |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הרשאות מוגברות במערכת המשנה לאבטחת הליבה
נקודת חולשה של הסלמת הרשאות (privilege escalation) במערכת המשנית לאבטחת הליבה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד בהקשר של תהליך בעל הרשאות. הבעיה הזו סווגה ברמה גבוהה כי היא עקיפה כללית של הגנה לעומק ברמת הליבה או של טכנולוגיית הפחתת נקודות חולשה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | רחב | Pixel, Pixel XL | 4 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של הסלמת הרשאות (privilege escalation) בנהג Qualcomm SPCom
נקודת חולשה של הסלמת הרשאות (privilege escalation) ב-Qualcomm SPCom driver עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. רמת הסיכון של הבעיה הזו היא גבוהה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
רחב | ללא* | פנימי ל-Google |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
רחב | ללא* | פנימי ל-Google |
* מכשירי Google נתמכים עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של חשיפת מידע במערכת המשנה של רשת הליבה
נקודת חולשה בחשיפת מידע במערכת המשנה של הרשת בליבה עלולה לאפשר לתוקף מקומי בקרבת מקום לקבל גישה למידע רגיש. הבעיה הזו סווגה ברמה גבוהה כי אפשר להשתמש בה כדי לגשת לנתונים ללא הרשאה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 ליבה ב-upstream |
רחב | Nexus Player | 9 בנובמבר 2014 |
נקודת חולשה של חשיפת מידע ב-MediaTek driver
נקודת חולשה של חשיפת מידע ב-MediaTek driver עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לגשת למידע רגיש ללא הרשאה מפורשת מהמשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
רחב | ללא** | 27 באפריל 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה של חשיפת מידע ב-Qualcomm bootloader
נקודת חולשה של חשיפת מידע ב-bootloader של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של ה-bootloader. הבעיה הזו סווגה ברמה גבוהה כי היא מאפשרת לעקוף באופן כללי את ההגנה לעומק ברמת האתחול או את טכנולוגיית הפחתת נקודות החולשה.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
רחב | Pixel, Pixel XL | 21 באוקטובר 2016 |
נקודת חולשה לחשיפת מידע ב-Qualcomm power driver
נקודת חולשה של חשיפת מידע ב-Qualcomm power driver עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לגשת למידע אישי רגיש ללא אישור מפורש מהמשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
רחב | Nexus 5X, Nexus 6P | 19 בדצמבר 2016 |
נקודת חולשה לחשיפת מידע במנהל ה-GPU של NVIDIA
נקודת חולשה של חשיפת מידע במנהל ה-GPU של NVIDIA עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאה שלה. הדירוג של הבעיה הזו הוא גבוה כי אפשר להשתמש בה כדי לגשת למידע רגיש ללא הרשאה מפורשת מהמשתמש.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
רחב | Pixel C | 30 בנובמבר 2016 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
רחב | Pixel C | פנימי ל-Google |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של התקפת מניעת שירות (DoS) בתת-מערכת הקריפטוגרפית של הליבה
נקודת חולשה של התקפת מניעת שירות (DoS) במערכת המשנה הקריפטוגרפית של הליבה עלולה לאפשר לתוקף מרוחק להשתמש בחבילת רשת שנוצרה במיוחד כדי לגרום להקפאה או להפעלה מחדש של המכשיר. הדירוג של הבעיה הזו הוא גבוה בגלל האפשרות להתקפת מניעת שירות מרחוק.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 ליבה של Upstream |
רחב | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 באוקטובר 2016 |
נקודת חולשה של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm (ספציפית למכשיר)
נקודת חולשה של הסלמת הרשאות (privilege escalation) במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של הליבה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות, והיא מונעת על ידי הגדרות הפלטפורמה הנוכחיות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
בינונית | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 באוקטובר 2016 |
נקודת חולשה לחשיפת מידע במנהל ה-Wi-Fi של Qualcomm
נקודת חולשה של חשיפת מידע במנהל ה-Wi-Fi של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
בינונית | Android One, Nexus 5X, Pixel, Pixel XL | 9 באוקטובר 2016 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
בינונית | Pixel, Pixel XL | 3 בנובמבר 2016 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
בינונית | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | 13 בנובמבר 2016 |
נקודת חולשה לחשיפת מידע במנהל הקודק של וידאו של MediaTek
נקודת חולשה של חשיפת מידע במנהל הקודק של וידאו של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
בינונית | ללא** | 22 באוקטובר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
** מכשירים נתמכים של Google עם Android מגרסה 7.0 ואילך, שבהם הותקנו כל העדכונים הזמינים, לא מושפעים מנקודת החולשה הזו.
נקודת חולשה לחשיפת מידע במנהל הווידאו של Qualcomm
נקודת חולשה של חשיפת מידע במנהל הווידאו של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
בינונית | Pixel, Pixel XL | 27 באוקטובר 2016 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
בינונית | Pixel, Pixel XL | 28 באוקטובר 2016 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
בינונית | Pixel, Pixel XL | 28 באוקטובר 2016 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
בינונית | Pixel, Pixel XL | 28 באוקטובר 2016 |
נקודת חולשה בחשיפת מידע במנהל המצלמה של Qualcomm
נקודת חולשה של חשיפת מידע במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
בינונית | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 4 בנובמבר 2016 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [2] |
בינונית | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 בנובמבר 2016 |
נקודת חולשה לחשיפת מידע במנהל הקודק של הצליל של HTC
נקודת חולשה של חשיפת מידע במנהל הקודק של הצליל של HTC עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | בינונית | Nexus 9 | 11 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של חשיפת מידע במנהל של מסך המגע של Synaptics
נקודת חולשה של חשיפת מידע במנהל של מסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | בינונית | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 12 בדצמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה של חשיפת מידע במנהל ההתקן של גאדג'ט USB בליבה
נקודת חולשה של חשיפת מידע במנהל ההתקן של גאדג'טים ב-USB בליבה עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הדירוג של הבעיה הזו הוא 'בינונית' כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | בינונית | Pixel C | פנימי ל-Google |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
נקודת חולשה בחשיפת מידע במנהל המצלמה של Qualcomm
נקודת חולשה של חשיפת מידע במנהל המצלמה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית לגשת לנתונים מחוץ לרמות ההרשאות שלה. הבעיה הזו סווגה ברמה נמוכה כי קודם צריך לפגוע בתהליך בעל הרשאות.
| CVE | קובצי עזר | מידת החומרה | מכשירים מעודכנים של Google | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
נמוכה | Nexus 5X, Nexus 6P, Android One | 10 בנובמבר 2016 |
* התיקון לבעיה הזו לא זמין לציבור. העדכון נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים ב אתר של Google Developers.
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
במאמר לוח הזמנים של עדכוני Pixel ו-Nexus מוסבר איך בודקים את רמת תיקון האבטחה של מכשיר.
- רמות תיקוני האבטחה מ-1 במרץ 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-1 במרץ 2017.
- רמות תיקון האבטחה מ-5 במרץ 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-5 במרץ 2017 וכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון ל-:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. למה יש בעדכון הזה שתי רמות של תיקוני אבטחה?
בעדכון הזה יש שתי רמות תיקון אבטחה, כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות שמפורטות בדף העדכונים הזה ולהשתמש ברמת התיקון האחרונה של האבטחה.
- מכשירים עם רמת תיקון האבטחה מ-1 במרץ 2017 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בעדכוני האבטחה הקודמים.
- במכשירים עם תיקון אבטחה ברמה של 5 במרץ 2017 ואילך חייבים לכלול את כל התיקונים הרלוונטיים מהעדכונים האלה (ומהעדכונים הקודמים).
מומלץ לשותפים לארוז את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. איך אפשר לדעת אילו מכשירי Google מושפעים מכל בעיה?
בקטעים 2017-03-01 ו-2017-03-05 של פרטי נקודות החולשה באבטחה, בכל טבלה יש עמודה מכשירי Google מעודכנים שמפרטת את מגוון מכשירי Google שהושפעו ועודכנו לכל בעיה. בעמודה הזו יש כמה אפשרויות:
- כל מכשירי Google: אם בעיה משפיעה על כל המכשירים ועל מכשירי Pixel, בעמודה מכשירי Google מעודכנים יופיע הכיתוב 'הכול'. האפשרות 'הכול' כוללת את המכשירים הנתמכים הבאים: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ו-Pixel XL.
- חלק ממכשירי Google: אם הבעיה לא משפיעה על כל מכשירי Google, מכשירי Google המושפעים מופיעים בעמודה מכשירי Google מעודכנים.
- אין מכשירי Google: אם הבעיה לא משפיעה על מכשירי Google עם Android מגרסה 7.0, בעמודה מכשירי Google מעודכנים יופיע הערך 'ללא'.
4. לאילו פריטים מתמפות הרשומות בעמודה 'הפניות'?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות לכלול קידומת שמזהה את הארגון שאליו שייך ערך העזר. התחיליות האלה ממופות באופן הבא:
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר הסימוכין של Qualcomm |
| M- | מספר הסימוכין של MediaTek |
| N- | מספר הסימוכין של NVIDIA |
| B- | מספר הסימוכין של Broadcom |
גרסאות קודמות
- 6 במרץ 2017: פורסם עדכון בנושא.
- 7 במרץ 2017: העדכון עודכן ונוספו אליו קישורים ל-AOSP.