פורסם ב-06 במרץ 2017 | עודכן ב-07 במרץ 2017
עלון האבטחה של אנדרואיד מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד. לצד העלון, פרסמנו עדכון אבטחה למכשירי Google באמצעות עדכון אוויר (OTA). תמונות הקושחה של מכשיר Google שוחררו גם לאתר Google Developer . רמות תיקון האבטחה של 5 במרץ 2017 ואילך מטפלות בכל הבעיות הללו. עיין בלוח הזמנים של עדכון Pixel ו-Nexus כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר.
שותפים קיבלו הודעה על הבעיות המתוארות בעלון ב-6 בפברואר 2017 או קודם לכן. תיקוני קוד מקור עבור בעיות אלה שוחררו למאגר Android Open Source Project (AOSP) וקישרו מעלון זה. עלון זה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
החמורה ביותר מבין הבעיות הללו היא פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק במכשיר מושפע באמצעות מספר שיטות כגון דואר אלקטרוני, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה. הערכת החומרה מבוססת על ההשפעה שאולי תהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההפחתות השירות מושבתות למטרות פיתוח או אם יעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף הפחתת השירותים של אנדרואיד וגוגל לפרטים על הגנות פלטפורמת האבטחה של אנדרואיד והגנות שירות כגון SafetyNet , המשפרות את האבטחה של פלטפורמת אנדרואיד.
אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.
הכרזות
- בעלון זה כולל שתי מחרוזות ברמת תיקון אבטחה כדי לספק לשותפים של Android את הגמישות לתקן במהירות רבה יותר תת-קבוצה של פגיעויות הדומות בכל מכשירי Android. ראה שאלות ותשובות נפוצות למידע נוסף:
- 2017-03-01 : מחרוזת רמת תיקון אבטחה חלקית. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2017-03-01 (וכל מחרוזות רמת תיקון האבטחה הקודמות) מטופלות.
- 2017-03-05 : השלם מחרוזת רמת תיקון האבטחה. מחרוזת רמת תיקון אבטחה זו מציינת שכל הבעיות הקשורות ל-2017-03-01 ו-2017-03-05 (וכל המחרוזות הקודמות ברמת תיקון האבטחה) מטופלות.
- מכשירי Google נתמכים יקבלו עדכון OTA יחיד עם רמת תיקון האבטחה של 5 במרץ 2017.
הפחתות שירותי אנדרואיד וגוגל
זהו סיכום של ההקלות המסופקות על ידי פלטפורמת האבטחה אנדרואיד והגנות שירות, כגון SafetyNet. יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet , שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק . Verify Apps מופעל כברירת מחדל במכשירים עם שירותי Google Mobile וחשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון Mediaserver.
תודות
ברצוננו להודות לחוקרים אלו על תרומתם:
- אלכסנדר פוטפנקו מצוות Google Dynamic Tools: CVE-2017-0537
- Baozeng Ding, Chengming Yang, Peng Xiao ו-Yang Song של Alibaba Mobile Security Group: CVE-2017-0506
- Baozeng Ding, Ning You, Chengming Yang, Peng Xiao, ו-Yang Song של Alibaba Mobile Security Group: CVE-2017-0463
- בילי לאו מאבטחת אנדרואיד: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- derrek ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek ( @derrekr6 ) וסקוט באואר ( @ScottyBauer1 ): CVE-2017-0521
- Di Shen ( @returnsme ) מ- KeenLab ( @keen_lab ), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
- En He ( @heeeeen4x ) ובו ליו מ- MS509Team : CVE-2017-0490
- Gengjia Chen ( @chengjia4574 ) ו- pjf מ- IceSword Lab, Qihoo 360 Technology Co. Ltd. CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
- האו צ'ן וגואנג גונג מ-Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- הירוקי יאמאמוטו ופאנג צ'ן מחברת Sony Mobile Communications Inc.: CVE-2017-0481
- חוקרי IBM Security X-Force שגיא קדמי ו-Roee Hay: CVE-2017-0510
- Jianjun Dai ( @Jioun_dai ) מ- Qihoo 360 Skyeye Labs : CVE-2017-0478
- Jianqiang Zhao ( @jianqiangzhao ) ו- pjf של IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-201017, CVE-201017,-CVE-2016-8478 , CVE-2017-0533, CVE-2017-0534
- Lubo Zhang , Tong Lin , Yuan-Tsung Lo , ו-Xuxian Jiang מצוות C0RE : CVE-2016-8479
- Makoto Onuki מגוגל: CVE-2017-0491
- Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen ו- Xuxian Jiang מצוות C0RE : CVE-2017-0479, CVE-2017-0480
- נתן קרנדל ( @natecray ): CVE-2017-0535
- נתן קרנדל ( @natecray ) מצוות אבטחת המוצר של טסלה מוטורס: CVE-2017-0306
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) של Baidu X-Lab (百度安全实验室): CVE-2016-8417
- Qidan He (何淇丹) ( @flanker_hqd ) מ-KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
- צ'ינג ג'אנג מ-Qihoo 360 וגואנגדונג באי מהמכון הטכנולוגי של סינגפור (SIT): CVE-2017-0496
- Quhe ו-wanchouchou ממעבדת האבטחה של Ant-financial Light-Year Security (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- סהרה של תקשורת מאובטחת ב-DarkMatter: CVE-2017-0528
- salls ( @chris_salls ) של Shellphish Grill Team, UC סנטה ברברה: CVE-2017-0505
- סקוט באואר ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
- שון בופרה (ביפים): CVE-2017-0455
- Seven Shen ( @lingtongshen ) של Trend Micro: CVE-2017-0452
- Shinichi Matsumoto מ-Fujitsu: CVE-2017-0498
- Stéphane Marques מ- ByteRev : CVE-2017-0489
- Svetoslav Ganov מגוגל: CVE-2017-0492
- טונג לין , יואן-טסונג לו ו-Xuxian Jiang מצוות C0RE : CVE-2017-0333
- VEO ( @VYSEa ) של Mobile Threat Response Team , Trend Micro : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-04717, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-4917, CVE-4917, 2017-0495
- Wish Wu (吴潍浠 此彼) ( @wish_wu ) של Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- יו פאן מ-Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo , ו-Xuxian Jiang מצוות C0RE : CVE-2017-0526, CVE-2017-0527
- Yuqi Lu ( @nikos233 ), Wenke Dou , Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ), ו-Xuxian Jiang מצוות C0RE : CVE-2017-0483
- Zinuo Han ( weibo.com/ele7enxxh ) ממרכז התגובה האבטחה של צ'נגדו, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497
רמת תיקון האבטחה של 2017-03-01—פרטי פגיעות
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2017-03-01. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Google מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
פגיעות של ביצוע קוד מרחוק ב-OpenSSL ו-BoringSSL
פגיעות של ביצוע קוד מרחוק ב-OpenSSL ו-BoringSSL עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצים ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | קריטי | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 באוגוסט 2016 |
פגיעות של ביצוע קוד מרחוק ב-Mediaserver
פגיעות של ביצוע קוד מרחוק ב-Mediaserver עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ונתונים. בעיה זו מדורגת כקריטית בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך Mediaserver.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [ 2 ] | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 25 בנובמבר 2016 |
| CVE-2017-0467 | A-33250932 [ 2 ] | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 30 בנובמבר 2016 |
| CVE-2017-0468 | A-33351708 [ 2 ] | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 5 בדצמבר 2016 |
| CVE-2017-0469 | A-33450635 | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 8 בדצמבר 2016 |
| CVE-2017-0470 | A-33818500 | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 21 בדצמבר 2016 |
| CVE-2017-0471 | א-33816782 | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 21 בדצמבר 2016 |
| CVE-2017-0472 | A-33862021 | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 23 בדצמבר 2016 |
| CVE-2017-0473 | A-33982658 | קריטי | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 30 בדצמבר 2016 |
| CVE-2017-0474 | A-32589224 | קריטי | את כל | 7.0, 7.1.1 | Google פנימי |
פגיעות העלאת הרשאות במאמת השחזור
פגיעות העלאת הרשאות במאמת השחזור עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | קריטי | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 באוקטובר 2016 |
פגיעות של ביצוע קוד מרחוק ב-AOSP Messaging
פגיעות של ביצוע קוד מרחוק ב-AOSP Messaging עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לגרום לפגיעה בזיכרון במהלך עיבוד קבצי מדיה ומידע. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק בהקשר של תהליך לא מוגן.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0476 | א-33388925 | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 6 בדצמבר 2016 |
פגיעות של ביצוע קוד מרחוק ב-libgdx
פגיעות של ביצוע קוד מרחוק ב-libgdx עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד להפעיל קוד שרירותי בהקשר של תהליך חסר הרשאות. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק באפליקציה שמשתמשת בספרייה זו.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | גָבוֹהַ | את כל | 7.1.1 | 14 בדצמבר 2016 |
פגיעות של ביצוע קוד מרחוק בספריית Framesequence
פגיעות של ביצוע קוד מרחוק בספריית Framesequence עלולה לאפשר לתוקף המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך חסר הרשאות. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד מרחוק באפליקציה המשתמשת בספריית Framesequence.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0478 | א-33718716 | גָבוֹהַ | את כל | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 בדצמבר 2016 |
הפגיעות של העלאת הרשאות ב-NFC
הפגיעות של העלאת הרשאות ב-NFC עלולה לאפשר לתוקף קרוב להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0481 | א-33434992 | גָבוֹהַ | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 בנובמבר 2016 |
הפגיעות של העלאת הרשאות ב- Audioserver
הפגיעות של העלאת הרשאות ב-Audioserver עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של תהליך מיוחס. בעיה זו מדורגת כגבוהה מכיוון שניתן להשתמש בה כדי לקבל גישה מקומית ליכולות מוגברות, שבדרך כלל אינן נגישות לאפליקציה של צד שלישי.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [ 2 ] | גָבוֹהַ | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 בנובמבר 2016 |
| CVE-2017-0480 | A-32705429 [ 2 ] | גָבוֹהַ | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 בנובמבר 2016 |
פגיעות מניעת שירות ב-Mediaserver
פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. בעיה זו מדורגת כחומרה גבוהה בשל האפשרות של מניעת שירות מרחוק.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 22 בנובמבר 2016 |
| CVE-2017-0483 | A-33137046 [ 2 ] | גָבוֹהַ | את כל | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 בנובמבר 2016 |
| CVE-2017-0484 | A-33298089 [ 2 ] | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 1 בדצמבר 2016 |
| CVE-2017-0485 | A-33387820 | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 6 בדצמבר 2016 |
| CVE-2017-0486 | א-33621215 | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 14 בדצמבר 2016 |
| CVE-2017-0487 | א-33751193 | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 19 בדצמבר 2016 |
| CVE-2017-0488 | א-34097213 | גָבוֹהַ | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | Google פנימי |
פגיעות העלאת הרשאות במנהל המיקום
פגיעות העלאת הרשאות ב-Location Manager עלולה לאפשר לאפליקציה זדונית מקומית לעקוף הגנות של מערכת הפעלה עבור נתוני מיקום. בעיה זו מדורגת כמתונה מכיוון שהיא עשויה לשמש ליצירת נתונים לא מדויקים.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | לְמַתֵן | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 בנובמבר 2016 |
הפגיעות של העלאת הרשאות ב-Wi-Fi
הפגיעות של העלאת הרשאות ב-Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית למחוק נתוני משתמש. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים שבדרך כלל תצריך ייזום משתמש או הרשאת משתמש.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [ 2 ] [ 3 ] | לְמַתֵן | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 25 בנובמבר 2016 |
הפגיעות של העלאת הרשאות במנהל החבילות
פגיעות העלאת הרשאות במנהל החבילות עלולה לאפשר ליישום זדוני מקומי למנוע ממשתמשים להסיר התקנה של יישומים או להסיר הרשאות מיישומים. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של דרישות האינטראקציה של המשתמשים.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | לְמַתֵן | את כל | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google פנימי |
הפגיעות של העלאת הרשאות בממשק המשתמש של המערכת
הפגיעות של העלאת הרשאות בממשק המשתמש של המערכת עלולה לאפשר לאפליקציה זדונית מקומית ליצור שכבת-על של ממשק משתמש המכסה את המסך כולו. בעיה זו מדורגת כמתונה מכיוון שהיא עקיפת מקומית של דרישות אינטראקציה של משתמשים שבדרך כלל תצריך ייזום משתמש או הרשאת משתמש.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | לְמַתֵן | את כל | 7.1.1 | Google פנימי |
פגיעות של חשיפת מידע ב-AOSP Messaging
פגיעות של חשיפת מידע ב-AOSP Messaging עלולה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0494 | א-32764144 | לְמַתֵן | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 9 בנובמבר 2016 |
פגיעות של חשיפת מידע ב-Mediaserver
פגיעות של חשיפת מידע ב-Mediaserver עלולה לאפשר ליישום זדוני מקומי לגשת לנתונים מחוץ לרמות ההרשאה שלו. בעיה זו מדורגת כמתונה מכיוון שניתן להשתמש בה כדי לגשת לנתונים רגישים ללא רשות.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | לְמַתֵן | את כל | 6.0, 6.0.1, 7.0, 7.1.1 | 11 בדצמבר 2016 |
פגיעות מניעת שירות באשף ההתקנה
פגיעות של מניעת שירות באשף ההתקנה עלולה לאפשר לאפליקציה זדונית מקומית לחסום זמנית את הגישה למכשיר מושפע. בעיה זו מדורגת כמתונה מכיוון שהיא עשויה לדרוש איפוס להגדרות היצרן כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | לְמַתֵן | אף אחד** | 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 בספטמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקנים הבינאריים העדכניים ביותר עבור מכשירי Google הזמינים מאתר Google Developer .
** מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
פגיעות מניעת שירות ב-Mediaserver
פגיעות של מניעת שירות ב-Mediaserver עלולה לאפשר לתוקף להשתמש בקובץ בעל מבנה מיוחד כדי לגרום להתקן להיתקע או לאתחל מחדש. בעיה זו מדורגת כמתונה מכיוון שהיא דורשת תצורת מכשיר לא שכיחה.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | לְמַתֵן | את כל | 7.0, 7.1.1 | 2 בדצמבר 2016 |
פגיעות מניעת שירות באשף ההתקנה
פגיעות מניעת שירות באשף ההתקנה עלולה לאפשר לתוקף מקומי לדרוש כניסה לחשבון Google לאחר איפוס להגדרות היצרן. בעיה זו מדורגת כמתונה מכיוון שהיא עשויה לדרוש איפוס להגדרות היצרן כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [ 2 ] | לְמַתֵן | את כל | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google פנימי |
פגיעות מניעת שירות בשרת אודיו
פגיעות של מניעת שירות ב-Audioserver עלולה לאפשר לאפליקציה זדונית מקומית לגרום למכשיר להיתקע או לאתחל מחדש. נושא זה מדורג כנמוך בשל אפשרות של מניעת שירות זמנית.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | גרסאות AOSP מעודכנות | תאריך דיווח |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | נָמוּך | את כל | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 באוקטובר 2016 |
רמת תיקון האבטחה של 2017-03-05—פרטי פגיעות
בסעיפים שלהלן, אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון של 2017-03-05. יש תיאור של הבעיה, רציונל חומרה וטבלה עם ה-CVE, הפניות משויכות, חומרה, מכשירי Google מעודכנים, גרסאות AOSP מעודכנות (כאשר רלוונטי) ותאריך הדיווח. כאשר יהיה זמין, נקשר את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
העלאת פגיעות הרשאות ברכיבי MediaTek
העלאת פגיעות הרשאות ברכיבי MediaTek, כולל מנהל ההתקן של M4U, מנהל ההתקן של הקול, מנהל ההתקן של מסך מגע, מנהל ההתקן של ה-GPU ומנהל ההתקן של תור הפקודה, עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 | קריטי | אף אחד** | 27 באפריל, 2016 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 | קריטי | אף אחד** | 27 באפריל, 2016 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 | קריטי | אף אחד** | 27 באפריל, 2016 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 | קריטי | אף אחד** | 28 באפריל, 2016 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 | קריטי | אף אחד** | 9 ביולי 2016 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 | קריטי | אף אחד** | 28 בספטמבר 2016 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 | קריטי | אף אחד** | 18 באוקטובר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
** מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
הפגיעות של העלאת הרשאות במנהל ההתקן של NVIDIA GPU
הפגיעות של העלאת הרשאות במנהל ההתקן של NVIDIA GPU עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 | קריטי | Pixel C | 6 באוקטובר 2016 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 | קריטי | Pixel C | 21 בנובמבר 2016 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 | קריטי | Pixel C | 25 בדצמבר 2016 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 | קריטי | Nexus 9 | 6 בינואר 2017 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 | קריטי | Pixel C | Google פנימי |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
העלאת פגיעות הרשאות בתת-מערכת ION של ליבה
הפגיעות של העלאת הרשאות בתת-מערכת ION של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | קריטי | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 6 באוקטובר 2016 |
| CVE-2017-0508 | A-33940449* | קריטי | Pixel C | 28 בדצמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Broadcom
הפגיעות של העלאת הרשאות במנהל ההתקן של Broadcom Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 | קריטי | אף אחד** | 12 באוקטובר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
** מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
העלאת פגיעות הרשאות ב-debugger של ליבת FIQ
הפגיעות של העלאת הרשאות במפרק הבאגים של FIQ של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | קריטי | Nexus 9 | 25 באוקטובר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm GPU עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 | קריטי | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 29 בספטמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
העלאת פגיעות הרשאות בתת-מערכת רשת ליבה
הפגיעות של העלאת הרשאות בתת-מערכת הרשת של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כקריטית בשל האפשרות של פגיעה מקומית קבועה במכשיר, אשר עשויה לדרוש חידוש מערכת ההפעלה כדי לתקן את המכשיר.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-9806 | א-33393474 גרעין במעלה הזרם | קריטי | Pixel C, Pixel, Pixel XL | 4 בדצמבר 2016 |
| CVE-2016-10200 | א-33753815 גרעין במעלה הזרם | קריטי | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 בדצמבר 2016 |
פגיעויות ברכיבי קוואלקום
הפגיעות הבאה משפיעה על רכיבי Qualcomm ומתוארת בפירוט נוסף בעלון האבטחה של Qualcomm AMSS לספטמבר 2016.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | קריטי | אף אחד*** | פנימי של קוואלקום |
| CVE-2016-8485 | A-28823681** | קריטי | אף אחד*** | פנימי של קוואלקום |
| CVE-2016-8486 | A-28823691** | קריטי | אף אחד*** | פנימי של קוואלקום |
| CVE-2016-8487 | A-28823724** | קריטי | אף אחד*** | פנימי של קוואלקום |
| CVE-2016-8488 | A-31625756** | קריטי | אף אחד*** | פנימי של קוואלקום |
* דירוג החומרה של נקודות תורפה אלו נקבע על ידי הספק.
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
*** מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
העלאת פגיעות הרשאות בתת-מערכת רשת ליבה
הפגיעות של העלאת הרשאות בתת-מערכת הרשת של הליבה עלולה לאפשר ליישום זדוני מקומי להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2016-8655 | א-33358926 גרעין במעלה הזרם | גָבוֹהַ | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 12 באוקטובר 2016 |
| CVE-2016-9793 | א-33363517 גרעין במעלה הזרם | גָבוֹהַ | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 2 בדצמבר 2016 |
הפגיעות של העלאת הרשאות במנהל התקן חומרת קלט של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של חומרת הקלט של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 | גָבוֹהַ | Android One, Pixel, Pixel XL | 21 באוקטובר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של חיישן החומרה של MediaTek
הפגיעות של העלאת הרשאות במנהל ההתקן של חיישני החומרה של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 | גָבוֹהַ | אף אחד** | 22 באוקטובר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
** מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm ADSPRPC
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm ADSPRPC עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 | גָבוֹהַ | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 בספטמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של חיישן טביעות האצבע של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של חיישן טביעות האצבע של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 | גָבוֹהַ | פיקסל, פיקסל XL | 24 באוקטובר 2016 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 | גָבוֹהַ | פיקסל, פיקסל XL | 24 באוקטובר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של מנוע הקריפטו של קוואלקום
הפגיעות של העלאת הרשאות במנהל ההתקן של מנוע ההצפנה של Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 24 בספטמבר 2016 |
הפגיעות של העלאת הרשאות במנהל ההתקן של המצלמה של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של מצלמת Qualcomm עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 | גָבוֹהַ | פיקסל, פיקסל XL | 31 באוקטובר 2016 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 | גָבוֹהַ | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 בנובמבר 2016 |
הפגיעות של העלאת הרשאות ב-MediaTek APK
הפגיעות של העלאת הרשאות ב-APK של MediaTek עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של תהליך בעל הרשאות. בעיה זו מדורגת כגבוהה בשל האפשרות של ביצוע קוד שרירותי מקומי בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 | גָבוֹהַ | אף אחד** | 15 בנובמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
** מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
הפגיעות של העלאת הרשאות במנהל התקן Wi-Fi של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm Wi-Fi עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 | גָבוֹהַ | Nexus 5X, Pixel, Pixel XL | 15 בנובמבר 2016 |
| CVE-2017-0453 | א-33979145 QC-CR#1105085 | גָבוֹהַ | Nexus 5X, Android One | 30 בדצמבר 2016 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 | גָבוֹהַ | אף אחד* | Google פנימי |
* מכשירי Google נתמכים ב-Android 7.0 ואילך שהתקינו את כל העדכונים הזמינים אינם מושפעים מפגיעות זו.
הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics
הפגיעות של העלאת הרשאות במנהל ההתקן של מסך המגע של Synaptics עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | גָבוֹהַ | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 בנובמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל התקן IPA של Qualcomm
הפגיעות של העלאת הרשאות במנהל ההתקן של Qualcomm IPA עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. בעיה זו מדורגת כגבוהה מכיוון שהיא דורשת תחילה פגיעה בתהליך מיוחס.
| CVE | הפניות | חוּמרָה | מכשירי Google מעודכנים | תאריך דיווח |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 | גָבוֹהַ | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 בנובמבר 2016 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 | גָבוֹהַ | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 בנובמבר 2016 |
* התיקון לבעיה זו אינו זמין לציבור. העדכון כלול במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .
הפגיעות של העלאת הרשאות במנהל ההתקן של HTC Sensor Hub
הפגיעות של העלאת הרשאות במנהל ההתקן של HTC Sensor Hub עלולה לאפשר לאפליקציה זדונית מקומית להפעיל קוד שרירותי בהקשר של הליבה. This issue is rated as High because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | גָבוֹהַ | Nexus 9 | Dec 25, 2016 |
| CVE-2017-0527 | A-33899318* | גָבוֹהַ | Nexus 9, Pixel, Pixel XL | Dec 25, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in NVIDIA GPU driver
An elevation of privilege vulnerability in the NVIDIA GPU driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 | גָבוֹהַ | None** | Nov 28, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Elevation of privilege vulnerability in Qualcomm networking driver
An elevation of privilege vulnerability in the Qualcomm networking driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 30, 2016 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 | גָבוֹהַ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in kernel security subsystem
An elevation of privilege vulnerability in the kernel security subsystem could enable a local malicious application to to execute code in the context of a privileged process. This issue is rated as High because it is a general bypass for a kernel level defense in depth or exploit mitigation technology.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | גָבוֹהַ | Pixel, Pixel XL | Dec 4, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Qualcomm SPCom driver
An elevation of privilege vulnerability in the Qualcomm SPCom driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 | גָבוֹהַ | None* | Google internal |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 | גָבוֹהַ | None* | Google internal |
* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in kernel networking subsystem
An information disclosure vulnerability in the kernel networking subsystem could enable a local proximate attacker to gain access to sensitive information. This issue is rated as High because it could be used to access data without permission.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 גרעין במעלה הזרם | גָבוֹהַ | Nexus Player | Nov 9, 2014 |
Information disclosure vulnerability in MediaTek driver
An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 | גָבוֹהַ | None** | Apr 27, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in Qualcomm bootloader
An information disclosure vulnerability in the Qualcomm bootloader could help to enable a local malicious application to to execute arbitrary code within the context of the bootloader. This issue is rated as High because it is a general bypass for a bootloader level defense in depth or exploit mitigation technology.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 | גָבוֹהַ | Pixel, Pixel XL | Oct 21, 2016 |
Information disclosure vulnerability in Qualcomm power driver
An information disclosure vulnerability in the Qualcomm power driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 | גָבוֹהַ | Nexus 5X, Nexus 6P | Dec 19, 2016 |
Information disclosure vulnerability in NVIDIA GPU driver
An information disclosure vulnerability in the NVIDIA GPU driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 | גָבוֹהַ | Pixel C | Nov 30, 2016 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 | גָבוֹהַ | Pixel C | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Denial of service vulnerability in kernel cryptographic subsystem
A denial of service vulnerability in the kernel cryptographic subsystem could enable a remote attacker to use a specially crafted network packet to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 גרעין במעלה הזרם | גָבוֹהַ | Nexus 5X, Nexus 6P, Pixel, Pixel XL | Oct 12, 2016 |
Elevation of privilege vulnerability in Qualcomm camera driver (device specific)
An elevation of privilege vulnerability in the Qualcomm camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 | לְמַתֵן | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Oct 21, 2016 |
Information disclosure vulnerability in Qualcomm Wi-Fi driver
An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 | לְמַתֵן | Android One, Nexus 5X, Pixel, Pixel XL | Oct 9, 2016 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 | לְמַתֵן | Pixel, Pixel XL | Nov 3, 2016 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 | לְמַתֵן | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | Nov 13, 2016 |
Information disclosure vulnerability in MediaTek video codec driver
An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 | לְמַתֵן | None** | Oct 22, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in Qualcomm video driver
An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 | לְמַתֵן | Pixel, Pixel XL | Oct 27, 2016 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 | לְמַתֵן | Pixel, Pixel XL | Oct 28, 2016 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 | לְמַתֵן | Pixel, Pixel XL | Oct 28, 2016 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 | לְמַתֵן | Pixel, Pixel XL | Oct 28, 2016 |
Information disclosure vulnerability in Qualcomm camera driver
An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 | לְמַתֵן | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 4, 2016 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [ 2 ] | לְמַתֵן | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 7, 2016 |
Information disclosure vulnerability in HTC sound codec driver
An information disclosure vulnerability in the HTC sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | לְמַתֵן | Nexus 9 | Dec 11, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Synaptics touchscreen driver
An information disclosure vulnerability in the Synaptics touchscreen driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | לְמַתֵן | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | Dec 12, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in kernel USB gadget driver
An information disclosure vulnerability in the kernel USB gadget driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | לְמַתֵן | Pixel C | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm camera driver
An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Low because it first requires compromising a privileged process.
| CVE | הפניות | חוּמרָה | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 | Low | Nexus 5X, Nexus 6P, Android One | Nov 10, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Common Questions and Answers
סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?
To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .
- Security patch levels of 2017-03-01 or later address all issues associated with the 2017-03-01 security patch level.
- Security patch levels of 2017-03-05 or later address all issues associated with the 2017-03-05 security patch level and all previous patch levels.
יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. מדוע לעליון זה יש שתי רמות תיקון אבטחה?
לעלון זה יש שתי רמות תיקון אבטחה כך שלשותפי אנדרואיד יש את הגמישות לתקן קבוצת משנה של נקודות תורפה הדומות בכל מכשירי Android במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.
- Devices that use the March 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of March 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
שותפים מוזמנים לאגד את התיקונים עבור כל הבעיות בהן הם מטפלים בעדכון יחיד.
3. How do I determine which Google devices are affected by each issue?
In the 2017-03-01 and 2017-03-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה. These prefixes map as follows:
| קידומת | התייחסות |
|---|---|
| א- | מזהה באג אנדרואיד |
| QC- | מספר סימוכין של קוואלקום |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| ב- | מספר סימוכין של Broadcom |
Revisions
- March 06, 2017: Bulletin published.
- March 07, 2017: Bulletin revised to include AOSP links.