Biuletyn dotyczący bezpieczeństwa Androida — marzec 2017 r

Opublikowano 06 marca 2017 | Zaktualizowano 7 marca 2017 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego urządzeń Google zostały także udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 5 marca 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 lutego 2017 r. lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostały wyłączone na potrzeby programowania lub jeśli pomyślnie je obejdzie.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2017-03-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2017-03-01 (i wszystkimi poprzednimi ciągami poziomu poprawki zabezpieczeń).
    • 2017-03-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-03-01 i 2017-03-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Google otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 marca 2017 r.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Alexander Potapenko z zespołu Google Dynamic Tools: CVE-2017-0537
  • Baozeng Ding, Chengming Yang, Peng Xiao i Yang Song z Alibaba Mobile Security Group: CVE-2017-0506
  • Baozeng Ding, Ning You, Chengming Yang, Peng Xiao i Yang Song z Alibaba Mobile Security Group: CVE-2017-0463
  • Billy Lau z działu zabezpieczeń Androida: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
  • derrek ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • derrek ( @derrekr6 ) i Scott Bauer ( @ScottyBauer1 ): CVE-2017-0521
  • Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
  • En He ( @heeeeen4x ) i Bo Liu z zespołu MS509 : CVE-2017-0490
  • Gengjia Chen ( @chengjia4574 ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
  • Hao Chen i Guang Gong z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • Hiroki Yamamoto i Fang Chen z Sony Mobile Communications Inc.: CVE-2017-0481
  • Badacze IBM Security X-Force, Sagi Kedmi i Roee Hay: CVE-2017-0510
  • Jianjun Dai ( @Jioun_dai ) z Qihoo 360 Skyeye Labs : CVE-2017-0478
  • Jianqiang Zhao ( @jianqiangzhao ) i plik pjf z IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519 , CVE-2017-0533, CVE-2017-0534
  • Lubo Zhang , Tong Lin , Yuan-Tsung Lo i Xuxian Jiang z zespołu C0RE : CVE-2016-8479
  • Makoto Onuki z Google: CVE-2017-0491
  • Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen i Xuxian Jiang z zespołu C0RE : CVE-2017-0479, CVE-2017-0480
  • Nathan Crandall @natecray ): CVE-2017-0535
  • Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesla Motors: CVE-2017-0306
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室): CVE-2016-8417
  • Qidan He (何淇丹) ( @flanker_hqd ) z KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
  • Qing Zhang z Qihoo 360 i Guangdong Bai z Singapurskiego Instytutu Technologii (SIT): CVE-2017-0496
  • Quhe i wanchouchou z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
  • Sahara bezpiecznej komunikacji w DarkMatter: CVE-2017-0528
  • salls ( @chris_salls ) z zespołu Shellphish Grill Team, Kalifornia w Santa Barbara: CVE-2017-0505
  • Scott Bauer ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
  • Sean Beaupre (beaup): CVE-2017-0455
  • Seven Shen ( @lingtongshen ) z Trend Micro: CVE-2017-0452
  • Shinichi Matsumoto z Fujitsu: CVE-2017-0498
  • Stéphane Marques z ByteRev : CVE-2017-0489
  • Svetoslav Ganov z Google: CVE-2017-0492
  • Tong Lin , Yuan-Tsung Lo i Xuxian Jiang z zespołu C0RE : CVE-2017-0333
  • VEO ( @VYSEa ) z zespołu reagowania na zagrożenia mobilne , Trend Micro : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE- 2017-0495
  • Wish Wu (吴潍浠 此彼) ( @wish_wu ) z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
  • Yu Pan z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
  • Yuan-Tsung Lo i Xuxian Jiang z zespołu C0RE : CVE-2017-0526, CVE-2017-0527
  • Yuqi Lu ( @nikos233 ), Wenke Dou , Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE : CVE-2017-0483
  • Zinuo Han ( weibo.com/ele7enxxh ) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497

Poziom poprawki zabezpieczeń 2017-03-01 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-03-01. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka umożliwiająca zdalne wykonanie kodu w OpenSSL i BoringSSL

Luka w zabezpieczeniach OpenSSL i BoringSSL umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu uprzywilejowanego.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-2182 A-32096880 Krytyczny Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 5 sierpnia 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserverze

Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0466 A-33139050 [ 2 ] Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 25 listopada 2016 r
CVE-2017-0467 A-33250932 [ 2 ] Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 30 listopada 2016 r
CVE-2017-0468 A-33351708 [ 2 ] Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 5 grudnia 2016 r
CVE-2017-0469 A-33450635 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 8 grudnia 2016 r
CVE-2017-0470 A-33818500 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 21 grudnia 2016 r
CVE-2017-0471 A-33816782 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 21 grudnia 2016 r
CVE-2017-0472 A-33862021 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 23 grudnia 2016 r
CVE-2017-0473 A-33982658 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 30 grudnia 2016 r
CVE-2017-0474 A-32589224 Krytyczny Wszystko 7.0, 7.1.1 Wewnętrzne Google

Podniesienie luki w zabezpieczeniach uprawnień w weryfikatorze odzyskiwania

Luka w weryfikatorze odzyskiwania umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0475 A-31914369 Krytyczny Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 października 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w AOSP Messaging

Luka w zabezpieczeniach AOSP Messaging umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako Wysoki ze względu na możliwość zdalnego wykonania kodu w kontekście nieuprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0476 A-33388925 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 6 grudnia 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w libgdx

Luka w bibliotece libgdx umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0477 A-33621647 Wysoki Wszystko 7.1.1 14 grudnia 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w bibliotece Framesequence

Luka w bibliotece Framesequence umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z biblioteki Framesequence.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0478 A-33718716 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 16 grudnia 2016 r

Zwiększenie luki w zabezpieczeniach w NFC

Luka w zabezpieczeniach NFC umożliwiająca podniesienie uprawnień może umożliwić bezpośredniemu atakującemu wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0481 A-33434992 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 listopada 2016 r

Podniesienie luki w uprawnieniach w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0479 A-32707507 [ 2 ] Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 listopada 2016 r
CVE-2017-0480 A-32705429 [ 2 ] Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 listopada 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został sklasyfikowany jako bardzo poważny ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0482 A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 22 listopada 2016 r
CVE-2017-0483 A-33137046 [ 2 ] Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 listopada 2016 r
CVE-2017-0484 A-33298089 [ 2 ] Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 1 grudnia 2016 r
CVE-2017-0485 A-33387820 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 6 grudnia 2016 r
CVE-2017-0486 A-33621215 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 14 grudnia 2016 r
CVE-2017-0487 A-33751193 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 19 grudnia 2016 r
CVE-2017-0488 A-34097213 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach Menedżera lokalizacji

Luka w Menedżerze lokalizacji umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji ominięcie zabezpieczeń systemu operacyjnego w zakresie danych o lokalizacji. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do wygenerowania niedokładnych danych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0489 A-33091107 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 listopada 2016 r

Podniesienie poziomu luki w zabezpieczeniach sieci Wi-Fi

Luka umożliwiająca podniesienie uprawnień w sieci Wi-Fi może umożliwić lokalnej złośliwej aplikacji usunięcie danych użytkownika. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika, które normalnie wymagałyby albo inicjacji użytkownika, albo jego zgody.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0490 A-33178389 [ 2 ] [ 3 ] Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 25 listopada 2016 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Menedżerze pakietów

Luka w Menedżerze pakietów umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji uniemożliwienie użytkownikom odinstalowywania aplikacji lub usuwania uprawnień z aplikacji. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0491 A-32553261 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach interfejsu użytkownika systemu

Luka w interfejsie użytkownika systemu umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji utworzenie nakładki interfejsu użytkownika obejmującej cały ekran. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika, które normalnie wymagałyby albo inicjacji użytkownika, albo jego zgody.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0492 A-30150688 Umiarkowany Wszystko 7.1.1 Wewnętrzne Google

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w programie AOSP Messaging

Luka w zabezpieczeniach AOSP Messaging umożliwiająca ujawnienie informacji może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku uzyskanie dostępu do danych poza jego poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0494 A-32764144 Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 9 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w Mediaserverze

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0495 A-33552073 Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 11 grudnia 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w Kreatorze instalacji

Luka w zabezpieczeniach Kreatora instalacji umożliwiająca odmowę usługi może pozwolić lokalnej złośliwej aplikacji na tymczasowe zablokowanie dostępu do urządzenia, którego dotyczy problem. Ten problem został oceniony jako umiarkowany, ponieważ w celu naprawy urządzenia może wymagać przywrócenia ustawień fabrycznych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0496 A-31554152* Umiarkowany Nic** 5.0.2, 5.1.1, 6.0, 6.0.1 14 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Google dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został oceniony jako umiarkowany, ponieważ wymaga nietypowej konfiguracji urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0497 A-33300701 Umiarkowany Wszystko 7.0, 7.1.1 2 grudnia 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w Kreatorze instalacji

Luka w zabezpieczeniach Kreatora instalacji umożliwiająca odmowę usługi może pozwolić lokalnemu atakującemu zażądać zalogowania się na konto Google po przywróceniu ustawień fabrycznych. Ten problem został oceniony jako umiarkowany, ponieważ w celu naprawy urządzenia może wymagać przywrócenia ustawień fabrycznych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0498 A-30352311 [ 2 ] Umiarkowany Wszystko 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca odmowę usługi może spowodować, że lokalna złośliwa aplikacja spowoduje zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma ocenę Niski ze względu na możliwość tymczasowej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0499 A-32095713 Niski Wszystko 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 października 2016 r

Poziom poprawki zabezpieczeń 2017-03-05 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-03-05. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Zwiększenie luki w zabezpieczeniach komponentów MediaTek

Luka w zabezpieczeniach komponentów MediaTek, w tym sterownika M4U, sterownika dźwięku, sterownika ekranu dotykowego, sterownika GPU i sterownika kolejki poleceń, może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0500 A-28429685*
M-ALPS02710006
Krytyczny Nic** 27 kwietnia 2016 r
CVE-2017-0501 A-28430015*
M-ALPS02708983
Krytyczny Nic** 27 kwietnia 2016 r
CVE-2017-0502 A-28430164*
M-ALPS02710027
Krytyczny Nic** 27 kwietnia 2016 r
CVE-2017-0503 A-28449045*
M-ALPS02710075
Krytyczny Nic** 28 kwietnia 2016 r
CVE-2017-0504 A-30074628*
M-ALPS02829371
Krytyczny Nic** 9 lipca 2016 r
CVE-2017-0505 A-31822282*
M-ALPS02992041
Krytyczny Nic** 28 września 2016 r
CVE-2017-0506 A-32276718*
M-ALPS03006904
Krytyczny Nic** 18 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA

Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
Krytyczny Piksel C 6 października 2016 r
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
Krytyczny Piksel C 21 listopada 2016 r
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
Krytyczny Piksel C 25 grudnia 2016 r
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
Krytyczny Nexusa 9 6 stycznia 2017 r
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
Krytyczny Piksel C Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach podsystemu jądra ION

Luka w zabezpieczeniach podsystemu ION jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0507 A-31992382* Krytyczny Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 6 października 2016 r
CVE-2017-0508 A-33940449* Krytyczny Piksel C 28 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0509 A-32124445*
B-RB#110688
Krytyczny Nic** 12 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach w debugerze FIQ jądra

Luka w debugerze FIQ jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0510 A-32402555* Krytyczny Nexusa 9 25 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego Qualcomm

Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8479 A-31824853*
QC-CR#1093687
Krytyczny Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL 29 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach podsystemu sieciowego jądra

Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-9806 A-33393474
Jądro nadrzędne
Krytyczny Piksel C, piksel, piksel XL 4 grudnia 2016 r
CVE-2016-10200 A-33753815
Jądro nadrzędne
Krytyczny Nexus 5X, Nexus 6P, Pixel, Pixel XL 19 grudnia 2016 r

Luki w komponentach Qualcomm

Następująca luka dotyczy komponentów Qualcomm i została opisana bardziej szczegółowo w biuletynie bezpieczeństwa Qualcomm AMSS z września 2016 r.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8484 A-28823575** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8485 A-28823681** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8486 A-28823691** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8487 A-28823724** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8488 A-31625756** Krytyczny Nic*** Wewnętrzne Qualcomma

* Stopień ważności tych luk został określony przez dostawcę.

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

*** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach podsystemu sieciowego jądra

Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8655 A-33358926
Jądro nadrzędne
Wysoki Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 12 października 2016 r
CVE-2016-9793 A-33363517
Jądro nadrzędne
Wysoki Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 2 grudnia 2016 r

Zwiększenie luki w zabezpieczeniach w sterowniku sprzętu wejściowego Qualcomm

Luka w zabezpieczeniach sterownika sprzętu wejściowego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0516 A-32341680*
QC-CR#1096301
Wysoki Android One, Pixel, Pixel XL 21 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika czujnika sprzętowego MediaTek

Luka w zabezpieczeniach sterownika czujnika sprzętowego MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0517 A-32372051*
M-ALPS02973195
Wysoki Nic** 22 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm ADSPRPC

Luka w zabezpieczeniach sterownika Qualcomm ADSPRPC umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 22 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika czujnika odcisków palców Qualcomm

Luka w zabezpieczeniach sterownika czujnika odcisków palców Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0518 A-32370896*
QC-CR#1086530
Wysoki Piksel, piksel XL 24 października 2016 r
CVE-2017-0519 A-32372915*
QC-CR#1086530
Wysoki Piksel, piksel XL 24 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm

Luka w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0520 A-31750232
QC-CR#1082636
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 24 września 2016 r

Zwiększenie luki w zabezpieczeniach sterownika kamery Qualcomm

Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0458 A-32588962
QC-CR#1089433
Wysoki Piksel, piksel XL 31 października 2016 r
CVE-2017-0521 A-32919951
QC-CR#1097709
Wysoki Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 15 listopada 2016 r

Zwiększenie luki w zabezpieczeniach pakietu MediaTek APK

Luka w zabezpieczeniach pakietu APK MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość wykonania lokalnego dowolnego kodu w procesie uprzywilejowanym.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0522 A-32916158*
M-ALPS03032516
Wysoki Nic** 15 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0464 A-32940193
QC-CR#1102593
Wysoki Nexus 5X, Pixel, Pixel XL 15 listopada 2016 r
CVE-2017-0453 A-33979145
QC-CR#1105085
Wysoki Nexusa 5X i Androida One 30 grudnia 2016 r
CVE-2017-0523 A-32835279
QC-CR#1096945
Wysoki Nic* Wewnętrzne Google

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics

Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0524 A-33002026 Wysoki Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 18 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm IPA

Luka w zabezpieczeniach sterownika Qualcomm IPA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0456 A-33106520*
QC-CR#1099598
Wysoki Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 listopada 2016 r
CVE-2017-0525 A-33139056*
QC-CR#1097714
Wysoki Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 25 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku HTC Sensor Hub

Luka w zabezpieczeniach sterownika HTC Sensor Hub umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0526 A-33897738* Wysoki Nexusa 9 25 grudnia 2016 r
CVE-2017-0527 A-33899318* Wysoki Nexus 9, Pixel, Pixel XL 25 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA

Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
Wysoki Nic** 28 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika sieciowego Qualcomm

Luka w zabezpieczeniach sterownika sieciowego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0463 A-33277611
QC-CR#1101792
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 30 listopada 2016 r
CVE-2017-0460 A-31252965*
QC-CR#1098801
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach podsystemu zabezpieczeń jądra

Luka w zabezpieczeniach podsystemu zabezpieczeń jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ stanowi ogólne obejście dogłębnej ochrony na poziomie jądra lub technologii ograniczania exploitów.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0528 A-33351919* Wysoki Piksel, piksel XL 4 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm SPCom

Luka w zabezpieczeniach sterownika Qualcomm SPCom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-5856 A-32610665
QC-CR#1094078
Wysoki Nic* Wewnętrzne Google
CVE-2016-5857 A-34386529
QC-CR#1094140
Wysoki Nic* Wewnętrzne Google

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka umożliwiająca ujawnienie informacji w podsystemie sieciowym jądra

Luka w podsystemie sieci jądra umożliwiająca ujawnienie informacji może umożliwić lokalnemu atakującemu uzyskanie dostępu do poufnych informacji. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-8709 A-34077221
Jądro nadrzędne
Wysoki Gracz Nexusa 9 listopada 2014 r

Luka umożliwiająca ujawnienie informacji w sterowniku MediaTek

Luka w sterowniku MediaTek umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0529 A-28449427*
M-ALPS02710042
Wysoki Nic** 27 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka umożliwiająca ujawnienie informacji w programie ładującym Qualcomm

Luka w programie rozruchowym Qualcomm umożliwiająca ujawnienie informacji może pomóc lokalnej złośliwej aplikacji wykonać dowolny kod w kontekście programu ładującego. Ten problem ma ocenę Wysoki, ponieważ stanowi ogólne obejście dogłębnej ochrony na poziomie programu ładującego lub technologii ograniczania exploitów.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0455 A-32370952
QC-CR#1082755
Wysoki Piksel, piksel XL 21 października 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku zasilania Qualcomm

Luka w sterowniku zasilania Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8483 A-33745862
QC-CR#1035099
Wysoki Nexusa 5X, Nexusa 6P 19 grudnia 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku procesora graficznego NVIDIA

Luka w sterowniku procesora graficznego NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
Wysoki Piksel C 30 listopada 2016 r
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
Wysoki Piksel C Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach typu „odmowa usługi” w podsystemie kryptograficznym jądra

Luka w zabezpieczeniach podsystemu kryptograficznego jądra umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pakietu sieciowego w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8650 A-33401771
Jądro nadrzędne
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 12 października 2016 r

Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku kamery Qualcomm (specyficzna dla urządzenia)

Luka w zabezpieczeniach sterownika aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest ograniczany przez bieżącą konfigurację platformy.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8417 A-32342399
QC-CR#1088824
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 21 października 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku Wi-Fi Qualcomm

Luka w sterowniku Qualcomm Wi-Fi umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0461 A-32073794
QC-CR#1100132
Umiarkowany Android One, Nexus 5X, Pixel, Pixel XL 9 października 2016 r
CVE-2017-0459 A-32644895
QC-CR#1091939
Umiarkowany Piksel, piksel XL 3 listopada 2016 r
CVE-2017-0531 A-32877245
QC-CR#1087469
Umiarkowany Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL 13 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku kodeka wideo MediaTek

Luka w sterowniku kodeka wideo MediaTek umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0532 A-32370398*
M-ALPS03069985
Umiarkowany Nic** 22 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka umożliwiająca ujawnienie informacji w sterowniku wideo Qualcomm

Luka w sterowniku wideo Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0533 A-32509422
QC-CR#1088206
Umiarkowany Piksel, piksel XL 27 października 2016 r
CVE-2017-0534 A-32508732
QC-CR#1088206
Umiarkowany Piksel, piksel XL 28 października 2016 r
CVE-2016-8416 A-32510746
QC-CR#1088206
Umiarkowany Piksel, piksel XL 28 października 2016 r
CVE-2016-8478 A-32511270
QC-CR#1088206
Umiarkowany Piksel, piksel XL 28 października 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku aparatu Qualcomm

Luka w sterowniku aparatu Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8413 A-32709702
QC-CR#518731
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 4 listopada 2016 r
CVE-2016-8477 A-32720522
QC-CR#1090007 [ 2 ]
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 7 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku kodeka dźwięku HTC

Luka w sterowniku kodeka dźwięku HTC umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0535 A-33547247* Umiarkowany Nexusa 9 11 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku ekranu dotykowego Synaptics

Luka w sterowniku ekranu dotykowego Synaptics umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0536 A-33555878* Umiarkowany Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 12 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku gadżetu USB jądra

Luka w sterowniku gadżetu USB jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0537 A-31614969* Umiarkowany Piksel C Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku aparatu Qualcomm

Luka w sterowniku aparatu Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako niski, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0452 A-32873615*
QC-CR#1093693
Niski Nexus 5X, Nexus 6P i Android One 10 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

  • Poziomy poprawek zabezpieczeń z dnia 2017-03-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-03-01.
  • Poziomy poprawek zabezpieczeń z dnia 2017-03-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-03-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2017-03-01]
  • [ro.build.version.security_patch]:[2017-03-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 marca 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z poprawki zabezpieczeń z dnia 5 marca 2017 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Jak ustalić, których urządzeń Google dotyczy dany problem?

W sekcjach ze szczegółami dotyczącymi luki w zabezpieczeniach z dnia 2017-03-01 i 2017-03-05 każda tabela zawiera kolumnę Zaktualizowane urządzenia Google , która obejmuje zakres urządzeń Google, których dotyczy problem, zaktualizowanych pod kątem każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Google : jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w kolumnie Zaktualizowane urządzenia Google w tabeli będzie widoczna wartość „Wszystkie”. „Wszystkie” oznacza następujące obsługiwane urządzenia : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
  • Niektóre urządzenia Google : jeśli problem nie dotyczy wszystkich urządzeń Google, urządzenia Google, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Google .
  • Brak urządzeń Google : jeśli problem nie dotyczy żadnego urządzenia Google z systemem Android 7.0, w kolumnie Zaktualizowane urządzenia Google w tabeli będzie widoczna informacja „Brak”.

4. Do czego odnoszą się wpisy w kolumnie referencje?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiksy są mapowane w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

Wersje

  • 06 marca 2017: Biuletyn opublikowany.
  • 7 marca 2017 r.: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.