Opublikowano 6 marca 2017 r. | Zaktualizowano 7 marca 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Oprócz biuletynu udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pomocą aktualizacji OTA. Obrazy oprogramowania układowego urządzeń Google zostały też opublikowane na stronie dla deweloperów Google. Wszystkie te problemy zostały rozwiązane w poziomach poprawek zabezpieczeń z 5 marca 2017 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali poinformowani o problemach opisanych w biuletynie 6 lutego 2017 r. lub wcześniej. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.
Najpoważniejszym z tych problemów jest krytyczne zagrożenie bezpieczeństwa, które może umożliwić zdalne wykonywanie kodu na urządzeniu docelowym za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy bezpieczeństwa Androida oraz zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Zapobieganie naruszeniom zabezpieczeń Androida i usług Google.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków dotyczącego poziomu poprawki zabezpieczeń, aby umożliwić partnerom Androida szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z artykułem Najczęstsze pytania i ich odpowiedzi:
- 2017-03-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-03-01 (i wszystkimi poprzednimi ciągami poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2017-03-05: kompletny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-03-01 i 2017-03-05 (oraz wszystkie poprzednie ciągi znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Google otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 marca 2017 r.
Środki zaradcze dotyczące Androida i usług Google
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takich jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Verify Apps i SafetyNet, które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale aplikacja Verify Apps ostrzega użytkowników, gdy próbują oni zainstalować wykryte narzędzie do rootowania – niezależnie od tego, skąd pochodzi. Dodatkowo Weryfikacja aplikacji próbuje wykrywać i blokować instalowanie znanych szkodliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, funkcja Weryfikacja aplikacji powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Alexander Potapenko z zespołu Google ds. narzędzi dynamicznych: CVE-2017-0537
- Baozeng Ding, Chengming Yang, Peng Xiao i Yang Song z Alibaba Mobile Security Group: CVE-2017-0506
- Baozeng Ding, Ning You, Chengming Yang, Peng Xiao i Yang Song z Alibaba Mobile Security Group: CVE-2017-0463
- Billy Lau z Android Security: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek (@derrekr6) i Scott Bauer (@ScottyBauer1): CVE-2017-0521
- Di Shen (@returnsme) z KeenLab (@keen_lab), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
- En He (@heeeeen4x) i Bo Liu z MS509Team: CVE-2017-0490
- Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
- Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- Hiroki Yamamoto i Fang Chen z Sony Mobile Communications Inc.: CVE-2017-0481
- Badacze z zespołu IBM Security X-Force Sagi Kedmi i Roee Hay: CVE-2017-0510
- Jianjun Dai (@Jioun_dai) z Qihoo 360 Skyeye Labs: CVE-2017-0478
- Jianqiang Zhao (@jianqiangzhao) i pjf z IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534
- Lubo Zhang, Tong Lin, Yuan-Tsung Lo i Xuxian Jiang z zespołu C0RE: CVE-2016-8479
- Makoto Onuki z Google: CVE-2017-0491
- Mingjian Zhou (@Mingjian_Zhou), Hanxiang Wen i Xuxian Jiang z zespołu C0RE: CVE-2017-0479, CVE-2017-0480
- Nathan Crandall (@natecray): CVE-2017-0535
- Nathan Crandall (@natecray) z zespołu ds. zabezpieczeń produktów Tesla Motors: CVE-2017-0306
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室): CVE-2016-8417
- Qidan He (何淇丹) (@flanker_hqd) z KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
- Qing Zhang z Qihoo 360 i Guangdong Bai z Singapurskiego Instytutu Technologii (SIT): CVE-2017-0496
- Quhe i wanchouchou z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- Sahara z Secure Communications in DarkMatter: CVE-2017-0528
- salls (@chris_salls) z zespołu Shellphish Grill, UC Santa Barbara: CVE-2017-0505
- Scott Bauer (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516
- Sean Beaupre (beaups): CVE-2017-0455
- Seven Shen (@lingtongshen) z Trend Micro: CVE-2017-0452
- Shinichi Matsumoto z Fujitsu: CVE-2017-0498
- Stéphane Marques z ByteRev: CVE-2017-0489
- Svetoslav Ganov z Google: CVE-2017-0492
- Tong Lin, Yuan-Tsung Lo i Xuxian Jiang z zespołu C0RE: CVE-2017-0333
- V.E.O (@VYSEa) z zespołu ds. reagowania na zagrożenia w urządzeniach mobilnych w Trend Micro: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495
- Wish Wu (吴潍浠 此彼) (@wish_wu) z laboratorium Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- Yu Pan z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo i Xuxian Jiang z zespołu C0RE: CVE-2017-0526, CVE-2017-0527
- Yuqi Lu (@nikos233), Wenke Dou, Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE: CVE-2017-0483
- Zinuo Han (weibo.com/ele7enxxh) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497
Poziom aktualizacji zabezpieczeń z 1 marca 2017 r. – szczegóły dotyczące luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-03-01. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w OpenSSL i BoringSSL
Użytkownikowi przeprowadzającemu atak przy użyciu specjalnie spreparowanego pliku może się udać wykorzystać lukę w zabezpieczeniach w OpenSSL i BoringSSL, która umożliwia zdalne uruchomienie kodu. W efekcie może to spowodować uszkodzenie pamięci podczas przetwarzania danych i plików. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | Krytyczny | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 sierpnia 2016 r. |
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 25 listopada 2016 r. |
| CVE-2017-0467 | A-33250932 [2] | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Nov 30, 2016 |
| CVE-2017-0468 | A-33351708 [2] | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 5 grudnia 2016 r. |
| CVE-2017-0469 | A-33450635 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 8 grudnia 2016 r. |
| CVE-2017-0470 | A-33818500 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 21 grudnia 2016 r. |
| CVE-2017-0471 | A-33816782 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 21 grudnia 2016 r. |
| CVE-2017-0472 | A-33862021 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 23 grudnia 2016 r. |
| CVE-2017-0473 | A-33982658 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 30 grudnia 2016 r. |
| CVE-2017-0474 | A-32589224 | Krytyczny | Wszystko | 7.0, 7.1.1 | Tylko w Google |
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w weryfikatorze odzyskiwania
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w weryfikatorze odzyskiwania może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | Krytyczny | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 października 2016 r. |
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w AOSP Messaging
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w AOSP Messaging może umożliwić osobie przeprowadzającej atak użycie specjalnie spreparowanego pliku, aby spowodować uszkodzenie pamięci podczas przetwarzania danych i plików multimedialnych. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w kontekście procesu bez uprawnień.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 6 grudnia 2016 r. |
Luka w zabezpieczeniach libgdx umożliwiająca zdalne wykonywanie kodu
Luka w zabezpieczeniach w libgdx umożliwiająca zdalne uruchomienie kodu może umożliwić atakującemu użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | Wysoki | Wszystko | 7.1.1 | 14 grudnia 2016 r. |
Luka w zabezpieczeniach umożliwiająca zdalne wykonywanie kodu w bibliotece Framesequence
Luka w zabezpieczeniach w bibliotece Framesequence umożliwiająca zdalne uruchomienie kodu może umożliwić atakującemu użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji, która korzysta z biblioteki Framesequence.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 grudnia 2016 r. |
Podniesienie uprawnień w NFC
Podatność w NFC umożliwiająca podniesienie uprawnień może umożliwić atakującemu wykonanie dowolnego kodu w kontekście procesu uprzywilowanego. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 listopada 2016 r. |
Luka w zabezpieczeniach w Audioserver, która umożliwia podniesienie uprawnień
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w Audioserverze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wyższych uprawnieniach. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 listopada 2016 r. |
| CVE-2017-0480 | A-32705429 [2] | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 listopada 2016 r. |
Atak typu DoS w usłudze Mediaserver
Luka w zabezpieczeniach umożliwiająca atak typu DoS w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku, aby spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego ataku typu DoS.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 22 listopada 2016 r. |
| CVE-2017-0483 | A-33137046 [2] | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 listopada 2016 r. |
| CVE-2017-0484 | A-33298089 [2] | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 1 grudnia 2016 r. |
| CVE-2017-0485 | A-33387820 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 6 grudnia 2016 r. |
| CVE-2017-0486 | A-33621215 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 14 grudnia 2016 r. |
| CVE-2017-0487 | A-33751193 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 19 grudnia 2016 r. |
| CVE-2017-0488 | A-34097213 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Podniesienie uprawnień w Menedżerze lokalizacji
W przypadku podatności w menedżerze lokalizacji umożliwiającej podniesienie uprawnień lokalna złośliwa aplikacja może obejść zabezpieczenia systemu operacyjnego dotyczące danych o lokalizacji. Ten problem ma ocenę Średni, ponieważ może być wykorzystywany do generowania niedokładnych danych.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 listopada 2016 r. |
Uprawnienia dotyczące podniesienia uprawnień w sieci Wi-Fi
W sieci Wi-Fi może wystąpić luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji usunięcie danych użytkownika. Ten problem został oceniony jako „Umiarkowany”, ponieważ jest to lokalny sposób na obejście wymagań dotyczących interakcji z użytkownikiem, które zwykle wymagają inicjatywy użytkownika lub jego zgody.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 25 listopada 2016 r. |
Luka w zabezpieczeniach związana z podniesieniem uprawnień w menedżerze pakietów
Luka w zarządzaczu pakietów umożliwiająca eskalację uprawnień może pozwolić lokalnej złośliwej aplikacji na uniemożliwienie użytkownikom odinstalowania aplikacji lub usunięcia z nich uprawnień. Ten problem ma ocenę Średni, ponieważ jest to lokalny sposób na obejście wymagań dotyczących interakcji z użytkownikiem.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w interfejsie użytkownika systemu
Uprawnienia związane z luką w zabezpieczeniach w interfejsie systemu mogą umożliwić lokalnej złośliwej aplikacji utworzenie nakładki interfejsu użytkownika, która zajmuje cały ekran. Ten problem został oceniony jako „Umiarkowany”, ponieważ jest to lokalny sposób na obejście wymagań dotyczących interakcji z użytkownikiem, które normalnie wymagają inicjacji lub zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | Umiarkowana | Wszystko | 7.1.1 | Tylko w Google |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w AOSP Messaging
W ramach AOSP Messaging występuje luka umożliwiająca zdalnemu atakującemu dostęp do danych poza poziomem uprawnień za pomocą specjalnie spreparowanego pliku. Ten problem ma ocenę Średni, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych wrażliwych bez zgody.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 9 listopada 2016 r. |
Luka w zabezpieczeniach w Mediaserverze umożliwiająca ujawnienie informacji
Użytkownikom lokalnych aplikacji złośliwych może zostać przyznany dostęp do danych spoza poziomu uprawnień, ponieważ w Mediaserverze występuje luka umożliwiająca ujawnienie informacji. Ten problem został oceniony jako „Umiarkowany”, ponieważ może umożliwiać dostęp do danych wrażliwych bez zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 11 grudnia 2016 r. |
Atak typu DoS w kreatorze konfiguracji
Użytkownikom, którzy zainstalowali aplikację, która wykorzystuje podatność na atak typu „odmowa usługi” w kreatorze konfiguracji, lokalna złośliwa aplikacja może tymczasowo zablokować dostęp do urządzenia. Ten problem został oceniony jako umiarkowany, ponieważ może wymagać przywrócenia urządzenia do ustawień fabrycznych.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | Umiarkowana | Brak** | 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Google dostępnych na stronie Google Developer.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Usługa Mediaserver narażona na atak typu DoS
Luka w zabezpieczeniach umożliwiająca atak typu DoS w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku, aby spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma umiarkowany priorytet, ponieważ wymaga nietypowej konfiguracji urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | Umiarkowana | Wszystko | 7.0, 7.1.1 | 2 grudnia 2016 r. |
Atak typu DoS w kreatorze konfiguracji
Usługa w kreatorze konfiguracji, która umożliwia atak typu „odmowa usługi”, może pozwolić lokalnemu atakującemu wymagać logowania się na konto Google po przywróceniu ustawień fabrycznych. Ten problem został oceniony jako umiarkowany, ponieważ naprawa urządzenia może wymagać przywrócenia go do ustawień fabrycznych.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [2] | Umiarkowana | Wszystko | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
luka w zabezpieczeniach w Audioserverze umożliwiająca atak typu DoS
Usługa Audioserver jest podatna na atak typu „odmowa usługi”, który może umożliwić lokalnej złośliwej aplikacji spowodowanie zawieszenia lub ponownego uruchamiania urządzenia. Ten problem został oceniony jako niski ze względu na możliwość tymczasowego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | Niska | Wszystko | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 października 2016 r. |
Poziom aktualizacji zabezpieczeń z dnia 2017-03-05 – szczegóły dotyczące luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 marca 2017 r. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w komponentach MediaTek
W komponentach MediaTek, w tym w sterowniku M4U, sterowniku dźwięku, sterowniku ekranu dotykowego, sterowniku GPU i sterowniku kolejki poleceń, występuje podatność na podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego zainfekowania urządzenia, co może wymagać przeflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
Krytyczny | Brak** | 27 kwietnia 2016 r. |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
Krytyczny | Brak** | 27 kwietnia 2016 r. |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
Krytyczny | Brak** | 27 kwietnia 2016 r. |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
Krytyczny | Brak** | 28 kwietnia 2016 r. |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
Krytyczny | Brak** | 9 lipca 2016 r. |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
Krytyczny | Brak** | 28 września 2016 r. |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
Krytyczny | Brak** | 18 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku GPU NVIDIA
Podatność w zasadach kontroli w sterowniku GPU firmy NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
Krytyczny | Pixel C | 6 października 2016 r. |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
Krytyczny | Pixel C | 21 listopada 2016 r. |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
Krytyczny | Pixel C | 25 grudnia 2016 r. |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
Krytyczny | Nexus 9 | 6 stycznia 2017 r. |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
Krytyczny | Pixel C | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie ION w jądrze
Podatność w ramach podsystemu ION jądra umożliwia lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | Krytyczny | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel i Pixel XL | 6 października 2016 r. |
| CVE-2017-0508 | A-33940449* | Krytyczny | Pixel C | 28 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
Krytyczny | Brak** | 12 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w debugerze FIQ w jądrze
Luka w zabezpieczeniach polegająca na podwyższaniu uprawnień w debugerze FIQ jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | Krytyczny | Nexus 9 | 25 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku GPU Qualcomm
Podatność w ramach funkcji podwyższania uprawnień w sterowniku GPU Qualcomma może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
Krytyczny | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 29 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w podsystemie sieciowym jądra
Uprawnienie dotyczące podwyższenia uprawnień w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 Upstream kernel |
Krytyczny | Pixel C, Pixel, Pixel XL | 4 grudnia 2016 r. |
| CVE-2016-10200 | A-33753815 Jednostka przetwarzania upstream |
Krytyczny | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 grudnia 2016 r. |
Luki w komponentach Qualcomm
Podana poniżej luka dotyczy komponentów Qualcomm i jest opisana w szczegółach w biuletynie z wrzesnia 2016 r. dotyczącym zabezpieczeń AMSS firmy Qualcomm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8485 | A-28823681** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8486 | A-28823691** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8487 | A-28823724** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8488 | A-31625756** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
*** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w podsystemie sieciowym jądra
Uprawnienie dotyczące podwyższenia uprawnień w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 Upstream kernel |
Wysoki | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel i Pixel XL | 12 października 2016 r. |
| CVE-2016-9793 | A-33363517 Jednostka jądrowa upstream |
Wysoki | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel i Pixel XL | 2 grudnia 2016 r. |
Podniesienie uprawnień w sterowniku sprzętowym do urządzeń wejściowych firmy Qualcomm
Użytkownik lokalny może wykorzystać lukę w zabezpieczeniach w sterowniku sprzętowym do wprowadzania danych w Qualcomm, aby umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
Wysoki | Android One, Pixel, Pixel XL | 21 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
podatność na podniesienie uprawnień w sterowniku czujnika sprzętowego MediaTek
Używanie podatności w sterowniku czujnika sprzętowego MediaTeka może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
Wysoki | Brak** | 22 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w uprawnieniach w sterowniku Qualcomm ADSPRPC
Luka w zabezpieczeniach w sterowniku Qualcomm ADSPRPC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień uniknięcie w sterowniku czytnika linii papilarnych Qualcomm
W ramach uprawnień w sterowniku czytnika linii papilarnych Qualcomm może dojść do sytuacji, w której lokalna złośliwa aplikacja będzie mogła wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu z przywilejami.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
Wysoki | Pixel, Pixel XL | 24 października 2016 r. |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
Wysoki | Pixel, Pixel XL | 24 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku silnika kryptograficznego Qualcomm
Użytkownik lokalny może wykorzystać lukę w zabezpieczeniach w sterowniku silnika kryptograficznego Qualcomm, aby uruchomić dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 24 września 2016 r. |
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku aparatu Qualcomm
Podatność w sterowniku aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
Wysoki | Pixel, Pixel XL | 31 października 2016 r. |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
Wysoki | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 listopada 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w MediaTek APK
Podatność w pliku APK MediaTek dotycząca podwyższania uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoka ze względu na możliwość lokalnego wykonywania dowolnego kodu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
Wysoki | Brak** | 15 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 15 listopada 2016 r. |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
Wysoki | Nexus 5X, Android One | 30 grudnia 2016 r. |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
Wysoki | Brak* | Tylko w Google |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
podatność na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics
W ramach podatności na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | Wysoki | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w sterowniku IPA firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność na podniesienie uprawnień w sterowniku IPA firmy Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
Wysoki | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 listopada 2016 r. |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
Wysoki | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku HTC Sensor Hub
Podniesienie uprawnień w sterowniku HTC Sensor Hub może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | Wysoki | Nexus 9 | 25 grudnia 2016 r. |
| CVE-2017-0527 | A-33899318* | Wysoki | Nexus 9, Pixel, Pixel XL | 25 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku GPU NVIDIA
Podatność w zasadach kontroli w sterowniku GPU firmy NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
Wysoki | Brak** | 28 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku sieciowym Qualcomm
Podatność w zasadach dotyczących podwyższania uprawnień w sterowniku sieciowym Qualcomma może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 30, 2016 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w ramach podsystemu zabezpieczeń jądra
Podatność w ramach podwyższania uprawnień w podsystemie zabezpieczeń jądra może umożliwić lokalnej złośliwej aplikacji wykonanie kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ jest to ogólne obejście zabezpieczeń na poziomie jądra lub technologii zapobiegania wykorzystywaniu luk.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | Wysoki | Pixel, Pixel XL | 4 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zarządzaczu Qualcomm SPCom umożliwiająca podniesienie uprawnień
Podatność w sterowniku Qualcomm SPCom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
Wysoki | Brak* | Tylko w Google |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
Wysoki | Brak* | Tylko w Google |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
luka w zabezpieczeniach związana z ujawnieniem informacji w podsystemie sieciowym jądra;
Użytkownik lokalny w pobliżu może uzyskać dostęp do informacji poufnych, ponieważ w podsystemie sieciowym jądra występuje luka umożliwiająca ujawnienie informacji. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych bez zgody.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 Upstream kernel |
Wysoki | Nexus Player | 9 listopada 2014 r. |
luka w zabezpieczeniach w sterowniku MediaTek dotycząca ujawniania informacji;
W sterowniku MediaTek występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziomy uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
Wysoki | Brak** | 27 kwietnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w obkurniku Qualcomm
W bootloterze Qualcomma wykryto podatność umożliwiającą ujawnienie informacji, która może ułatwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście tego bootloadera. Ten problem ma ocenę wysoka, ponieważ jest to ogólny obejście zabezpieczeń na poziomie bootloadera lub technologii zapobiegania wykorzystaniu luki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
Wysoki | Pixel, Pixel XL | 21 października 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku zasilania Qualcomm
W sterowniku zasilania Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych poufnych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
Wysoki | Nexus 5X, Nexus 6P | 19 grudnia 2016 r. |
Luka w zabezpieczeniach powodująca ujawnienie informacji w sterowniku procesora graficznego NVIDIA
W układzie GPU firmy NVIDIA występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
Wysoki | Pixel C | Nov 30, 2016 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
Wysoki | Pixel C | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
podatność na atak typu DoS w podsystemie kryptograficznym jądra
Użytkownik zdalny może wykorzystać podatność na atak typu „odmowa usługi” w podsystemie kryptograficznym jądra, aby za pomocą specjalnie spreparowanego pakietu sieciowego spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 Jednostka upstream |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 października 2016 r. |
podatność na atak podniesienia uprawnień w sterowniku kamery Qualcomm (właściwe dla urządzenia)
Podatność w sterowniku aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 października 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku Wi-Fi firmy Qualcomm;
W sterowniku Wi-Fi Qualcomma wykryto podatność na ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
Umiarkowana | Android One, Nexus 5X, Pixel, Pixel XL | 9 października 2016 r. |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
Umiarkowana | Pixel, Pixel XL | 3 listopada 2016 r. |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
Umiarkowana | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | 13 listopada 2016 r. |
W sterowniku kodeka wideo MediaTek występuje luka umożliwiająca ujawnienie informacji
W sterowniku kodeka wideo MediaTek występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
Umiarkowana | Brak** | 22 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku wideo Qualcomm.
W układzie Qualcomma znaleziono podatność na ujawnienie informacji, która może umożliwiać lokalnym złośliwym aplikacjom dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
Umiarkowana | Pixel, Pixel XL | 27 października 2016 r. |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
Umiarkowana | Pixel, Pixel XL | 28 października 2016 r. |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
Umiarkowana | Pixel, Pixel XL | 28 października 2016 r. |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
Umiarkowana | Pixel, Pixel XL | 28 października 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku kamery Qualcomm.
W sterowniku aparatu Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 4 listopada 2016 r. |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [2] |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 listopada 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku kodeka dźwięku HTC.
W sterowniku kodeka dźwięku HTC występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | Umiarkowana | Nexus 9 | 11 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
podatność na wyciek informacji w sterowniku ekranu dotykowego Synaptics
Użytkownik lokalny może wykorzystać podatność w sterowniku ekranu dotykowego Synaptics, aby uzyskać dostęp do danych spoza poziomu uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | Umiarkowana | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 12 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku gadżetu USB jądra
Użytkownik lokalny może uzyskać dostęp do danych spoza poziomu uprawnień, jeśli w sterowniku gadżetu USB w jądrze występuje luka w zabezpieczeniach dotycząca ujawnienia informacji. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | Umiarkowana | Pixel C | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku kamery Qualcomm.
W sterowniku aparatu Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma niski priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
Niska | Nexus 5X, Nexus 6P, Android One | 10 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 2017-03-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-03-01.
- Poziomy aktualizacji zabezpieczeń z 2017-03-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-03-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu zabezpieczeń z 1 marca 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 marca 2017 r. lub nowszego, muszą zawierać wszystkie odpowiednie poprawki z tego (i poprzednich) komunikatu bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Jak sprawdzić, które urządzenia Google są dotknięte danym problemem?
W sekcjach 2017-03-01 i 2017-03-05 zawierających szczegóły dotyczące luk w zabezpieczeniach w danych wersjach 2017-03-01 i 2017-03-05 w każdej tabeli znajduje się kolumna Zaktualizowane urządzenia Google, która obejmuje zakres urządzeń Google, które zostały zaktualizowane w związku z każdym problemem. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Google: jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w tabeli w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Wszystkie”. „Wszystkie” obejmuje te obsługiwane urządzenia: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
- Niektóre urządzenia Google: jeśli problem nie dotyczy wszystkich urządzeń Google, urządzenia, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Google.
- Brak urządzeń Google: jeśli problem nie dotyczy żadnych urządzeń Google z Androidem 7.0, w kolumnie Zaktualizowane urządzenia Google pojawi się komunikat „Brak”.
4. Do czego odnoszą się wpisy w kolumnie „Odwołania”?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w ten sposób:
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Wersje
- 6 marca 2017 r.: opublikowano biuletyn.
- 7 marca 2017 r.: w powiadomieniu uwzględniono linki do AOSP.