Опубликовано 3 апреля 2017 г. | Обновлено 17 августа 2017 г.
Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Одновременно с этим бюллетенем мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA). Образы прошивки устройства Google также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 5 апреля 2017 г. или более поздние устраняют все эти проблемы. Ознакомьтесь с расписанием обновлений Pixel и Nexus , чтобы узнать, как проверить уровень исправлений безопасности устройства.
Партнеры были уведомлены о проблемах, описанных в бюллетене, 6 марта 2017 года или ранее. Исправления исходного кода для устранения этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и ссылки на них можно найти в этом бюллетене. Этот бюллетень также содержит ссылки на исправления, не входящие в AOSP.
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet , которые повышают безопасность платформы Android, см. в разделе «Средства снижения рисков для Android и служб Google».
Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Объявления
- В этом бюллетене есть две строки уровня исправлений безопасности, которые предоставляют партнерам Android возможность более быстро устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Дополнительные сведения см. в разделе «Общие вопросы и ответы» :
- 01.04.2017 : Строка уровня частичного исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 апреля 2017 г. (и всеми предыдущими строками уровня исправления безопасности), устранены.
- 05.04.2017 : Полная строка уровня исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01.04.2017 и 05.04.2017 (и все предыдущие строки уровня исправления безопасности), устранены.
- Поддерживаемые устройства Google получат одно OTA-обновление с уровнем исправления безопасности от 5 апреля 2017 года.
Меры по смягчению последствий для Android и сервисов Google
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet , которые предназначены для предупреждения пользователей о потенциально вредных приложениях . Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования — независимо от того, откуда оно получено. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как Mediaserver.
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- Аравинд Мачири (донфос) из команды Shellphish Grill: CVE-2016-5349.
- Дасин Го ( @freener0 ) из лаборатории Xuanwu, Tencent: CVE-2017-0585, CVE-2017-0553
- Деррек ( @derrekr6 ) и Скотт Бауэр: CVE-2017-0576.
- Галь Бениамини из Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561.
- Гэнцзя Чен ( @chengjia4574 ) и сотрудник IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
- Гуан Гун (龚广) ( @oldfresher ) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
- Хао Чен и Гуан Гун из команды Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017. -0567
- Ян Фостер ( @lanrat ): CVE-2017-0554
- Джек Тан из Trend Micro Inc.: CVE-2017-0579.
- Цзянджун Дай ( @Jioun_dai ) из Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
- Цзяньцян Чжао ( @jianqiangzhao ) и сотрудник IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
- Лубо Чжан ( zlbzlb815@163.com ) из команды C0RE и Юнган Го ( @guoygang ) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
- Марк Салызин из Google: CVE-2017-0558.
- Майк Андересон ( @manderbot ) и Натан Крэндалл ( @natecray ) из группы безопасности продуктов Tesla: CVE-2017-0327, CVE-2017-0328.
- Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и песня Ян из Alibaba Mobile Security Group: CVE-2017-0565
- Пэнфэй Дин (丁鹏飞), Ченфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-10236
- Кидан Хэ (何淇丹 - @flanker_hqd ) из KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
- Рои Хэй ( @roeehay ) из Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563.
- Скотт Бауэр ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339.
- Севен Шен ( @lingtongshen ) из группы исследования мобильных угроз TrendMicro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586.
- Тим Беккер: CVE-2017-0546.
- Ума Санкар Прадхан ( @umasankar_iitd ): CVE-2017-0560
- VEO ( @VYSEa ) группы реагирования на мобильные угрозы , Trend Micro : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
- Вейчао Сан ( @sunblate ) из Alibaba Inc: CVE-2017-0549.
- Вэньлинь Ян ( @wenlin_yang ), Гуан Гун ( @oldfresher ) и Хао Чен из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
- Зинуо Хан из Центра реагирования безопасности Чэнду компании Qihoo 360 Technology Co. Ltd.: CVE-2017-0548.
- Зубин Митра из Google: CVE-2017-0462.
Уровень исправления безопасности от 01 апреля 2017 г. — Подробности об уязвимости
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-04-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, соответствующими ссылками, серьезностью, обновленные устройства Google, обновленные версии AOSP (если применимо) и указанная дата. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода в Mediaserver
Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки мультимедийных файлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0538 | А-33641588 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 13 декабря 2016 г. |
| CVE-2017-0539 | А-33864300 | Критический | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 декабря 2016 г. |
| CVE-2017-0541 | А-34031018 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 1 января 2017 г. |
| CVE-2017-0542 | А-33934721 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
| CVE-2017-0543 | А-34097866 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
Повышение привилегий через CameraBase
Уязвимость, связанная с несанкционированным повышением привилегий в CameraBase, может позволить локальному вредоносному приложению выполнить произвольный код. Этой проблеме присвоен высокий уровень, поскольку это локальное выполнение произвольного кода в привилегированном процессе.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0544 | А-31992879 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 октября 2016 г. |
Повышение привилегий через уязвимость в Audioserver
Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0545 | А-32591350 | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 31 октября 2016 г. |
Повышение привилегий через уязвимость в SurfaceFlinger
Уязвимость, связанная с повышением привилегий в SurfaceFlinger, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0546 | А-32628763 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 ноября 2016 г. |
Уязвимость раскрытия информации в Mediaserver
Уязвимость раскрытия информации в Mediaserver может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку это общий обход средств защиты операционной системы, которые изолируют данные приложений от других приложений.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0547 | А-33861560 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 22 декабря 2016 г. |
Отказ в обслуживании уязвимости в libskia
Уязвимость удаленного отказа в обслуживании в libskia может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен высокий уровень серьезности из-за возможности удаленного отказа в обслуживании.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0548 | А-33251605 | Высокий | Все | 7.0, 7.1.1 | 29 ноября 2016 г. |
Уязвимость отказа в обслуживании в Mediaserver
Уязвимость удаленного отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен высокий уровень серьезности из-за возможности удаленного отказа в обслуживании.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0549 | А-33818508 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 20 декабря 2016 г. |
| CVE-2017-0550 | А-33933140 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
| CVE-2017-0551 | А-34097231 [ 2 ] | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
| CVE-2017-0552 | А-34097915 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
Повышение привилегий через уязвимость в libnl
Уязвимость, связанная с повышением привилегий в libnl, может позволить локальному вредоносному приложению выполнить произвольный код в контексте службы Wi-Fi. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса и устраняется текущими конфигурациями платформы.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0553 | А-32342065 | Умеренный | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 октября 2016 г. |
Повышение привилегий через уязвимость в телефонии
Уязвимость, связанная с несанкционированным повышением привилегий в компоненте «Телефония», может позволить локальному вредоносному приложению получить доступ к возможностям, выходящим за рамки его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для получения доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0554 | А-33815946 [ 2 ] | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 декабря 2016 г. |
Уязвимость раскрытия информации в Mediaserver
Уязвимость раскрытия информации в Mediaserver может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к данным без разрешения.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0555 | А-33551775 | Умеренный | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 12 декабря 2016 г. |
| CVE-2017-0556 | А-34093952 | Умеренный | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 4 января 2017 г. |
| CVE-2017-0557 | А-34093073 | Умеренный | Все | 6.0, 6.0.1, 7.0, 7.1.1 | 4 января 2017 г. |
| CVE-2017-0558 | А-34056274 | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
Уязвимость раскрытия информации в libskia
Уязвимость раскрытия информации в libskia может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку ее можно использовать для доступа к данным без разрешения.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0559 | А-33897722 | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 декабря 2016 г. |
Уязвимость раскрытия информации при сбросе настроек к заводским настройкам
Уязвимость раскрытия информации в процессе восстановления заводских настроек может позволить местному злоумышленнику получить доступ к данным предыдущего владельца. Проблеме присвоен средний уровень серьезности из-за возможности обхода защиты устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0560 | А-30681079 | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Внутренний Google |
Уровень исправления безопасности от 05 апреля 2017 г. — Подробности об уязвимости
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-04-05. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода в прошивке Broadcom Wi-Fi
Уязвимость удаленного выполнения кода в прошивке Broadcom Wi-Fi может позволить злоумышленнику удаленно выполнить произвольный код в контексте Wi-Fi SoC. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте Wi-Fi SoC.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0561 | А-34199105* Б-РБ#110814 | Критический | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость удаленного выполнения кода в драйвере криптографического механизма Qualcomm
Уязвимость удаленного выполнения кода в драйвере криптографического механизма Qualcomm может позволить злоумышленнику удаленно выполнить произвольный код в контексте ядра. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте ядра.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10230 | А-34389927 КК-CR#1091408 | Критический | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 10 января 2017 г. |
Уязвимость удаленного выполнения кода в сетевой подсистеме ядра
Уязвимость удаленного выполнения кода в сетевой подсистеме ядра может позволить злоумышленнику удаленно выполнить произвольный код в контексте ядра. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте ядра.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10229 | А-32813456 Вышестоящее ядро | Критический | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | Внутренний Google |
Повышение привилегий через драйвер сенсорного экрана MediaTek
Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0562 | А-30202425* М-ALPS02898189 | Критический* | Никто** | 16 июля 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер сенсорного экрана HTC
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере сенсорного экрана HTC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0563 | А-32089409* | Критический | Нексус 9 | 9 октября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через подсистему ION ядра
Уязвимость, связанная с повышением привилегий в подсистеме ION ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0564 | А-34276203* | Критический | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 12 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимости в компонентах Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm и более подробно описаны в бюллетене по безопасности Qualcomm AMSS за октябрь 2016 г.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10237 | А-31628601** КК-CR#1046751 | Критический | Никто** | Внутренний Qualcomm |
| CVE-2016-10238 | А-35358527** КК-CR#1042558 | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2016-10239 | А-31624618** КК-CR#1032929 | Высокий | Пиксель, Пиксель XL | Внутренний Qualcomm |
* Уровень серьезности этих уязвимостей определен поставщиком.
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
*** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Уязвимость удаленного выполнения кода в v8
Уязвимость удаленного выполнения кода в версии 8 может позволить злоумышленникам удаленно выполнить произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода на веб-сайтах.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-5129 | А-29178923 | Высокий | Никто* | 6.0, 6.0.1, 7.0 | 20 июля 2016 г. |
* Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Уязвимость удаленного выполнения кода в Freetype
Уязвимость удаленного выполнения кода в Freetype может позволить локальному вредоносному приложению загрузить специально созданный шрифт, чтобы вызвать повреждение памяти в непривилегированном процессе. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-10244 | А-31470908 | Высокий | Никто* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 сентября 2016 г. |
* Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через звуковую подсистему ядра
Уязвимость, связанная с несанкционированным повышением привилегий в звуковой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-4656 | А-34464977 Вышестоящее ядро | Высокий | Nexus 6, Nexus Player | 26 июня 2014 г. |
Повышение привилегий через криптодрайвер NVIDIA
Уязвимость, связанная с повышением привилегий в криптодрайвере NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0339 | А-27930566* Н-CVE-2017-0339 | Высокий | Нексус 9 | 29 марта 2016 г. |
| CVE-2017-0332 | А-33812508* Н-CVE-2017-0332 | Высокий | Нексус 9 | 21 декабря 2016 г. |
| CVE-2017-0327 | А-33893669* Н-CVE-2017-0327 | Высокий | Нексус 9 | 24 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через термодрайвер MediaTek
Уязвимость, связанная с повышением привилегий в тепловом драйвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0565 | А-28175904* М-ALPS02696516 | Высокий | Никто** | 11 апреля 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер камеры MediaTek
Уязвимость, связанная с повышением привилегий в драйвере камеры MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0566 | А-28470975* М-АЛПС02696367 | Высокий | Никто** | 29 апреля 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер Broadcom Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0567 | А-32125310* Б-РБ#112575 | Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 12 октября 2016 г. |
| CVE-2017-0568 | А-34197514* Б-РБ#112600 | Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 января 2017 г. |
| CVE-2017-0569 | А-34198729* Б-РБ#110666 | Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 января 2017 г. |
| CVE-2017-0570 | А-34199963* Б-РБ#110688 | Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 января 2017 г. |
| CVE-2017-0571 | А-34203305* Б-РБ#111541 | Высокий | Nexus 6, Nexus 6P, Pixel C, Nexus Player | 9 января 2017 г. |
| CVE-2017-0572 | А-34198931* Б-РБ#112597 | Высокий | Никто** | 9 января 2017 г. |
| CVE-2017-0573 | А-34469904* Б-РБ#91539 | Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 18 января 2017 г. |
| CVE-2017-0574 | А-34624457* Б-РБ#113189 | Высокий | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 22 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер Qualcomm Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0575 | А-32658595* КК-CR#1103099 | Высокий | Нексус 5X, Пиксель, Пиксель XL | 3 ноября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через HID-драйвер NVIDIA I2C
Уязвимость, связанная с повышением привилегий в HID-драйвере NVIDIA I2C, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0325 | А-33040280* Н-CVE-2017-0325 | Высокий | Нексус 9, Пиксель C | 20 ноября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через аудиодрайвер Qualcomm
Уязвимость, связанная с повышением привилегий в аудиодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0454 | А-33353700 КК-CR#1104067 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5 декабря 2016 г. |
Повышение привилегий через драйвер криптодвижка Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере криптографического механизма Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0576 | А-33544431 КК-CR#1103089 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 9 декабря 2016 г. |
Повышение привилегий через драйвер сенсорного экрана HTC
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере сенсорного экрана HTC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0577 | А-33842951* | Высокий | Никто** | 21 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через звуковой драйвер DTS
Уязвимость, связанная с повышением привилегий в звуковом драйвере DTS, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0578 | А-33964406* | Высокий | Никто** | 28 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер звукового кодека Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере звукового кодека Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10231 | А-33966912 КК-CR#1096799 | Высокий | Пиксель, Пиксель XL | 29 декабря 2016 г. |
Повышение привилегий через видеодрайвер Qualcomm
Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0579 | А-34125463* КК-CR#1115406 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5 января 2017 г. |
| CVE-2016-10232 | А-34386696 КК-CR#1024872 [2] | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 10 января 2017 г. |
| CVE-2016-10233 | А-34389926 КК-CR#897452 | Высокий | Никто** | 10 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер процессора управления загрузкой и питанием NVIDIA.
Уязвимость, связанная с повышением привилегий в драйвере процессора управления загрузкой и питанием NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте процессора управления загрузкой и питанием. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0329 | А-34115304* Н-CVE-2017-0329 | Высокий | Пиксель С | 5 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через драйвер сенсорного экрана Synaptics
Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана Synaptics, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0580 | А-34325986* | Высокий | Никто** | 16 января 2017 г. |
| CVE-2017-0581 | А-34614485* | Высокий | Никто** | 22 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер Qualcomm Seemp
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm Seemp, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0462 | А-33353601 КК-CR#1102288 | Высокий | Пиксель, Пиксель XL | Внутренний Google |
Повышение привилегий через драйвер Qualcomm Kyro L2
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Kyro L2, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-6423 | А-32831370 КК-CR#1103158 | Высокий | Пиксель, Пиксель XL | Внутренний Google |
Повышение привилегий через файловую систему ядра
Уязвимость, связанная с несанкционированным повышением привилегий в файловой системе ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-9922 | А-32761463 Вышестоящее ядро | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 24 октября 2014 г. |
Уязвимость раскрытия информации в подсистеме памяти ядра
Уязвимость раскрытия информации в подсистеме памяти ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-0206 | А-34465735 Вышестоящее ядро | Высокий | Nexus 6, Nexus Player | 6 мая 2014 г. |
Уязвимость раскрытия информации в сетевой подсистеме ядра
Уязвимость раскрытия информации в сетевой подсистеме ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-3145 | А-34469585 Вышестоящее ядро [2] | Высокий | Nexus 6, Nexus Player | 9 мая 2014 г. |
Уязвимость раскрытия информации в Qualcomm TrustZone
Уязвимость раскрытия информации в Qualcomm TrustZone может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5349 | А-29083830 QC-CR#1021945 [2] [3] [4] | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 1 июня 2016 г. |
Уязвимость раскрытия информации в драйвере Qualcomm IPA
Уязвимость раскрытия информации в драйвере Qualcomm IPA может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10234 | А-34390017 КК-CR#1069060 [2] | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 10 января 2017 г. |
Уязвимость отказа в обслуживании в сетевой подсистеме ядра
Уязвимость типа «отказ в обслуживании» в сетевой подсистеме ядра может позволить удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание или перезагрузку устройства. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-2706 | А-34160553 Вышестоящее ядро | Высокий | Нексус-плеер | 1 апреля 2014 г. |
Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi
Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi может позволить злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10235 | А-34390620 КК-CR#1046409 | Высокий | Никто** | 10 января 2017 г. |
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через файловую систему ядра
Уязвимость, связанная с несанкционированным повышением привилегий в файловой системе ядра, может позволить локальному вредоносному приложению выполнить произвольный код за пределами своих уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса и устраняется текущими конфигурациями платформы.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-7097 | А-32458736 Вышестоящее ядро | Умеренный | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player | 28 августа 2016 г. |
Повышение привилегий через драйвер Qualcomm Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен уровень средней степени тяжести, поскольку она сначала требует взлома привилегированного процесса, а также из-за конкретных сведений об уязвимости, которые ограничивают влияние проблемы.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-6424 | А-32086742 КК-CR#1102648 | Умеренный | Nexus 5X, Pixel, Pixel XL, Android One | 9 октября 2016 г. |
Повышение привилегий через драйвер Broadcom Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Broadcom Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса и устраняется текущими конфигурациями платформы.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-8465 | А-32474971* Б-РБ#106053 | Умеренный | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 октября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через команду быстрой загрузки HTC OEM
Уязвимость, связанная с повышением привилегий в команде быстрой загрузки HTC OEM, может позволить локальному вредоносному приложению выполнить произвольный код в контексте концентратора датчиков. Этой проблеме присвоен средний уровень серьезности, поскольку она требует сначала использования отдельных уязвимостей.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0582 | А-33178836* | Умеренный | Нексус 9 | 28 ноября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через драйвер доступа Qualcomm CP
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере доступа Qualcomm CP, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен уровень средней степени тяжести, поскольку она сначала требует взлома привилегированного процесса, а также из-за конкретных сведений об уязвимости, которые ограничивают влияние проблемы.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0583 | А-32068683 КК-CR#1103788 | Умеренный | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | Внутренний Google |
Уязвимость раскрытия информации в медиадрайвере ядра
Уязвимость раскрытия информации в медиа-драйвере ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-1739 | А-34460642 Вышестоящее ядро | Умеренный | Nexus 6, Nexus 9, Nexus Player | 15 июня 2014 г. |
Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi
Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0584 | А-32074353* КК-CR#1104731 | Умеренный | Нексус 5X, Пиксель, Пиксель XL | 9 октября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi
Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0585 | А-32475556* Б-РБ#112953 | Умеренный | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 октября 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере Qualcomm Avtimer
Уязвимость раскрытия информации в драйвере Qualcomm Avtimer может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5346 | А-32551280 КК-CR#1097878 | Умеренный | Пиксель, Пиксель XL | 29 октября 2016 г. |
Уязвимость раскрытия информации в видеодрайвере Qualcomm
Уязвимость раскрытия информации в видеодрайвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-6425 | А-32577085 КК-CR#1103689 | Умеренный | Пиксель, Пиксель XL | 29 октября 2016 г. |
Уязвимость раскрытия информации в USB-драйвере Qualcomm
Уязвимость раскрытия информации в USB-драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10236 | А-33280689 КК-CR#1102418 | Умеренный | Пиксель, Пиксель XL | 30 ноября 2016 г. |
Уязвимость раскрытия информации в звуковом драйвере Qualcomm
Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0586 | А-33649808 КК-CR#1097569 | Умеренный | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 13 декабря 2016 г. |
Уязвимость раскрытия информации в драйвере Qualcomm SPMI
Уязвимость раскрытия информации в драйвере Qualcomm SPMI может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-6426 | А-33644474 КК-CR#1106842 | Умеренный | Пиксель, Пиксель XL | 14 декабря 2016 г. |
Уязвимость раскрытия информации в криптодрайвере NVIDIA
Уязвимость раскрытия информации в криптодрайвере NVIDIA может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0328 | А-33898322* Н-CVE-2017-0328 | Умеренный | Никто** | 24 декабря 2016 г. |
| CVE-2017-0330 | А-33899858* Н-CVE-2017-0330 | Умеренный | Никто** | 24 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Уязвимости в компонентах Qualcomm
Эти уязвимости, затрагивающие компоненты Qualcomm, были опубликованы в рамках бюллетеней безопасности Qualcomm AMSS в период с 2014 по 2016 год. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с уровнем исправлений безопасности Android.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-9931 | А-35445101** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2014-9932 | А-35434683** | Критический | Пиксель, Пиксель XL | Внутренний Qualcomm |
| CVE-2014-9933 | А-35442512** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2014-9934 | А-35439275** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2014-9935 | А-35444951** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2014-9936 | А-35442420** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2014-9937 | А-35445102** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-8995 | А-35445002** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-8996 | А-35444658** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-8997 | А-35432947** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-8998 | А-35441175** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-8999 | А-35445401** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-9000 | А-35441076** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-9001 | А-35445400** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-9002 | А-35442421** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2015-9003 | А-35440626** | Критический | Никто** | Внутренний Qualcomm |
| CVE-2016-10242 | А-35434643** | Критический | Никто** | Внутренний Qualcomm |
* Уровень серьезности этих уязвимостей определен поставщиком.
** Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
*** Поддерживаемые устройства Google на базе Android 7.0 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Общие вопросы и ответы
В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Чтобы узнать, как проверить уровень обновлений безопасности устройства, прочтите инструкции в расписании обновлений Pixel и Nexus .
- Уровни исправлений безопасности от 01 апреля 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 01 апреля 2017 г.
- Уровни исправлений безопасности от 05 апреля 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 05 апреля 2017 г. и всеми предыдущими уровнями исправлений.
Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:
- [ro.build.version.security_patch]:[2017-04-01]
- [ro.build.version.security_patch]:[2017-04-05]
2. Почему в этом бюллетене указаны два уровня исправлений безопасности?
В этом бюллетене есть два уровня исправлений безопасности, поэтому партнеры Android имеют возможность быстрее устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать последнюю версию исправлений безопасности.
- Устройства, использующие уровень исправлений безопасности от 1 апреля 2017 г., должны включать все проблемы, связанные с этим уровнем исправлений безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
- Устройства, на которых используется уровень исправлений безопасности от 5 апреля 2017 г. или новее, должны включать все применимые исправления, указанные в этом (и предыдущих) бюллетенях по безопасности.
Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.
3. Как определить, на каких устройствах Google возникает та или иная проблема?
В разделах сведений об уязвимостях системы безопасности за 2017-04-01 и 2017-04-05 в каждой таблице есть столбец «Обновленные устройства Google» , в котором указан диапазон затронутых устройств Google, обновленных для каждой проблемы. В этом столбце есть несколько вариантов:
- Все устройства Google . Если проблема затрагивает устройства «Все» и «Pixel», в столбце «Обновленные устройства Google » в таблице будет указано «Все». «Все» подразумевает следующие поддерживаемые устройства : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства Google . Если проблема не затрагивает все устройства Google, затронутые устройства Google перечислены в столбце «Обновленные устройства Google» .
- Нет устройств Google . Если проблема не затронула ни одно устройство Google под управлением Android 7.0, в столбце «Обновленные устройства Google » в таблице будет указано «Нет».
4. Чему соответствуют записи в столбце «Ссылки»?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение. Эти префиксы отображаются следующим образом:
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
| КК- | Справочный номер Qualcomm |
| М- | Справочный номер MediaTek |
| Н- | Справочный номер NVIDIA |
| Б- | Справочный номер Broadcom |
Редакции
- 3 апреля 2017 г.: Бюллетень опубликован.
- 5 апреля 2017 г.: в бюллетень добавлены ссылки на AOSP.
- 21 апреля 2017 г.: исправлена атрибуция CVE-2016-10231 и CVE-2017-0586.
- 27 апреля 2017 г.: CVE-2017-0540 удален из бюллетеня.
- 17 августа 2017 г.: в бюллетень внесены обновления справочных номеров.