Opublikowano 3 kwietnia 2017 r. | Zaktualizowano 17 sierpnia 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Oprócz biuletynu udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pomocą aktualizacji OTA. Obrazy oprogramowania układowego urządzeń Google zostały też opublikowane na stronie dla deweloperów Google. Wszystkie te problemy zostały rozwiązane w poziomach aktualizacji zabezpieczeń z 5 kwietnia 2017 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali poinformowani o problemach opisanych w biuletynie 6 marca 2017 r. lub wcześniej. Poprawki do kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium projektu Android Open Source Project (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczne zagrożenie bezpieczeństwa, które może umożliwić zdalne wykonywanie kodu na urządzeniu docelowym za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy bezpieczeństwa Androida oraz zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Zapobieganie naruszeniom zabezpieczeń Androida i usług Google.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków dotyczącego poziomu poprawki zabezpieczeń, aby umożliwić partnerom Androida szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z artykułem Częste pytania i odpowiedzi:
- 2017-04-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-04-01 (i wszystkimi poprzednimi ciągami znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2017-04-05: kompletny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-04-01 i 2017-04-05 (oraz wszystkie poprzednie ciągi znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Google otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 kwietnia 2017 r.
Środki zaradcze dotyczące Androida i usług Google
Oto podsumowanie metod ograniczania zagrożeń oferowanych przez platformę bezpieczeństwa Androida oraz usługi zabezpieczające, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą weryfikacji aplikacji i SafetyNet, które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja weryfikacji aplikacji ostrzega użytkowników, gdy próbują oni zainstalować wykryte narzędzie do rootowania – niezależnie od tego, skąd pochodzi. Dodatkowo Weryfikacja aplikacji próbuje wykrywać i blokować instalowanie znanych szkodliwych aplikacji, które wykorzystują lukę umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Aravind Machiry (donfos) z zespołu Shellphish Grill: CVE-2016-5349
- Daxing Guo (@freener0) z Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
- Derrek (@derrekr6) i Scott Bauer: CVE-2017-0576
- Gal Beniamini z Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
- Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
- Guang Gong (龚广) (@oldfresher) z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
- Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017-0567
- Ian Foster (@lanrat): CVE-2017-0554
- Jack Tang z Trend Micro Inc.: CVE-2017-0579
- Jianjun Dai (@Jioun_dai) z Qihoo 360 Skyeye Labs: CVE-2017-0559, CVE-2017-0541
- Jianqiang Zhao (@jianqiangzhao) i pjf z IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
- Lubo Zhang (zlbzlb815@163.com) z zespołu C0RE oraz Yonggang Guo (@guoygang) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
- Mark Salyzyn z Google: CVE-2017-0558
- Mike Andereson (@manderbot) i Nathan Crandall (@natecray) z zespołu ds. zabezpieczeń produktów w firmie Tesla: CVE-2017-0327, CVE-2017-0328
- Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang Song z Alibaba Mobile Security Group: CVE-2017-0565
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) i Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室): CVE-2016-10236
- Qidan He (何淇丹 - @flanker_hqd) z KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
- Roee Hay (@roeehay) z Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
- Scott Bauer (@ScottyBauer1): CVE-2017-0562, CVE-2017-0339
- Seven Shen (@lingtongshen) z zespołu TrendMicro ds. badania zagrożeń w telefonach komórkowych: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
- Tim Becker: CVE-2017-0546
- Uma Sankar Pradhan (@umasankar_iitd): CVE-2017-0560
- V.E.O (@VYSEa) z zespołu ds. reagowania na zagrożenia w mobilnych urządzeniach, Trend Micro: CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
- Weichao Sun (@sunblate) z Alibaba Inc.: CVE-2017-0549
- Wenlin Yang (@wenlin_yang), Guang Gong (@oldfresher) i Hao Chen z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
- Zinuo Han z Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
- Zubin Mithra z Google: CVE-2017-0462
Poziom aktualizacji zabezpieczeń z 1.04.2017 – szczegóły dotyczące podatności
W poniższych sekcjach znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-04-01.Znajdziesz tu opis problemu, uzasadnienie dotyczące jego wagi oraz tabelę z identyfikatorem CVE, powiązanymi odwołaniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0538 | A-33641588 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 13 grudnia 2016 r. |
| CVE-2017-0539 | A-33864300 | Krytyczny | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 grudnia 2016 r. |
| CVE-2017-0541 | A-34031018 | Krytyczny | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 1 stycznia 2017 r. |
| CVE-2017-0542 | A-33934721 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
| CVE-2017-0543 | A-34097866 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Luki w zabezpieczeniach umożliwiające podniesienie uprawnień w CameraBase
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w CameraBase mogłaby umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu. Ten problem ma wysoki priorytet, ponieważ jest to lokalna dowolna operacja kodu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0544 | A-31992879 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 października 2016 r. |
Luka w zabezpieczeniach w Audioserver, która umożliwia podniesienie uprawnień
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w Audioserverze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wyższych uprawnieniach. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0545 | A-32591350 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 31 października 2016 r. |
Luki w zabezpieczeniach w SurfaceFlinger umożliwiające podniesienie uprawnień
Podatność w SurfaceFlingerze umożliwiająca podniesienie uprawnień mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0546 | A-32628763 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 listopada 2016 r. |
Luka w zabezpieczeniach w Mediaserverze umożliwiająca ujawnienie informacji
Użytkownikom lokalnych aplikacji złośliwych może zostać przyznany dostęp do danych spoza poziomu uprawnień, ponieważ w Mediaserverze występuje luka umożliwiająca ujawnienie informacji. Ten problem ma wysoki priorytet, ponieważ jest to ogólne obejście zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0547 | A-33861560 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 22 grudnia 2016 r. |
Atak typu DoS w libskia
Użytkownik może wykorzystać podatność na atak typu „odmowa usługi” w bibliotece libskia, aby użyć specjalnie spreparowanego pliku i spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego ataku typu DoS.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0548 | A-33251605 | Wysoki | Wszystko | 7.0, 7.1.1 | 29 listopada 2016 r. |
Atak typu DoS w usłudze Mediaserver
Usługa Mediaserver zawierała podatność na odmowę usługi zdalnej, która umożliwiała atakującemu użycie specjalnie spreparowanego pliku do spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0549 | A-33818508 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 20 grudnia 2016 r. |
| CVE-2017-0550 | A-33933140 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
| CVE-2017-0551 | A-34097231 [2] | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
| CVE-2017-0552 | A-34097915 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Luki w zabezpieczeniach w libnl umożliwiające eskalację uprawnień
Podatność w libnl umożliwiająca eskalację uprawnień mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi Wi-Fi. Ten problem został oceniony jako „Umiarkowany”, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez bieżące konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0553 | A-32342065 | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 października 2016 r. |
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w Telephony
W komponencie telefonii występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji dostęp do funkcji wykraczających poza poziom uprawnień. Ten problem został oceniony jako „Umiarkowany”, ponieważ może być wykorzystywany do uzyskiwania dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0554 | A-33815946 [2] | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 grudnia 2016 r. |
Luka w zabezpieczeniach w Mediaserverze umożliwiająca ujawnienie informacji
Użytkownikom lokalnych aplikacji złośliwych może zostać przyznany dostęp do danych spoza poziomu uprawnień, ponieważ w Mediaserverze występuje luka umożliwiająca ujawnienie informacji. Ten problem ma ocenę Średni, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych bez uprawnień.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0555 | A-33551775 | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 12 grudnia 2016 r. |
| CVE-2017-0556 | A-34093952 | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 4 stycznia 2017 r. |
| CVE-2017-0557 | A-34093073 | Umiarkowana | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 4 stycznia 2017 r. |
| CVE-2017-0558 | A-34056274 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Luka w zabezpieczeniach libskia powodująca ujawnienie informacji
W bibliotece libskia występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych bez uprawnień.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0559 | A-33897722 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 grudnia 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w fabrycznym resetowaniu
W ramach procesu przywracania do ustawień fabrycznych występuje luka w zabezpieczeniach, która umożliwia lokalnym złośliwym użytkownikom uzyskanie dostępu do danych poprzedniego właściciela. Ten problem został oceniony jako „Umiarkowany” ze względu na możliwość obejścia zabezpieczeń urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0560 | A-30681079 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
Stan aktualizacji zabezpieczeń z dnia 2017-04-05 – szczegóły dotyczące luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 05.04.2017. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w oprogramowaniu układów Wi-Fi Broadcom
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w oprogramowaniu układu SoC Wi-Fi firmy Broadcom może umożliwić atakującemu zdalne uruchomienie dowolnego kodu w kontekście tego układu. Problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście układu SoC Wi-Fi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0561 | A-34199105* B-RB#110814 |
Krytyczny | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka umożliwiająca zdalne wykonanie kodu w sterowniku silnika kryptograficznego Qualcomm
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w sterowniku silnika kryptograficznego Qualcomma może umożliwić atakującemu zdalne uruchomienie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonywania kodu w kontekście jądra.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10230 | A-34389927 QC-CR#1091408 |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 10 stycznia 2017 r. |
Luka umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w podsystemie sieciowym jądra może umożliwić atakującemu zdalne uruchomienie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość zdalnego uruchamiania kodu w kontekście jądra.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10229 | A-32813456 Jednostka jądra na upstreamie |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | Tylko w Google |
podatność na atak polegająca na podnoszeniu uprawnień w sterowniku ekranu dotykowego MediaTek
Użytkownik lokalny może wykorzystać podatność w sterowniku ekranu dotykowego MediaTek, aby uruchomić dowolny kod w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0562 | A-30202425* M-ALPS02898189 |
Krytyczny* | Brak** | 16 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku ekranu dotykowego HTC
Podatność na podniesienie uprawnień w sterowniku ekranu dotykowego HTC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0563 | A-32089409* |
Krytyczny | Nexus 9 | 9 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie ION w jądrze
Podatność w ramach podsystemu ION jądra umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0564 | A-34276203* |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 12 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luki w komponentach Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w powiadomieniu o błędach z października 2016 roku dotyczącym AMSS firmy Qualcomm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10237 | A-31628601** QC-CR#1046751 |
Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2016-10238 | A-35358527** QC-CR#1042558 |
Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-10239 | A-31624618** QC-CR#1032929 |
Wysoki | Pixel, Pixel XL | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
*** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w wersji 8.
Luka w zabezpieczeniach w wersji 8 umożliwiająca zdalne uruchomienie kodu może umożliwiać zdalnym hakerom uruchomienie dowolnego kodu w kontekście procesu uprzywilejowanego. Ten problem ma ocenę wysoką z powodu możliwości zdalnego wykonania kodu w witrynach.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5129 | A-29178923 | Wysoki | Brak* | 6.0, 6.0.1, 7.0 | 20 lipca 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca zdalne wykonywanie kodu w programie Freetype
Luka w zabezpieczeniach w programie Freetype umożliwiająca zdalne uruchomienie kodu może umożliwić lokalnej złośliwej aplikacji załadowanie specjalnie spreparowanego czcionki, aby spowodować uszkodzenie pamięci w procesie bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-10244 | A-31470908 | Wysoki | Brak* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 września 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie dźwięku jądra
Podatność na podniesienie uprawnień w podsystemie dźwięku jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-4656 | A-34464977 Kernel upstream |
Wysoki | Nexus 6, Nexus Player | 26 czerwca 2014 r. |
Luka w sterowniku kryptograficznym Nvidii umożliwiająca podniesienie uprawnień
Luka w zabezpieczeniach w sterowniku szyfrowania firmy NVIDIA może umożliwić lokalnej aplikacji szkodliwej wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0339 | A-27930566* N-CVE-2017-0339 |
Wysoki | Nexus 9 | 29 marca 2016 r. |
| CVE-2017-0332 | A-33812508* N-CVE-2017-0332 |
Wysoki | Nexus 9 | 21 grudnia 2016 r. |
| CVE-2017-0327 | A-33893669* N-CVE-2017-0327 |
Wysoki | Nexus 9 | 24 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku termicznym MediaTek
Podatność w sterowniku termicznym MediaTek umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0565 | A-28175904* M-ALPS02696516 |
Wysoki | Brak** | 11 kwietnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku aparatu MediaTek
Podatność w sterowniku aparatu MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0566 | A-28470975* M-ALPS02696367 |
Wysoki | Brak** | 29 kwietnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0567 | A-32125310* B-RB#112575 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 12 października 2016 r. |
| CVE-2017-0568 | A-34197514* B-RB#112600 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 stycznia 2017 r. |
| CVE-2017-0569 | A-34198729* B-RB#110666 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 stycznia 2017 r. |
| CVE-2017-0570 | A-34199963* B-RB#110688 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 stycznia 2017 r. |
| CVE-2017-0571 | A-34203305* B-RB#111541 |
Wysoki | Nexus 6, Nexus 6P, Pixel C, Nexus Player | 9 stycznia 2017 r. |
| CVE-2017-0572 | A-34198931* B-RB#112597 |
Wysoki | Brak** | 9 stycznia 2017 r. |
| CVE-2017-0573 | A-34469904* B-RB#91539 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 18 stycznia 2017 r. |
| CVE-2017-0574 | A-34624457* B-RB#113189 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 22 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0575 | A-32658595* QC-CR#1103099 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 3 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w sterowniku Nvidi I2C HID umożliwiająca podniesienie uprawnień
Luka w zabezpieczeniach w sterowniku I2C HID firmy NVIDIA może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0325 | A-33040280* N-CVE-2017-0325 |
Wysoki | Nexus 9, Pixel C | 20 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w sterowniku audio Qualcomma umożliwiająca podniesienie uprawnień
Podatność w sterowniku audio Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0454 | A-33353700 QC-CR#1104067 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5 grudnia 2016 r. |
Podniesienie uprawnień w sterowniku silnika kryptograficznego Qualcomm
Użytkownik lokalny może wykorzystać lukę w zabezpieczeniach w sterowniku silnika kryptograficznego Qualcomm, aby uruchomić dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0576 | A-33544431 QC-CR#1103089 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 9 grudnia 2016 r. |
Podniesienie uprawnień w sterowniku ekranu dotykowego HTC
Podatność na podniesienie uprawnień w sterowniku ekranu dotykowego HTC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0577 | A-33842951* |
Wysoki | Brak** | 21 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w zabezpieczeniach w sterowniku dźwięku DTS w zakresie podniesienia uprawnień
Podatność w zasadzie podnoszenia uprawnień w sterowniku dźwięku DTS może umożliwić lokalnej aplikacji szkodliwej wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0578 | A-33964406* |
Wysoki | Brak** | 28 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
podatność w sterowniku kodeka dźwiękowego Qualcomm umożliwiająca podniesienie uprawnień
Podatność w zabezpieczeniach w sterowniku kodeka dźwiękowego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10231 | A-33966912 QC-CR#1096799 |
Wysoki | Pixel, Pixel XL | 29 grudnia 2016 r. |
Luka w zarządzaczu wideo Qualcomma umożliwiająca podniesienie uprawnień
Podatność w zabezpieczeniach w sterowniku wideo Qualcomma może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0579 | A-34125463* QC-CR#1115406 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5 stycznia 2017 r. |
| CVE-2016-10232 | A-34386696 QC-CR#1024872 [2] |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 10 stycznia 2017 r. |
| CVE-2016-10233 | A-34389926 QC-CR#897452 |
Wysoki | Brak** | 10 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku procesora do zarządzania zasilaniem i uruchamianiem firmy NVIDIA
W ramach tego podatnego na uzyskanie uprawnień elementu w sterowniku procesora do uruchamiania i zarządzania zasilaniem firmy NVIDIA lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście procesora do uruchamiania i zarządzania zasilaniem. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu z przywilejami.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0329 | A-34115304* N-CVE-2017-0329 |
Wysoki | Pixel C | 5 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
podatność na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics
Użytkownik lokalny może wykorzystać podatność w sterowniku ekranu dotykowego Synaptics do podniesienia uprawnień i wykonania dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0580 | A-34325986* |
Wysoki | Brak** | 16 stycznia 2017 r. |
| CVE-2017-0581 | A-34614485* |
Wysoki | Brak** | 22 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w sterowniku Qualcomm Seemp umożliwiające podniesienie uprawnień
Podatność w sterowniku Qualcomm Seemp umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0462 | A-33353601 QC-CR#1102288 |
Wysoki | Pixel, Pixel XL | Tylko w Google |
Luki w zabezpieczeniach sterownika Kyro L2 firmy Qualcomm
Podatność w sterowniku Qualcomm Kyro L2 umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-6423 | A-32831370 QC-CR#1103158 |
Wysoki | Pixel, Pixel XL | Tylko w Google |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie plików jądra
Uprawnienia związane z luką w systemie plików jądra mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9922 | A-32761463 Upstream kernel |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 24 października 2014 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w jądrze w podsystemie pamięci
Luka w zabezpieczeniach dotycząca ujawnienia informacji w podsystemie pamięci jądra może umożliwić lokalnej złośliwej aplikacji dostęp do danych spoza poziomu uprawnień. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych poufnych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-0206 | A-34465735 Jednostka przetwarzania upstream |
Wysoki | Nexus 6, Nexus Player | 6 maja 2014 r. |
luka w zabezpieczeniach związana z ujawnieniem informacji w podsystemie sieciowym jądra;
Użytkownik lokalny może wykorzystać podatność na ujawnienie informacji w podsystemie sieciowym jądra, aby uzyskać dostęp do danych spoza swoich poziomów uprawnień. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-3145 | A-34469585 Kernel upstream [2] |
Wysoki | Nexus 6, Nexus Player | 9 maja 2014 r. |
Luka w zabezpieczeniach polegająca na ujawnieniu informacji w Qualcomm TrustZone
W urządzeniu Qualcomm TrustZone występuje luka w zabezpieczeniach, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5349 | A-29083830 QC-CR#1021945 [2] [3] [4] |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 1 czerwca 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku IPA firmy Qualcomm
W sterowniku IPA firmy Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziom uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10234 | A-34390017 QC-CR#1069060 [2] |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 10 stycznia 2017 r. |
podatność na atak typu DoS w podsystemie sieciowym jądra
Użytkownik zdalny może wykorzystać podatność na atak typu „odmowa usługi” w podsystemie sieciowym jądra, aby za pomocą specjalnie spreparowanego pakietu sieciowego spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-2706 | A-34160553 Jednostka jądra upstream |
Wysoki | Nexus Player | 1 kwietnia 2014 r. |
luka w zabezpieczeniach umożliwiająca atak typu DoS w sterowniku Wi-Fi Qualcomm
Usługa typu DoS w sterowniku Wi-Fi Qualcomma może umożliwić atakującemu w pobliżu wywołanie awarii w podsystemie Wi-Fi. To zgłoszenie ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10235 | A-34390620 QC-CR#1046409 |
Wysoki | Brak** | 10 stycznia 2017 r. |
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie plików jądra
Luka w zabezpieczeniach związana z podniesieniem uprawnień w systemie plików jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-7097 | A-32458736 Kompilacja jądra upstream |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player | 28 sierpnia 2016 r. |
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako „Umiarkowany”, ponieważ wymaga najpierw przejęcia procesu z przywilejami oraz ze względu na szczegóły dotyczące podatności, które ograniczają wpływ problemu.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-6424 | A-32086742 QC-CR#1102648 |
Umiarkowana | Nexus 5X, Pixel, Pixel XL, Android One | 9 października 2016 r. |
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8465 | A-32474971* B-RB#106053 |
Umiarkowana | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zarządzeniu fastboot OEM firmy HTC umożliwiająca podniesienie uprawnień
W przypadku podatności na podniesienie uprawnień w komandach fastboot OEM HTC lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście koncentratora czujników. Ten problem ma ocenę „Umiarkowany”, ponieważ najpierw wymaga wykorzystania oddzielnych luk w zabezpieczeniach.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0582 | A-33178836* |
Umiarkowana | Nexus 9 | 28 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w sterowniku dostępu CP firmy Qualcomm
Podatność w sterowniku dostępu CP firmy Qualcomm umożliwia lokalnej aplikacji szkodliwej wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako „Umiarkowany”, ponieważ wymaga najpierw przejęcia procesu z przywilejami, a także ze względu na szczegóły dotyczące konkretnej podatności, które ograniczają wpływ problemu.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0583 | A-32068683 QC-CR#1103788 |
Umiarkowana | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | Tylko w Google |
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku multimediów jądra;
W ramach podatności w sterowniku multimediów jądra możliwe jest uzyskanie przez lokalną złośliwą aplikację dostępu do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-1739 | A-34460642 Upstream kernel |
Umiarkowana | Nexus 6, Nexus 9, Nexus Player | 15 czerwca 2014 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku Wi-Fi firmy Qualcomm;
W sterowniku Wi-Fi Qualcomma wykryto podatność na ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0584 | A-32074353* QC-CR#1104731 |
Umiarkowana | Nexus 5X, Pixel, Pixel XL | 9 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku Wi-Fi Broadcom;
W sterowniku Wi-Fi Broadcom występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0585 | A-32475556* B-RB#112953 |
Umiarkowana | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku Qualcomm Avtimer.
W sterowniku Qualcomm Avtimer występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5346 | A-32551280 QC-CR#1097878 |
Umiarkowana | Pixel, Pixel XL | 29 października 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku wideo Qualcomm.
W układzie Qualcomma znaleziono podatność na ujawnienie informacji, która może umożliwiać lokalnym złośliwym aplikacjom dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-6425 | A-32577085 QC-CR#1103689 |
Umiarkowana | Pixel, Pixel XL | 29 października 2016 r. |
Luka w zabezpieczeniach powodująca ujawnienie informacji w sterowniku USB Qualcomm
W sterowniku USB Qualcomma występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziom uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10236 | A-33280689 QC-CR#1102418 |
Umiarkowana | Pixel, Pixel XL | Nov 30, 2016 |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku dźwięku Qualcomm;
W sterowniku dźwięku Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0586 | A-33649808 QC-CR#1097569 |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 13 grudnia 2016 r. |
Luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku SPMI firmy Qualcomm
W sterowniku SPMI firmy Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-6426 | A-33644474 QC-CR#1106842 |
Umiarkowana | Pixel, Pixel XL | 14 grudnia 2016 r. |
Luka w zabezpieczeniach w sterowniku kryptograficznym Nvidii, która umożliwia ujawnienie informacji
W układzie scalonym do szyfrowania firmy NVIDIA występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0328 | A-33898322* N-CVE-2017-0328 |
Umiarkowana | Brak** | 24 grudnia 2016 r. |
| CVE-2017-0330 | A-33899858* N-CVE-2017-0330 |
Umiarkowana | Brak** | 24 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w komponentach Qualcomm
Te luki w zabezpieczeniach, które dotyczą komponentów Qualcomm, zostały opublikowane w ramach biuletynów dotyczących zabezpieczeń AMSS firmy Qualcomm w latach 2014–2016. Są one zawarte w tym komunikacie o zabezpieczeniach Androida, aby umożliwić powiązanie ich z poziomem aktualizacji zabezpieczeń Androida.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9931 | A-35445101** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2014-9932 | A-35434683** | Krytyczny | Pixel, Pixel XL | Qualcomm wewnętrzny |
| CVE-2014-9933 | A-35442512** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2014-9934 | A-35439275** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2014-9935 | A-35444951** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2014-9936 | A-35442420** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2014-9937 | A-35445102** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-8995 | A-35445002** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-8996 | A-35444658** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-8997 | A-35432947** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-8998 | A-35441175** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-8999 | A-35445401** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-9000 | A-35441076** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-9001 | A-35445400** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-9002 | A-35442421** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2015-9003 | A-35440626** | Krytyczny | Brak** | Qualcomm wewnętrzny |
| CVE-2016-10242 | A-35434643** | Krytyczny | Brak** | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
** Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
*** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 2017-04-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-04-01.
- Poziomy aktualizacji zabezpieczeń z 2017-04-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-04-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-04-01]
- [ro.build.version.security_patch]:[2017-04-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 kwietnia 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 kwietnia 2017 r. lub nowszego, muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Jak sprawdzić, które urządzenia Google są dotknięte danym problemem?
W sekcjach 2017-04-01 i 2017-04-05 zawierających informacje o lukach w zabezpieczeniach znajduje się kolumna Zaktualizowane urządzenia Google, która obejmuje zakres urządzeń Google, dla których zaktualizowano dane dotyczące danego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Google: jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w tabeli w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Wszystkie”. „Wszystkie” obejmuje te obsługiwane urządzenia: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
- Niektóre urządzenia Google: jeśli problem nie dotyczy wszystkich urządzeń Google, te, na które ma wpływ, są wymienione w kolumnie Zaktualizowane urządzenia Google.
- Brak urządzeń Google: jeśli problem nie dotyczy żadnych urządzeń Google z Androidem 7.0, w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Brak”.
4. Do czego odnoszą się wpisy w kolumnie „Odwołania”?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w ten sposób:
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Wersje
- 3 kwietnia 2017 r.: opublikowano biuletyn.
- 5 kwietnia 2017 r.: w powiadomieniu uwzględniono linki do AOSP.
- 21 kwietnia 2017 roku: poprawiono informacje o uwzględnieniu CVE-2016-10231 i CVE-2017-0586.
- 27 kwietnia 2017 r.: CVE-2017-0540 został usunięty z komunikatu.
- 17 sierpnia 2017 r.: w komunikatach dokonano poprawek w numerach referencyjnych.