Publicado em 3 de abril de 2017 | Atualizado em 17 de agosto de 2017
O Boletim de segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Além do boletim, lançamos uma atualização de segurança para dispositivos Nexus por uma atualização over the air (OTA). As imagens de firmware do dispositivo do Google também foram lançadas no site para desenvolvedores do Google. Os níveis de patch de segurança de 5 de abril de 2017 ou mais recentes resolvem todos esses problemas. Consulte o programa de atualização do Pixel e Nexus para saber como verificar o nível do patch de segurança de um dispositivo.
Os parceiros foram notificados dos problemas descritos no boletim em 6 de março de 2017 ou antes. Os patches do código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.
O problema mais grave é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por vários métodos, como e-mail, navegação na Web e MMS ao processar arquivos de mídia. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não recebemos relatos de exploração ou abuso ativo de clientes desses problemas recém-informados. Consulte a seção Mitigações de serviços do Android e do Google para saber mais sobre as proteções da plataforma de segurança do Android e as proteções de serviço, como a SafetyNet, que melhoram a segurança da plataforma Android.
Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.
Anúncios
- Este boletim tem duas strings de nível de patch de segurança para oferecer aos parceiros
do Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades
semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para
mais informações:
- 2017-04-01: string de nível de patch de segurança parcial. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-04-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
- 2017-04-05: string de nível de patch de segurança completa. Essa string de nível de patch de segurança indica que todos os problemas associados a 2017-04-01 e 2017-04-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
- Os dispositivos Google compatíveis vão receber uma única atualização OTA com o nível do patch de segurança de 5 de abril de 2017.
Mitigações do Android e dos serviços do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como a SafetyNet. Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android fica mais difícil devido às melhorias nas versões mais recentes da Plataforma Android. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente os abusos com o Verify Apps e o SafetyNet, que foram criados para alertar os usuários sobre aplicativos potencialmente nocivos. A verificação de apps é ativada por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam apps fora do Google Play. Ferramentas de enraizamento de dispositivos são proibidas no Google Play, mas o recurso "Verificar apps" alerta os usuários quando eles tentam instalar um aplicativo de enraizamento detectado, não importa a origem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de elevação de privilégios. Se esse aplicativo já tiver sido instalado, o recurso Verificar apps vai notificar o usuário e tentar remover o aplicativo detectado.
- Conforme apropriado, os apps do Google Hangouts e do Messenger não transmitem mídia automaticamente para processos como o Mediaserver.
Agradecimentos
Agradecemos as contribuições dos seguintes pesquisadores:
- Aravind Machiry (donfos) da Shellphish Grill Team: CVE-2016-5349
- Daxing Guo (@freener0) do Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
- Derrek (@derrekr6) e Scott Bauer: CVE-2017-0576
- Gal Beniamini do Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
- Gengjia Chen (@chengjia4574) e pjf do IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
- Guang Gong (龚广) (@oldfresher) da Equipe Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
- Hao Chen e Guang Gong da Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017-0567
- Ian Foster (@lanrat): CVE-2017-0554
- Jack Tang, da Trend Micro Inc.: CVE-2017-0579
- Jianjun Dai (@Jioun_dai) da Qihoo 360 Skyeye Labs: CVE-2017-0559, CVE-2017-0541
- Jianqiang Zhao (@jianqiangzhao) e pjf do IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
- Lubo Zhang (zlbzlb815@163.com) da Equipe C0RE e Yonggang Guo (@guoygang) do IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
- Mark Salyzyn, do Google: CVE-2017-0558
- Mike Andereson (@manderbot) e Nathan Crandall (@natecray) da equipe de segurança de produtos da Tesla: CVE-2017-0327, CVE-2017-0328
- Peng Xiao, Chengming Yang, Ning You, Chao Yang e Yang Song do Alibaba Mobile Security Group: CVE-2017-0565
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) e Lenx Wei (韦韬) do Baidu X-Lab (百度安全实验室): CVE-2016-10236
- Qidan He (何淇丹 - @flanker_hqd) da KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
- Roee Hay (@roeehay) da Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
- Scott Bauer (@ScottyBauer1): CVE-2017-0562, CVE-2017-0339
- Seven Shen (@lingtongshen) da equipe de pesquisa de ameaças móveis da TrendMicro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
- Tim Becker: CVE-2017-0546
- Uma Sankar Pradhan (@umasankar_iitd): CVE-2017-0560
- V.E.O (@VYSEa) da Equipe de Resposta a Ameaças Móveis, Trend Micro: CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
- Weichao Sun (@sunblate) da Alibaba Inc.: CVE-2017-0549
- Wenlin Yang (@wenlin_yang), Guang Gong (@oldfresher) e Hao Chen da equipe Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
- Zinuo Han, da Central de Resposta de Segurança de Chengdu da Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
- Zubin Mithra, do Google: CVE-2017-0462
Nível do patch de segurança de 01/04/2017: detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2017-04-01.Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Google atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de denúncia. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no Mediaserver
Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor use um arquivo criado especialmente para causar corrupção de memória durante o processamento de arquivos de mídia e dados. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do processo do Mediaserver.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0538 | A-33641588 | Crítico | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 13 de dezembro de 2016 |
| CVE-2017-0539 | A-33864300 | Crítico | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 de dezembro de 2016 |
| CVE-2017-0541 | A-34031018 | Crítico | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 1º de janeiro de 2017 |
| CVE-2017-0542 | A-33934721 | Crítico | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
| CVE-2017-0543 | A-34097866 | Crítico | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
Vulnerabilidade de elevação de privilégios no CameraBase
Uma vulnerabilidade de elevação de privilégio no CameraBase pode permitir que um aplicativo malicioso local execute um código arbitrário. Esse problema é classificado como Alto porque é uma execução de código arbitrária local em um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0544 | A-31992879 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 de outubro de 2016 |
Vulnerabilidade de elevação de privilégios no Audioserver
Uma elevação de vulnerabilidade de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como "Alto" porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0545 | A-32591350 | Alta | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 31 de outubro de 2016 |
Elevação de vulnerabilidade de privilégio no SurfaceFlinger
Uma elevação de vulnerabilidade de privilégio no SurfaceFlinger pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto de um processo privilegiado. Esse problema foi classificado como "Alto" porque pode ser usado para ter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0546 | A-32628763 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 de novembro de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque é um bypass geral para proteções do sistema operacional que isolam dados de aplicativos de outros aplicativos.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0547 | A-33861560 | Alta | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 22 de dezembro de 2016 |
Vulnerabilidade de negação de serviço no libskia
Uma vulnerabilidade de negação de serviço remota no libskia pode permitir que um invasor use um arquivo criado especialmente para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como de alta gravidade devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0548 | A-33251605 | Alta | Tudo | 7.0, 7.1.1 | 29 de novembro de 2016 |
Vulnerabilidade de negação de serviço no Mediaserver
Uma vulnerabilidade de negação de serviço remota no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar uma falha ou reinicialização do dispositivo. Esse problema é classificado como de alta gravidade devido à possibilidade de negação remota de serviço.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0549 | A-33818508 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 20 de dezembro de 2016 |
| CVE-2017-0550 | A-33933140 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
| CVE-2017-0551 | A-34097231 [2] | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
| CVE-2017-0552 | A-34097915 | Alta | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
Elevação de vulnerabilidade de privilégio no libnl
Uma vulnerabilidade de elevação de privilégios no libnl pode permitir que um aplicativo local malicioso execute um código arbitrário no contexto do serviço Wi-Fi. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e é mitigado pelas configurações atuais da plataforma.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0553 | A-32342065 | Moderada | Tudo | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 de outubro de 2016 |
Vulnerabilidade de elevação de privilégios em Telephony
Uma elevação de vulnerabilidade de privilégio no componente de telefonia pode permitir que um aplicativo malicioso local acesse recursos fora dos níveis de permissão. Esse problema foi classificado como moderado porque pode ser usado para acessar recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0554 | A-33815946 [2] | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no Mediaserver
Uma vulnerabilidade de divulgação de informações no Mediaserver pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0555 | A-33551775 | Moderada | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 12 de dezembro de 2016 |
| CVE-2017-0556 | A-34093952 | Moderada | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 4 de janeiro de 2017 |
| CVE-2017-0557 | A-34093073 | Moderada | Tudo | 6.0, 6.0.1, 7.0, 7.1.1 | 4 de janeiro de 2017 |
| CVE-2017-0558 | A-34056274 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
Vulnerabilidade de divulgação de informações no libskia
Uma vulnerabilidade de divulgação de informações no libskia pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque pode ser usado para acessar dados sem permissão.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0559 | A-33897722 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações na redefinição de fábrica
Uma vulnerabilidade de divulgação de informações no processo de redefinição de fábrica pode permitir que um invasor malicioso local acesse dados do proprietário anterior. Esse problema é classificado como moderado devido à possibilidade de ignorar a proteção do dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2017-0560 | A-30681079 | Moderada | Tudo | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Uso interno do Google |
Nível do patch de segurança de 05/04/2017: detalhes da vulnerabilidade
Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível do patch 2017-04-05. Há uma descrição do problema, um raciocínio sobre a gravidade e uma tabela com as vulnerabilidades e exposições comuns, as referências associadas, a gravidade, os dispositivos Google atualizados, as versões do AOSP atualizadas (quando aplicável) e a data de notificação. Quando disponível, vamos vincular a mudança pública que resolveu o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números após o ID do bug.
Vulnerabilidade de execução remota de código no firmware do Wi-Fi da Broadcom
Uma vulnerabilidade de execução remota de código no firmware do Wi-Fi da Broadcom pode permitir que um invasor remoto execute código arbitrário no contexto do SoC do Wi-Fi. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do SoC do Wi-Fi.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0561 | A-34199105* B-RB#110814 |
Crítico | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de execução de código remoto no driver do mecanismo de criptografia da Qualcomm
Uma vulnerabilidade de execução remota de código no driver do mecanismo de criptografia da Qualcomm pode permitir que um invasor remoto execute código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do kernel.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10230 | A-34389927 QC-CR#1091408 |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 10 de janeiro de 2017 |
Vulnerabilidade de execução remota de código no subsistema de rede do kernel
Uma vulnerabilidade de execução remota de código no subsistema de rede do kernel pode permitir que um invasor remoto execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de execução remota de código no contexto do kernel.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10229 | A-32813456 Kernel upstream |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One e Nexus Player | Uso interno do Google |
Vulnerabilidade de elevação de privilégio no driver de touchscreen MediaTek
Uma vulnerabilidade de elevação de privilégio no driver da tela touch MediaTek pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0562 | A-30202425* M-ALPS02898189 |
Crítico* | Nenhuma** | 16 de julho de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver da tela sensível ao toque do HTC
Uma elevação de vulnerabilidade de privilégio no driver da tela touchscreen do HTC pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0563 | A-32089409* |
Crítico | Nexus 9 | 9 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Elevação de vulnerabilidade de privilégio no subsistema ION do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema ION do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como crítico devido à possibilidade de comprometimento permanente local do dispositivo, que pode exigir a reinstalação do sistema operacional para reparar o dispositivo.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0564 | A-34276203* |
Crítico | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One e Nexus Player | 12 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidades em componentes da Qualcomm
Essas vulnerabilidades afetam componentes da Qualcomm e são descritas em mais detalhes no boletim de segurança da Qualcomm AMSS de outubro de 2016.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10237 | A-31628601** QC-CR#1046751 |
Crítico | Nenhuma** | Qualcomm interno |
| CVE-2016-10238 | A-35358527** QC-CR#1042558 |
Crítico | Nenhuma*** | Qualcomm interno |
| CVE-2016-10239 | A-31624618** QC-CR#1032929 |
Alta | Pixel, Pixel XL | Qualcomm interno |
* A classificação de gravidade dessas vulnerabilidades foi determinada pelo fornecedor.
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
*** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de execução remota de código na v8
Uma vulnerabilidade de execução remota de código na v8 pode permitir que invasores remotos executem código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em sites.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-5129 | A-29178923 | Alta | Nenhuma* | 6.0, 6.0.1, 7.0 | 20 de julho de 2016 |
* Dispositivos Google com suporte no Android 7.0 ou versões mais recentes que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de execução remota de código no Freetype
Uma vulnerabilidade de execução remota de código no Freetype pode permitir que um aplicativo malicioso local carregue uma fonte criada especialmente para causar corrupção de memória em um processo sem privilégios. Esse problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa essa biblioteca.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Versões atualizadas do AOSP | Data de denúncia |
|---|---|---|---|---|---|
| CVE-2016-10244 | A-31470908 | Alta | Nenhuma* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 de setembro de 2016 |
* Dispositivos Google com suporte no Android 7.0 ou versões mais recentes que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação da vulnerabilidade de privilégio no subsistema de som do kernel
Uma elevação de vulnerabilidade de privilégio no subsistema de som do kernel pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-4656 | A-34464977 Kernel upstream |
Alta | Nexus 6, Nexus Player | 26 de junho de 2014 |
Vulnerabilidade de elevação de privilégio no driver de criptografia NIVIDIA
Uma elevação de vulnerabilidade de privilégio no driver de criptografia da NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0339 | A-27930566* N-CVE-2017-0339 |
Alta | Nexus 9 | 29 de março de 2016 |
| CVE-2017-0332 | A-33812508* N-CVE-2017-0332 |
Alta | Nexus 9 | 21 de dezembro de 2016 |
| CVE-2017-0327 | A-33893669* N-CVE-2017-0327 |
Alta | Nexus 9 | 24 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Elevação de vulnerabilidade de privilégio no driver térmico do MediaTek
Uma elevação de vulnerabilidade de privilégio no driver térmico da MediaTek pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0565 | A-28175904* M-ALPS02696516 |
Alta | Nenhuma** | 11 de abril de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver da câmera MediaTek
Uma elevação de vulnerabilidade de privilégio no driver da câmera do MediaTek pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0566 | A-28470975* M-ALPS02696367 |
Alta | Nenhuma** | 29 de abril de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0567 | A-32125310* B-RB#112575 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 12 de outubro de 2016 |
| CVE-2017-0568 | A-34197514* B-RB#112600 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 de janeiro de 2017 |
| CVE-2017-0569 | A-34198729* B-RB#110666 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 de janeiro de 2017 |
| CVE-2017-0570 | A-34199963* B-RB#110688 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 de janeiro de 2017 |
| CVE-2017-0571 | A-34203305* B-RB#111541 |
Alta | Nexus 6, Nexus 6P, Pixel C, Nexus Player | 9 de janeiro de 2017 |
| CVE-2017-0572 | A-34198931* B-RB#112597 |
Alta | Nenhuma** | 9 de janeiro de 2017 |
| CVE-2017-0573 | A-34469904* B-RB#91539 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 18 de janeiro de 2017 |
| CVE-2017-0574 | A-34624457* B-RB#113189 |
Alta | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 22 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0575 | A-32658595* QC-CR#1103099 |
Alta | Nexus 5X, Pixel, Pixel XL | 3 de novembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Elevação de vulnerabilidade de privilégio no driver HID I2C da NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver HID I2C da NVIDIA pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0325 | A-33040280* N-CVE-2017-0325 |
Alta | Nexus 9, Pixel C | 20 de novembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de elevação de privilégio no driver de áudio da Qualcomm
Uma vulnerabilidade de elevação de privilégio no driver de áudio da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0454 | A-33353700 QC-CR#1104067 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver do mecanismo de criptografia da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver do mecanismo de criptografia da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0576 | A-33544431 QC-CR#1103089 |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 9 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de tela touchscreen do HTC
Uma elevação de vulnerabilidade de privilégio no driver da tela touchscreen do HTC pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0577 | A-33842951* |
Alta | Nenhuma** | 21 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver de som do DTS
Uma elevação de vulnerabilidade de privilégio no driver de som DTS pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0578 | A-33964406* |
Alta | Nenhuma** | 28 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no driver do codec de som Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver do codec de som da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10231 | A-33966912 QC-CR#1096799 |
Alta | Pixel, Pixel XL | 29 de dezembro de 2016 |
Vulnerabilidade de elevação de privilégio no driver de vídeo da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de vídeo da Qualcomm pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0579 | A-34125463* QC-CR#1115406 |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5 de janeiro de 2017 |
| CVE-2016-10232 | A-34386696 QC-CR#1024872 [2] |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 10 de janeiro de 2017 |
| CVE-2016-10233 | A-34389926 QC-CR#897452 |
Alta | Nenhuma** | 10 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no driver do processador de inicialização e gerenciamento de energia da NVIDIA
Uma elevação de vulnerabilidade de privilégio no driver do processador de inicialização e gerenciamento de energia da NVIDIA pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do processador de inicialização e gerenciamento de energia. Esse problema é classificado como Alto porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0329 | A-34115304* N-CVE-2017-0329 |
Alta | Pixel C | 5 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de elevação de privilégio no driver de tela touchscreen Synaptics
Uma elevação de vulnerabilidade de privilégio no driver da tela touchscreen Synaptics pode permitir que um aplicativo malicioso local execute códigos arbitrários no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0580 | A-34325986* |
Alta | Nenhuma** | 16 de janeiro de 2017 |
| CVE-2017-0581 | A-34614485* |
Alta | Nenhuma** | 22 de janeiro de 2017 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Elevação de vulnerabilidade de privilégio no driver Qualcomm Seemp
Uma elevação de vulnerabilidade de privilégio no driver Qualcomm Seemp pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0462 | A-33353601 QC-CR#1102288 |
Alta | Pixel, Pixel XL | Uso interno do Google |
Elevação da vulnerabilidade de privilégio no driver do Qualcomm Kyro L2
Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Kyro L2 pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-6423 | A-32831370 QC-CR#1103158 |
Alta | Pixel, Pixel XL | Uso interno do Google |
Vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel
Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como Alto porque primeiro exige comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-9922 | A-32761463 Kernel upstream |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 24 de outubro de 2014 |
Vulnerabilidade de divulgação de informações no subsistema de memória do kernel
Uma vulnerabilidade de divulgação de informações no subsistema de memória do kernel pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-0206 | A-34465735 Kernel upstream |
Alta | Nexus 6, Nexus Player | 6 de maio de 2014 |
Vulnerabilidade de divulgação de informações no subsistema de rede do kernel
Uma vulnerabilidade de divulgação de informações no subsistema de rede do kernel pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-3145 | A-34469585 Kernel upstream [2] |
Alta | Nexus 6, Nexus Player | 9 de maio de 2014 |
Vulnerabilidade de divulgação de informações no Qualcomm TrustZone
Uma vulnerabilidade de divulgação de informações no Qualcomm TrustZone pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5349 | A-29083830 QC-CR#1021945 [2] [3] [4] |
Alta | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 1º de junho de 2016 |
Vulnerabilidade de divulgação de informações no driver IPA da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver IPA da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema foi classificado como Alto porque pode ser usado para acessar dados sensíveis sem a permissão explícita do usuário.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10234 | A-34390017 QC-CR#1069060 [2] |
Alta | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 10 de janeiro de 2017 |
Vulnerabilidade de negação de serviço no subsistema de rede do kernel
Uma vulnerabilidade de negação de serviço no subsistema de rede do kernel pode permitir que um invasor remoto use um pacote de rede especialmente criado para causar uma trava ou reinicialização do dispositivo. Esse problema é classificado como alto devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-2706 | A-34160553 Kernel upstream |
Alta | Nexus Player | 1º de abril de 2014 |
Vulnerabilidade de negação de serviço no driver do Wi-Fi da Qualcomm
Uma vulnerabilidade de negação de serviço no driver de Wi-Fi da Qualcomm pode permitir que um invasor próximo cause uma negação de serviço no subsistema de Wi-Fi. Esse problema é classificado como alto devido à possibilidade de negação de serviço remota.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10235 | A-34390620 QC-CR#1046409 |
Alta | Nenhuma** | 10 de janeiro de 2017 |
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel
Uma elevação de vulnerabilidade de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo malicioso local execute um código arbitrário fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e é mitigado pelas configurações atuais da plataforma.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-7097 | A-32458736 Kernel upstream |
Moderada | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player | 28 de agosto de 2016 |
Vulnerabilidade de elevação de privilégio no driver de Wi-Fi da Qualcomm
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e detalhes específicos de vulnerabilidade que limitam o impacto do problema.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-6424 | A-32086742 QC-CR#1102648 |
Moderada | Nexus 5X, Pixel, Pixel XL, Android One | 9 de outubro de 2016 |
Elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom
Uma elevação de vulnerabilidade de privilégio no driver de Wi-Fi da Broadcom pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do kernel. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e é mitigado pelas configurações atuais da plataforma.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-8465 | A-32474971* B-RB#106053 |
Moderada | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de elevação de privilégio no comando fastboot do OEM do HTC
Uma elevação de vulnerabilidade de privilégio no comando de inicialização rápida OEM do HTC pode permitir que um aplicativo malicioso local execute um código arbitrário no contexto do hub de sensores. Esse problema é classificado como moderado porque primeiro exige a exploração de vulnerabilidades separadas.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0582 | A-33178836* |
Moderada | Nexus 9 | 28 de novembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de elevação de privilégio no driver de acesso do CP da Qualcomm.
Uma elevação de vulnerabilidade de privilégio no driver de acesso CP da Qualcomm pode permitir que um aplicativo local malicioso execute códigos arbitrários no contexto do kernel. Esse problema é classificado como moderado porque primeiro exige comprometer um processo privilegiado e detalhes específicos de vulnerabilidade que limitam o impacto do problema.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0583 | A-32068683 QC-CR#1103788 |
Moderada | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | Uso interno do Google |
Vulnerabilidade de divulgação de informações no driver de mídia do kernel
Uma vulnerabilidade de divulgação de informações no driver de mídia do kernel pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-1739 | A-34460642 Kernel upstream |
Moderada | Nexus 6, Nexus 9, Nexus Player | 15 de junho de 2014 |
Vulnerabilidade de divulgação de informações no driver de Wi-Fi da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de Wi-Fi da Qualcomm pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0584 | A-32074353* QC-CR#1104731 |
Moderada | Nexus 5X, Pixel, Pixel XL | 9 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver de Wi-Fi da Broadcom
Uma vulnerabilidade de divulgação de informações no driver de Wi-Fi da Broadcom pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0585 | A-32475556* B-RB#112953 |
Moderada | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 de outubro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
Vulnerabilidade de divulgação de informações no driver Qualcomm Avtimer
Uma vulnerabilidade de divulgação de informações no driver Qualcomm Avtimer pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-5346 | A-32551280 QC-CR#1097878 |
Moderada | Pixel, Pixel XL | 29 de outubro de 2016 |
Vulnerabilidade de divulgação de informações no driver de vídeo da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de vídeo da Qualcomm poderia permitir que um aplicativo malicioso local acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-6425 | A-32577085 QC-CR#1103689 |
Moderada | Pixel, Pixel XL | 29 de outubro de 2016 |
Vulnerabilidade de divulgação de informações no driver USB da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver USB da Qualcomm pode permitir que um aplicativo local malicioso acesse dados fora dos níveis de permissão. Esse problema é classificado como moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2016-10236 | A-33280689 QC-CR#1102418 |
Moderada | Pixel, Pixel XL | Nov 30, 2016 |
Vulnerabilidade de divulgação de informações no driver de som da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver de som da Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0586 | A-33649808 QC-CR#1097569 |
Moderada | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 13 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no driver SPMI da Qualcomm
Uma vulnerabilidade de divulgação de informações no driver SPMI da Qualcomm poderia permitir que um aplicativo local malicioso acessasse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-6426 | A-33644474 QC-CR#1106842 |
Moderada | Pixel, Pixel XL | 14 de dezembro de 2016 |
Vulnerabilidade de divulgação de informações no driver de criptografia da NVIDIA
Uma vulnerabilidade de divulgação de informações no driver de criptografia da NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora dos níveis de permissão. Esse problema é considerado moderado porque primeiro ele precisa comprometer um processo privilegiado.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2017-0328 | A-33898322* N-CVE-2017-0328 |
Moderada | Nenhuma** | 24 de dezembro de 2016 |
| CVE-2017-0330 | A-33899858* N-CVE-2017-0330 |
Moderada | Nenhuma** | 24 de dezembro de 2016 |
* O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Vulnerabilidades em componentes da Qualcomm
Essas vulnerabilidades que afetam os componentes da Qualcomm foram lançadas como parte dos boletins de segurança da Qualcomm AMSS entre 2014 e 2016. Elas estão incluídas neste boletim de segurança do Android para associar as correções a um nível do patch de segurança do Android.
| CVE | Referências | Gravidade | Dispositivos Google atualizados | Data de denúncia |
|---|---|---|---|---|
| CVE-2014-9931 | A-35445101** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2014-9932 | A-35434683** | Crítico | Pixel, Pixel XL | Qualcomm interno |
| CVE-2014-9933 | A-35442512** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2014-9934 | A-35439275** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2014-9935 | A-35444951** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2014-9936 | A-35442420** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2014-9937 | A-35445102** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-8995 | A-35445002** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-8996 | A-35444658** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-8997 | A-35432947** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-8998 | A-35441175** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-8999 | A-35445401** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-9000 | A-35441076** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-9001 | A-35445400** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-9002 | A-35442421** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2015-9003 | A-35440626** | Crítico | Nenhuma** | Qualcomm interno |
| CVE-2016-10242 | A-35434643** | Crítico | Nenhuma** | Qualcomm interno |
* A classificação de gravidade dessas vulnerabilidades foi determinada pelo fornecedor.
** O patch para esse problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site do Google Developers.
*** Dispositivos Google com suporte no Android 7.0 ou mais recente que instalaram todas as atualizações disponíveis não são afetados por essa vulnerabilidade.
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, leia as instruções na programação de atualizações do Pixel e do Nexus.
- Os níveis de patch de segurança de 2017-04-01 ou mais recentes resolvem todos os problemas associados ao nível de patch de segurança 2017-04-01.
- Os níveis de patch de segurança de 2017-04-05 ou mais recentes resolvem todos os problemas associados ao nível de patch de segurança 2017-04-05 e a todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como:
- [ro.build.version.security_patch]:[2017-04-01]
- [ro.build.version.security_patch]:[2017-04-05]
2. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros do Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android com mais rapidez. Recomendamos que os parceiros do Android corrijam todos os problemas deste boletim e usem o nível mais recente do patch de segurança.
- Os dispositivos que usam o nível do patch de segurança de 1º de abril de 2017 precisam incluir todos os problemas associados a esse nível, além de correções para todos os problemas informados em boletins de segurança anteriores.
- Os dispositivos que usam o nível do patch de segurança de 5 de abril de 2017 ou mais recente precisam incluir todos os patches aplicáveis nestes e nos boletins de segurança anteriores.
Recomendamos que os parceiros agrupem as correções de todos os problemas que estão resolvendo em uma única atualização.
3. Como determinar quais dispositivos do Google são afetados por cada problema?
Nas seções de detalhes da vulnerabilidade de segurança 2017-04-01 e 2017-04-05, cada tabela tem uma coluna Dispositivos Google atualizados que abrange o intervalo de dispositivos Google afetados atualizados para cada problema. Essa coluna tem algumas opções:
- Todos os dispositivos Google: se um problema afetar todos os dispositivos e os dispositivos Pixel, a tabela vai mostrar "Todos" na coluna Dispositivos Google atualizados. "All" encapsula os seguintes dispositivos compatíveis: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel e Pixel XL.
- Alguns dispositivos Google: se um problema não afetar todos os dispositivos Google, os dispositivos afetados serão listados na coluna Dispositivos Google atualizados.
- Nenhum dispositivo Google: se nenhum dispositivo Google com o Android 7.0 for afetado pelo problema, a tabela vai mostrar "Nenhum" na coluna Dispositivos Google atualizados.
4. Para que as entradas na coluna de referências são mapeadas?
As entradas na coluna References da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence. Esses prefixos são mapeados da seguinte maneira:
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| QC- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência da NVIDIA |
| B- | Número de referência da Broadcom |
Revisões
- 3 de abril de 2017: boletim publicado.
- 5 de abril de 2017: o boletim foi revisado para incluir links do AOSP.
- 21 de abril de 2017: a atribuição para CVE-2016-10231 e CVE-2017-0586 foi corrigida.
- 27 de abril de 2017: a CVE-2017-0540 foi removida do boletim.
- 17 de agosto de 2017: o boletim foi revisado para atualizar os números de referência.