Veröffentlicht am 03.04.2017 | Aktualisiert am 17. August 2017
Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Google-Geräte-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Sicherheits-Patch-Level vom 5. April 2017 oder später adressieren all diese Probleme. Lesen Sie den Aktualisierungszeitplan für Pixel und Nexus , um zu erfahren, wie Sie den Sicherheitspatch-Level eines Geräts überprüfen können.
Die Partner wurden am 6. März 2017 oder früher über die im Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme wurden im Android Open Source Project (AOSP)-Repository veröffentlicht und von diesem Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.
Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzung für Android- und Google-Dienste .
Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Ankündigungen
- Dieses Bulletin enthält zwei Sicherheits-Patch-Level-Strings, um Android-Partnern die Flexibilität zu geben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
- 2017-04-01 : Partielle Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-04-01 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
- 05.04.2017 : Vollständiger Sicherheits-Patch-Level-String. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-04-01 und 2017-04-05 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben wurden.
- Unterstützte Google-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 5. April 2017.
Minderungen für Android- und Google-Dienste
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.
- Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
- Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Aravind Machiry (donfos) vom Shellphish Grill Team: CVE-2016-5349
- Daxing Guo ( @freener0 ) von Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
- Derrek ( @derrekr6 ) und Scott Bauer: CVE-2017-0576
- Gal Beniamini von Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
- Gengjia Chen ( @chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
- Guang Gong (龚广) ( @oldfresher ) von Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
- Hao Chen und Guang Gong vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017 -0567
- Ian Foster ( @lanrat ): CVE-2017-0554
- Jack Tang von Trend Micro Inc.: CVE-2017-0579
- Jianjun Dai ( @Jioun_dai ) von Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
- Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
- Lubo Zhang ( zlbzlb815@163.com ) vom C0RE Team und Yonggang Guo ( @guoygang ) vom IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
- Mark Salyzyn von Google: CVE-2017-0558
- Mike Andereson ( @manderbot ) und Nathan Crandall ( @natecray ) vom Produktsicherheitsteam von Tesla: CVE-2017-0327, CVE-2017-0328
- Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang Lied von Alibaba Mobile Security Group: CVE-2017-0565
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) und Lenx Wei (韦韬) von Baidu X-Lab (百度安全实验室): CVE-2016-10236
- Qidan He (何淇丹 - @flanker_hqd ) von KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
- Roee Hay ( @roeehay ) von Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
- Scott Bauer ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
- Seven Shen ( @lingtongshen ) vom TrendMicro Mobile Threat Research Team: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
- Tim Becker: CVE-2017-0546
- Uma Sankar Pradhan ( @umasankar_iitd ): CVE-2017-0560
- VEO ( @VYSEa ) des Mobile Threat Response Teams , Trend Micro : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
- Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2017-0549
- Wenlin Yang ( @wenlin_yang ), Guang Gong ( @oldfresher ) und Hao Chen vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
- Zinuo Han vom Chengdu Security Response Center von Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
- Zubin Mithra von Google: CVE-2017-0462
Sicherheits-Patch-Level vom 1.4.2017 – Details zur Schwachstelle
In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für das Patch-Level 2017-04-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit CVE, zugehörigen Referenzen, Schweregrad, aktualisierte Google-Geräte, aktualisierte AOSP-Versionen (falls zutreffend) und gemeldetes Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in Mediaserver
Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0538 | A-33641588 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 13. Dezember 2016 |
| CVE-2017-0539 | A-33864300 | Kritisch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23. Dezember 2016 |
| CVE-2017-0541 | A-34031018 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 1. Januar 2017 |
| CVE-2017-0542 | A-33934721 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
| CVE-2017-0543 | A-34097866 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
Elevation of Privilege-Schwachstelle in CameraBase
Eine Schwachstelle bezüglich Rechteerweiterungen in CameraBase könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code auszuführen. Dieses Problem wird als hoch eingestuft, da es sich um eine lokale Ausführung willkürlichen Codes in einem privilegierten Prozess handelt.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0544 | A-31992879 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6. Oktober 2016 |
Elevation-of-Privilege-Schwachstelle in Audioserver
Eine Elevation-of-Privilege-Schwachstelle in Audioserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0545 | A-32591350 | Hoch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 31. Oktober 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in SurfaceFlinger
Eine Elevation-of-Privilege-Schwachstelle in SurfaceFlinger könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0546 | A-32628763 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2. November 2016 |
Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es sich um eine allgemeine Umgehung für Betriebssystemschutzmaßnahmen handelt, die Anwendungsdaten von anderen Anwendungen isolieren.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0547 | A-33861560 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 22. Dezember 2016 |
Denial-of-Service-Schwachstelle in libskia
Eine Remote-Denial-of-Service-Schwachstelle in libskia könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als hoher Schweregrad eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0548 | A-33251605 | Hoch | Alle | 7.0, 7.1.1 | 29. November 2016 |
Denial-of-Service-Schwachstelle in Mediaserver
Eine Remote-Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als hoher Schweregrad eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0549 | A-33818508 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 20. Dezember 2016 |
| CVE-2017-0550 | A-33933140 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
| CVE-2017-0551 | A-34097231 [ 2 ] | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
| CVE-2017-0552 | A-34097915 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
Sicherheitslücke bezüglich Erhöhung von Berechtigungen in libnl
Eine Elevation-of-Privilege-Schwachstelle in libnl könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Wi-Fi-Dienstes auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und durch aktuelle Plattformkonfigurationen gemildert wird.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0553 | A-32342065 | Mäßig | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21. Oktober 2016 |
Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Telefonie
Eine Schwachstelle bezüglich Rechteerweiterungen in der Telefonie-Komponente könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Funktionen außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es verwendet werden könnte, um Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0554 | A-33815946 [ 2 ] | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20. Dezember 2016 |
Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver
Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0555 | A-33551775 | Mäßig | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 12. Dezember 2016 |
| CVE-2017-0556 | A-34093952 | Mäßig | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 4. Januar 2017 |
| CVE-2017-0557 | A-34093073 | Mäßig | Alle | 6.0, 6.0.1, 7.0, 7.1.1 | 4. Januar 2017 |
| CVE-2017-0558 | A-34056274 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
Schwachstelle bezüglich Offenlegung von Informationen in libskia
Eine Schwachstelle zur Offenlegung von Informationen in libskia könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0559 | A-33897722 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25. Dezember 2016 |
Schwachstelle bezüglich der Offenlegung von Informationen beim Zurücksetzen auf die Werkseinstellungen
Eine Schwachstelle zur Offenlegung von Informationen im Factory-Reset-Prozess könnte es einem lokalen böswilligen Angreifer ermöglichen, auf Daten des Vorbesitzers zuzugreifen. Dieses Problem wird aufgrund der Möglichkeit, den Geräteschutz zu umgehen, als mittel eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0560 | A-30681079 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google-intern |
Sicherheits-Patch-Level vom 05.04.2017 – Details zur Schwachstelle
In den folgenden Abschnitten stellen wir Details für alle Sicherheitsschwachstellen bereit, die für die Patchebene vom 05.04.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.
Schwachstelle bezüglich Remotecodeausführung in Broadcom Wi-Fi-Firmware
Eine Sicherheitsanfälligkeit bezüglich Remote-Code-Ausführung in der Wi-Fi-Firmware von Broadcom könnte es einem entfernten Angreifer ermöglichen, beliebigen Code im Kontext des Wi-Fi-SoC auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remote-Code-Ausführung im Kontext des Wi-Fi-SoC als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0561 | A-34199105* B-RB#110814 | Kritisch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Remotecodeausführung im Qualcomm-Krypto-Engine-Treiber
Eine Sicherheitsanfälligkeit bezüglich Remote-Code-Ausführung im Qualcomm-Krypto-Engine-Treiber könnte es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Kernels als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10230 | A-34389927 QC-CR#1091408 | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 10. Januar 2017 |
Schwachstelle bezüglich Remote-Codeausführung im Kernel-Netzwerk-Subsystem
Eine Schwachstelle bezüglich Remote-Codeausführung im Kernel-Netzwerk-Subsystem könnte es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Kernels als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10229 | A-32813456 Upstream-Kernel | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | Google-intern |
Elevation of Privilege-Schwachstelle im MediaTek-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Touchscreen-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0562 | A-30202425* M-ALPS02898189 | Kritisch* | Keiner** | 16. Juli 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im HTC-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im HTC-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0563 | A-32089409* | Kritisch | Verbindung 9 | 9. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstelle bezüglich Rechteerhöhung im Kernel-ION-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-ION-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0564 | A-34276203* | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 12. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Schwachstellen in Qualcomm-Komponenten
Diese Schwachstellen betreffen Qualcomm-Komponenten und werden im Qualcomm AMSS-Sicherheitsbulletin vom Oktober 2016 ausführlicher beschrieben.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10237 | A-31628601** QC-CR#1046751 | Kritisch | Keiner** | Qualcomm-intern |
| CVE-2016-10238 | A-35358527** QC-CR#1042558 | Kritisch | Keiner*** | Qualcomm-intern |
| CVE-2016-10239 | A-31624618** QC-CR#1032929 | Hoch | Pixel, Pixel XL | Qualcomm-intern |
* Die Bewertung des Schweregrads für diese Schwachstellen wurde vom Anbieter festgelegt.
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
*** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Remote-Codeausführung in v8
Eine Schwachstelle bezüglich Remote-Codeausführung in v8 könnte es Angreifern ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung auf Websites als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-5129 | A-29178923 | Hoch | Keiner* | 6.0, 6.0.1, 7.0 | 20. Juli 2016 |
* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Remotecodeausführung in Freetype
Eine Schwachstelle bezüglich Remotecodeausführung in Freetype könnte es einer lokalen bösartigen Anwendung ermöglichen, eine speziell gestaltete Schriftart zu laden, um in einem nicht privilegierten Prozess eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einer Anwendung, die diese Bibliothek verwendet, als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-10244 | A-31470908 | Hoch | Keiner* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13. September 2016 |
* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Rechteerhöhung im Kernel-Sound-Subsystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Sound-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-4656 | A-34464977 Upstream-Kernel | Hoch | Nexus 6, Nexus-Player | 26. Juni 2014 |
Elevation of Privilege-Schwachstelle im NVIDIA-Kryptotreiber
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kryptotreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0339 | A-27930566* N-CVE-2017-0339 | Hoch | Verbindung 9 | 29. März 2016 |
| CVE-2017-0332 | A-33812508* N-CVE-2017-0332 | Hoch | Verbindung 9 | 21. Dezember 2016 |
| CVE-2017-0327 | A-33893669* N-CVE-2017-0327 | Hoch | Verbindung 9 | 24. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im MediaTek Thermal-Treiber
Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Thermaltreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0565 | A-28175904* M-ALPS02696516 | Hoch | Keiner** | 11. April 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im MediaTek-Kameratreiber
Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0566 | A-28470975* M-ALPS02696367 | Hoch | Keiner** | 29. April 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0567 | A-32125310* B-RB#112575 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 12. Oktober 2016 |
| CVE-2017-0568 | A-34197514* B-RB#112600 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9. Januar 2017 |
| CVE-2017-0569 | A-34198729* B-RB#110666 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9. Januar 2017 |
| CVE-2017-0570 | A-34199963* B-RB#110688 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9. Januar 2017 |
| CVE-2017-0571 | A-34203305* B-RB#111541 | Hoch | Nexus 6, Nexus 6P, Pixel C, Nexus Player | 9. Januar 2017 |
| CVE-2017-0572 | A-34198931* B-RB#112597 | Hoch | Keiner** | 9. Januar 2017 |
| CVE-2017-0573 | A-34469904* B-RB#91539 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 18. Januar 2017 |
| CVE-2017-0574 | A-34624457* B-RB#113189 | Hoch | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 22. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0575 | A-32658595* QC-CR#1103099 | Hoch | Nexus 5X, Pixel, Pixel XL | 3. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im NVIDIA I2C HID-Treiber
Eine Elevation-of-Privilege-Schwachstelle im NVIDIA I2C HID-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0325 | A-33040280* N-CVE-2017-0325 | Hoch | Nexus 9, Pixel C | 20. November 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Qualcomm-Audiotreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Audiotreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0454 | A-33353700 QC-CR#1104067 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5. Dezember 2016 |
Elevation of Privilege-Schwachstelle im Qualcomm-Krypto-Engine-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Krypto-Engine-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0576 | A-33544431 QC-CR#1103089 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 9. Dezember 2016 |
Elevation of Privilege-Schwachstelle im HTC-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im HTC-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0577 | A-33842951* | Hoch | Keiner** | 21. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Erhöhung von Berechtigungen im DTS-Soundtreiber
Eine Elevation-of-Privilege-Schwachstelle im DTS-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0578 | A-33964406* | Hoch | Keiner** | 28. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im Qualcomm Sound-Codec-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Sound-Codec-Treiber von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10231 | A-33966912 QC-CR#1096799 | Hoch | Pixel, Pixel XL | 29. Dezember 2016 |
Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0579 | A-34125463* QC-CR#1115406 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 5. Januar 2017 |
| CVE-2016-10232 | A-34386696 QC-CR#1024872 [2] | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 10. Januar 2017 |
| CVE-2016-10233 | A-34389926 QC-CR#897452 | Hoch | Keiner** | 10. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation-of-Privilege-Schwachstelle im NVIDIA Boot- und Power-Management-Prozessortreiber
Eine Schwachstelle bezüglich Rechteerweiterungen im NVIDIA Boot- und Power-Management-Prozessortreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Boot- und Power-Management-Prozessors auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0329 | A-34115304* N-CVE-2017-0329 | Hoch | Pixel C | 5. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Synaptics Touchscreen-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0580 | A-34325986* | Hoch | Keiner** | 16. Januar 2017 |
| CVE-2017-0581 | A-34614485* | Hoch | Keiner** | 22. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Elevation of Privilege-Schwachstelle im Qualcomm Seemp-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Seemp-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0462 | A-33353601 QC-CR#1102288 | Hoch | Pixel, Pixel XL | Google-intern |
Elevation of Privilege-Schwachstelle im Qualcomm Kyro L2-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Kyro L2-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-6423 | A-32831370 QC-CR#1103158 | Hoch | Pixel, Pixel XL | Google-intern |
Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem
Eine Elevation-of-Privilege-Schwachstelle im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9922 | A-32761463 Upstream-Kernel | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 24. Oktober 2014 |
Schwachstelle bezüglich der Offenlegung von Informationen im Kernel-Speichersubsystem
Eine Schwachstelle zur Offenlegung von Informationen im Kernel-Speichersubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-0206 | A-34465735 Upstream-Kernel | Hoch | Nexus 6, Nexus-Player | 6. Mai 2014 |
Schwachstelle bezüglich Offenlegung von Informationen im Subsystem des Kernel-Netzwerks
Eine Schwachstelle zur Offenlegung von Informationen im Kernel-Netzwerksubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-3145 | A-34469585 Upstream-Kernel [2] | Hoch | Nexus 6, Nexus-Player | 9. Mai 2014 |
Schwachstelle bei der Offenlegung von Informationen in der Qualcomm TrustZone
Eine Schwachstelle zur Offenlegung von Informationen in der Qualcomm TrustZone könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5349 | A-29083830 QC-CR#1021945 [2] [3] [4] | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 1. Juni 2016 |
Schwachstelle bei der Offenlegung von Informationen im Qualcomm IPA-Treiber
Eine Schwachstelle zur Offenlegung von Informationen im Qualcomm IPA-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10234 | A-34390017 QC-CR#1069060 [2] | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 10. Januar 2017 |
Denial-of-Service-Schwachstelle im Kernel-Netzwerk-Subsystem
Eine Denial-of-Service-Schwachstelle im Kernel-Netzwerksubsystem könnte es einem entfernten Angreifer ermöglichen, ein speziell gestaltetes Netzwerkpaket zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-2706 | A-34160553 Upstream-Kernel | Hoch | Nexus-Player | 1. April 2014 |
Denial-of-Service-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Denial-of-Service-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einem nahen Angreifer ermöglichen, einen Denial-of-Service im Wi-Fi-Subsystem zu verursachen. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10235 | A-34390620 QC-CR#1046409 | Hoch | Keiner** | 10. Januar 2017 |
** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.
Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem
Eine Schwachstelle bezüglich Rechteerweiterungen im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code außerhalb ihrer Berechtigungsstufen auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und durch aktuelle Plattformkonfigurationen gemildert wird.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-7097 | A-32458736 Upstream-Kernel | Mäßig | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player | 28. August 2016 |
Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als mäßig eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert, und aufgrund von anfälligkeitsspezifischen Details, die die Auswirkungen des Problems begrenzen.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-6424 | A-32086742 QC-CR#1102648 | Mäßig | Nexus 5X, Pixel, Pixel XL, Android One | 9. Oktober 2016 |
Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber
Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und durch aktuelle Plattformkonfigurationen gemildert wird.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-8465 | A-32474971* B-RB#106053 | Mäßig | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27. Oktober 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of Privilege-Schwachstelle im HTC OEM-Fastboot-Befehl
An elevation of privilege vulnerability in the HTC OEM fastboot command could enable a local malicious application to execute arbitrary code within the context of the sensor hub. This issue is rated as Moderate because it first requires exploitation of separate vulnerabilities.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0582 | A-33178836* | Mäßig | Nexus 9 | Nov 28, 2016 |
* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Elevation of privilege vulnerability in Qualcomm CP access driver
An elevation of privilege vulnerability in the Qualcomm CP access driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and because of vulnerability specific details which limit the impact of the issue.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0583 | A-32068683 QC-CR#1103788 | Mäßig | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | Google internal |
Information disclosure vulnerability in kernel media driver
An information disclosure vulnerability in the kernel media driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-1739 | A-34460642 Upstream-Kernel | Mäßig | Nexus 6, Nexus 9, Nexus Player | Jun 15, 2014 |
Information disclosure vulnerability in Qualcomm Wi-Fi driver
An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0584 | A-32074353* QC-CR#1104731 | Mäßig | Nexus 5X, Pixel, Pixel XL | Oct 9, 2016 |
* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Information disclosure vulnerability in Broadcom Wi-Fi driver
An information disclosure vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0585 | A-32475556* B-RB#112953 | Mäßig | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Oct 27, 2016 |
* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Information disclosure vulnerability in Qualcomm Avtimer driver
An information disclosure vulnerability in the Qualcomm Avtimer driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5346 | A-32551280 QC-CR#1097878 | Mäßig | Pixel, Pixel XL | Oct 29, 2016 |
Information disclosure vulnerability in Qualcomm video driver
An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-6425 | A-32577085 QC-CR#1103689 | Mäßig | Pixel, Pixel XL | Oct 29, 2016 |
Information disclosure vulnerability in Qualcomm USB driver
An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10236 | A-33280689 QC-CR#1102418 | Mäßig | Pixel, Pixel XL | Nov 30, 2016 |
Information disclosure vulnerability in Qualcomm sound driver
An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0586 | A-33649808 QC-CR#1097569 | Mäßig | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | Dec 13, 2016 |
Information disclosure vulnerability in Qualcomm SPMI driver
An information disclosure vulnerability in the Qualcomm SPMI driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-6426 | A-33644474 QC-CR#1106842 | Mäßig | Pixel, Pixel XL | Dec 14, 2016 |
Information disclosure vulnerability in NVIDIA crypto driver
An information disclosure vulnerability in the NVIDIA crypto driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0328 | A-33898322* N-CVE-2017-0328 | Mäßig | None** | Dec 24, 2016 |
| CVE-2017-0330 | A-33899858* N-CVE-2017-0330 | Mäßig | None** | Dec 24, 2016 |
* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Vulnerabilities in Qualcomm components
These vulnerabilities affecting Qualcomm components were released as part of Qualcomm AMSS security bulletins between 2014–2016. They are included in this Android security bulletin to associate their fixes with an Android security patch level.
| CVE | Verweise | Schwere | Updated Google devices | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9931 | A-35445101** | Kritisch | None** | Qualcomm internal |
| CVE-2014-9932 | A-35434683** | Kritisch | Pixel, Pixel XL | Qualcomm internal |
| CVE-2014-9933 | A-35442512** | Kritisch | None** | Qualcomm internal |
| CVE-2014-9934 | A-35439275** | Kritisch | None** | Qualcomm internal |
| CVE-2014-9935 | A-35444951** | Kritisch | None** | Qualcomm internal |
| CVE-2014-9936 | A-35442420** | Kritisch | None** | Qualcomm internal |
| CVE-2014-9937 | A-35445102** | Kritisch | None** | Qualcomm internal |
| CVE-2015-8995 | A-35445002** | Kritisch | None** | Qualcomm internal |
| CVE-2015-8996 | A-35444658** | Kritisch | None** | Qualcomm internal |
| CVE-2015-8997 | A-35432947** | Kritisch | None** | Qualcomm internal |
| CVE-2015-8998 | A-35441175** | Kritisch | None** | Qualcomm internal |
| CVE-2015-8999 | A-35445401** | Kritisch | None** | Qualcomm internal |
| CVE-2015-9000 | A-35441076** | Kritisch | None** | Qualcomm internal |
| CVE-2015-9001 | A-35445400** | Kritisch | None** | Qualcomm internal |
| CVE-2015-9002 | A-35442421** | Kritisch | None** | Qualcomm internal |
| CVE-2015-9003 | A-35440626** | Kritisch | None** | Qualcomm internal |
| CVE-2016-10242 | A-35434643** | Kritisch | None** | Qualcomm internal |
* The severity rating for these vulnerabilities was determined by the vendor.
** The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
*** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Häufige Fragen und Antworten
In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Um zu erfahren, wie Sie den Sicherheits-Patch-Level eines Geräts überprüfen, lesen Sie die Anweisungen im Aktualisierungszeitplan für Pixel und Nexus .
- Security patch levels of 2017-04-01 or later address all issues associated with the 2017-04-01 security patch level.
- Security patch levels of 2017-04-05 or later address all issues associated with the 2017-04-05 security patch level and all previous patch levels.
Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen:
- [ro.build.version.security_patch]:[2017-04-01]
- [ro.build.version.security_patch]:[2017-04-05]
2. Warum enthält dieses Bulletin zwei Sicherheits-Patch-Stufen?
Dieses Bulletin enthält zwei Sicherheits-Patch-Stufen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Android-Partner werden ermutigt, alle Probleme in diesem Bulletin zu beheben und das neueste Sicherheitspatch-Level zu verwenden.
- Devices that use the April 01, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of April 05, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
Partner werden ermutigt, die Korrekturen für alle Probleme, die sie beheben, in einem einzigen Update zu bündeln.
3. How do I determine which Google devices are affected by each issue?
In the 2017-04-01 and 2017-04-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
Einträge in der Spalte „ Referenzen “ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. These prefixes map as follows:
| Präfix | Bezug |
|---|---|
| EIN- | Android-Fehler-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
Revisionen
- April 03, 2017: Bulletin published.
- April 05, 2017: Bulletin revised to include AOSP links.
- April 21, 2017: Attribution for CVE-2016-10231 and CVE-2017-0586 corrected.
- April 27, 2017: CVE-2017-0540 removed from bulletin.
- August 17, 2017: Bulletin revised to update reference numbers.