Android-Sicherheitsbulletin – April 2017

Veröffentlicht am 03.04.2017 | Aktualisiert am 17. August 2017

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Neben dem Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Google-Geräte-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Sicherheits-Patch-Level vom 5. April 2017 oder später adressieren all diese Probleme. Lesen Sie den Aktualisierungszeitplan für Pixel und Nexus , um zu erfahren, wie Sie den Sicherheitspatch-Level eines Geräts überprüfen können.

Die Partner wurden am 6. März 2017 oder früher über die im Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme wurden im Android Open Source Project (AOSP)-Repository veröffentlicht und von diesem Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die die Remotecodeausführung auf einem betroffenen Gerät durch mehrere Methoden wie E-Mail, Webbrowsing und MMS bei der Verarbeitung von Mediendateien ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstmitigationen werden zu Entwicklungszwecken deaktiviert oder erfolgreich umgangen.

Wir haben keine Berichte über aktive Ausbeutung oder Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Einzelheiten zum Schutz der Android-Sicherheitsplattform und zum Schutz von Diensten wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Schadensbegrenzung für Android- und Google-Dienste .

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Ankündigungen

  • Dieses Bulletin enthält zwei Sicherheits-Patch-Level-Strings, um Android-Partnern die Flexibilität zu geben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
    • 2017-04-01 : Partielle Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-04-01 (und allen vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben wurden.
    • 05.04.2017 : Vollständiger Sicherheits-Patch-Level-String. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-04-01 und 2017-04-05 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben wurden.
  • Unterstützte Google-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch vom 5. April 2017.

Minderungen für Android- und Google-Dienste

Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bereitgestellten Risikominderungen. Diese Fähigkeiten verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden könnten.

  • Die Nutzung für viele Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv auf Missbrauch mit Verify Apps und SafetyNet , die entwickelt wurden, um Benutzer vor potenziell schädlichen Anwendungen zu warnen. Apps überprüfen ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und ist besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind in Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter bösartiger Anwendungen zu identifizieren und zu blockieren, die eine Schwachstelle bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
  • Entsprechend übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver.

Danksagungen

Wir möchten diesen Forschern für ihre Beiträge danken:

  • Aravind Machiry (donfos) vom Shellphish Grill Team: CVE-2016-5349
  • Daxing Guo ( @freener0 ) von Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
  • Derrek ( @derrekr6 ) und Scott Bauer: CVE-2017-0576
  • Gal Beniamini von Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
  • Gengjia Chen ( @chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
  • Guang Gong (龚广) ( @oldfresher ) von Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
  • Hao Chen und Guang Gong vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017 -0567
  • Ian Foster ( @lanrat ): CVE-2017-0554
  • Jack Tang von Trend Micro Inc.: CVE-2017-0579
  • Jianjun Dai ( @Jioun_dai ) von Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
  • Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
  • Lubo Zhang ( zlbzlb815@163.com ) vom C0RE Team und Yonggang Guo ( @guoygang ) vom IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
  • Mark Salyzyn von Google: CVE-2017-0558
  • Mike Andereson ( @manderbot ) und Nathan Crandall ( @natecray ) vom Produktsicherheitsteam von Tesla: CVE-2017-0327, CVE-2017-0328
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang Lied von Alibaba Mobile Security Group: CVE-2017-0565
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) und Lenx Wei (韦韬) von Baidu X-Lab (百度安全实验室): CVE-2016-10236
  • Qidan He (何淇丹 - @flanker_hqd ) von KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
  • Roee Hay ( @roeehay ) von Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
  • Scott Bauer ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
  • Seven Shen ( @lingtongshen ) vom TrendMicro Mobile Threat Research Team: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
  • Tim Becker: CVE-2017-0546
  • Uma Sankar Pradhan ( @umasankar_iitd ): CVE-2017-0560
  • VEO ( @VYSEa ) des Mobile Threat Response Teams , Trend Micro : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
  • Weichao Sun ( @sunblate ) von Alibaba Inc: CVE-2017-0549
  • Wenlin Yang ( @wenlin_yang ), Guang Gong ( @oldfresher ) und Hao Chen vom Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
  • Zinuo Han vom Chengdu Security Response Center von Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
  • Zubin Mithra von Google: CVE-2017-0462

Sicherheits-Patch-Level vom 1.4.2017 – Details zur Schwachstelle

In den folgenden Abschnitten stellen wir Details für jede der Sicherheitsschwachstellen bereit, die für das Patch-Level 2017-04-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit CVE, zugehörigen Referenzen, Schweregrad, aktualisierte Google-Geräte, aktualisierte AOSP-Versionen (falls zutreffend) und gemeldetes Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Remotecodeausführung in Mediaserver

Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei während der Mediendatei- und Datenverarbeitung eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0538 A-33641588 Kritisch Alle 6.0, 6.0.1, 7.0, 7.1.1 13. Dezember 2016
CVE-2017-0539 A-33864300 Kritisch Alle 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23. Dezember 2016
CVE-2017-0541 A-34031018 Kritisch Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 1. Januar 2017
CVE-2017-0542 A-33934721 Kritisch Alle 6.0, 6.0.1, 7.0, 7.1.1 Google-intern
CVE-2017-0543 A-34097866 Kritisch Alle 6.0, 6.0.1, 7.0, 7.1.1 Google-intern

Elevation of Privilege-Schwachstelle in CameraBase

Eine Schwachstelle bezüglich Rechteerweiterungen in CameraBase könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code auszuführen. Dieses Problem wird als hoch eingestuft, da es sich um eine lokale Ausführung willkürlichen Codes in einem privilegierten Prozess handelt.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0544 A-31992879 Hoch Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6. Oktober 2016

Elevation-of-Privilege-Schwachstelle in Audioserver

Eine Elevation-of-Privilege-Schwachstelle in Audioserver könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0545 A-32591350 Hoch Alle 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 31. Oktober 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in SurfaceFlinger

Eine Elevation-of-Privilege-Schwachstelle in SurfaceFlinger könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als Hoch eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0546 A-32628763 Hoch Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2. November 2016

Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es sich um eine allgemeine Umgehung für Betriebssystemschutzmaßnahmen handelt, die Anwendungsdaten von anderen Anwendungen isolieren.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0547 A-33861560 Hoch Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 22. Dezember 2016

Denial-of-Service-Schwachstelle in libskia

Eine Remote-Denial-of-Service-Schwachstelle in libskia könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als hoher Schweregrad eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0548 A-33251605 Hoch Alle 7.0, 7.1.1 29. November 2016

Denial-of-Service-Schwachstelle in Mediaserver

Eine Remote-Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als hoher Schweregrad eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0549 A-33818508 Hoch Alle 6.0, 6.0.1, 7.0, 7.1.1 20. Dezember 2016
CVE-2017-0550 A-33933140 Hoch Alle 6.0, 6.0.1, 7.0, 7.1.1 Google-intern
CVE-2017-0551 A-34097231 [ 2 ] Hoch Alle 6.0, 6.0.1, 7.0, 7.1.1 Google-intern
CVE-2017-0552 A-34097915 Hoch Alle 6.0, 6.0.1, 7.0, 7.1.1 Google-intern

Sicherheitslücke bezüglich Erhöhung von Berechtigungen in libnl

Eine Elevation-of-Privilege-Schwachstelle in libnl könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Wi-Fi-Dienstes auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und durch aktuelle Plattformkonfigurationen gemildert wird.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0553 A-32342065 Mäßig Alle 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21. Oktober 2016

Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen in der Telefonie

Eine Schwachstelle bezüglich Rechteerweiterungen in der Telefonie-Komponente könnte es einer lokalen schädlichen Anwendung ermöglichen, auf Funktionen außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es verwendet werden könnte, um Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0554 A-33815946 [ 2 ] Mäßig Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20. Dezember 2016

Schwachstelle bezüglich Offenlegung von Informationen in Mediaserver

Eine Schwachstelle zur Offenlegung von Informationen in Mediaserver könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0555 A-33551775 Mäßig Alle 6.0, 6.0.1, 7.0, 7.1.1 12. Dezember 2016
CVE-2017-0556 A-34093952 Mäßig Alle 6.0, 6.0.1, 7.0, 7.1.1 4. Januar 2017
CVE-2017-0557 A-34093073 Mäßig Alle 6.0, 6.0.1, 7.0, 7.1.1 4. Januar 2017
CVE-2017-0558 A-34056274 Mäßig Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google-intern

Schwachstelle bezüglich Offenlegung von Informationen in libskia

Eine Schwachstelle zur Offenlegung von Informationen in libskia könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als mittel eingestuft, da es zum unerlaubten Zugriff auf Daten verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0559 A-33897722 Mäßig Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25. Dezember 2016

Schwachstelle bezüglich der Offenlegung von Informationen beim Zurücksetzen auf die Werkseinstellungen

Eine Schwachstelle zur Offenlegung von Informationen im Factory-Reset-Prozess könnte es einem lokalen böswilligen Angreifer ermöglichen, auf Daten des Vorbesitzers zuzugreifen. Dieses Problem wird aufgrund der Möglichkeit, den Geräteschutz zu umgehen, als mittel eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2017-0560 A-30681079 Mäßig Alle 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google-intern

Sicherheits-Patch-Level vom 05.04.2017 – Details zur Schwachstelle

In den folgenden Abschnitten stellen wir Details für alle Sicherheitsschwachstellen bereit, die für die Patchebene vom 05.04.2017 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, den zugehörigen Referenzen, dem Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (falls zutreffend) und dem gemeldeten Datum. Wenn verfügbar, werden wir die öffentliche Änderung, die das Problem behebt, mit der Fehler-ID verknüpfen, wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen mit Nummern nach der Fehler-ID verknüpft.

Schwachstelle bezüglich Remotecodeausführung in Broadcom Wi-Fi-Firmware

Eine Sicherheitsanfälligkeit bezüglich Remote-Code-Ausführung in der Wi-Fi-Firmware von Broadcom könnte es einem entfernten Angreifer ermöglichen, beliebigen Code im Kontext des Wi-Fi-SoC auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remote-Code-Ausführung im Kontext des Wi-Fi-SoC als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0561 A-34199105*
B-RB#110814
Kritisch Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9. Januar 2017

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Remotecodeausführung im Qualcomm-Krypto-Engine-Treiber

Eine Sicherheitsanfälligkeit bezüglich Remote-Code-Ausführung im Qualcomm-Krypto-Engine-Treiber könnte es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Kernels als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-10230 A-34389927
QC-CR#1091408
Kritisch Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 10. Januar 2017

Schwachstelle bezüglich Remote-Codeausführung im Kernel-Netzwerk-Subsystem

Eine Schwachstelle bezüglich Remote-Codeausführung im Kernel-Netzwerk-Subsystem könnte es einem Remote-Angreifer ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung im Kontext des Kernels als kritisch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-10229 A-32813456
Upstream-Kernel
Kritisch Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player Google-intern

Elevation of Privilege-Schwachstelle im MediaTek-Touchscreen-Treiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Touchscreen-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0562 A-30202425*
M-ALPS02898189
Kritisch* Keiner** 16. Juli 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation of Privilege-Schwachstelle im HTC-Touchscreen-Treiber

Eine Elevation-of-Privilege-Schwachstelle im HTC-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0563 A-32089409*
Kritisch Verbindung 9 9. Oktober 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstelle bezüglich Rechteerhöhung im Kernel-ION-Subsystem

Eine Elevation-of-Privilege-Schwachstelle im Kernel-ION-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird aufgrund der Möglichkeit einer lokalen dauerhaften Gerätekompromittierung als Kritisch eingestuft, was möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erforderlich macht.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0564 A-34276203*
Kritisch Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 12. Januar 2017

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Schwachstellen in Qualcomm-Komponenten

Diese Schwachstellen betreffen Qualcomm-Komponenten und werden im Qualcomm AMSS-Sicherheitsbulletin vom Oktober 2016 ausführlicher beschrieben.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-10237 A-31628601**
QC-CR#1046751
Kritisch Keiner** Qualcomm-intern
CVE-2016-10238 A-35358527**
QC-CR#1042558
Kritisch Keiner*** Qualcomm-intern
CVE-2016-10239 A-31624618**
QC-CR#1032929
Hoch Pixel, Pixel XL Qualcomm-intern

* Die Bewertung des Schweregrads für diese Schwachstellen wurde vom Anbieter festgelegt.

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

*** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Schwachstelle bezüglich Remote-Codeausführung in v8

Eine Schwachstelle bezüglich Remote-Codeausführung in v8 könnte es Angreifern ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung auf Websites als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-5129 A-29178923 Hoch Keiner* 6.0, 6.0.1, 7.0 20. Juli 2016

* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Schwachstelle bezüglich Remotecodeausführung in Freetype

Eine Schwachstelle bezüglich Remotecodeausführung in Freetype könnte es einer lokalen bösartigen Anwendung ermöglichen, eine speziell gestaltete Schriftart zu laden, um in einem nicht privilegierten Prozess eine Speicherbeschädigung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit der Remotecodeausführung in einer Anwendung, die diese Bibliothek verwendet, als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Aktualisierte AOSP-Versionen Datum gemeldet
CVE-2016-10244 A-31470908 Hoch Keiner* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13. September 2016

* Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Schwachstelle bezüglich Rechteerhöhung im Kernel-Sound-Subsystem

Eine Elevation-of-Privilege-Schwachstelle im Kernel-Sound-Subsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2014-4656 A-34464977
Upstream-Kernel
Hoch Nexus 6, Nexus-Player 26. Juni 2014

Elevation of Privilege-Schwachstelle im NVIDIA-Kryptotreiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA-Kryptotreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0339 A-27930566*
N-CVE-2017-0339
Hoch Verbindung 9 29. März 2016
CVE-2017-0332 A-33812508*
N-CVE-2017-0332
Hoch Verbindung 9 21. Dezember 2016
CVE-2017-0327 A-33893669*
N-CVE-2017-0327
Hoch Verbindung 9 24. Dezember 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im MediaTek Thermal-Treiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Thermaltreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0565 A-28175904*
M-ALPS02696516
Hoch Keiner** 11. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation of Privilege-Schwachstelle im MediaTek-Kameratreiber

Eine Elevation-of-Privilege-Schwachstelle im MediaTek-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0566 A-28470975*
M-ALPS02696367
Hoch Keiner** 29. April 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0567 A-32125310*
B-RB#112575
Hoch Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 12. Oktober 2016
CVE-2017-0568 A-34197514*
B-RB#112600
Hoch Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9. Januar 2017
CVE-2017-0569 A-34198729*
B-RB#110666
Hoch Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9. Januar 2017
CVE-2017-0570 A-34199963*
B-RB#110688
Hoch Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9. Januar 2017
CVE-2017-0571 A-34203305*
B-RB#111541
Hoch Nexus 6, Nexus 6P, Pixel C, Nexus Player 9. Januar 2017
CVE-2017-0572 A-34198931*
B-RB#112597
Hoch Keiner** 9. Januar 2017
CVE-2017-0573 A-34469904*
B-RB#91539
Hoch Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 18. Januar 2017
CVE-2017-0574 A-34624457*
B-RB#113189
Hoch Nexus 6, Nexus 6P, Nexus 9, Pixel C 22. Januar 2017

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0575 A-32658595*
QC-CR#1103099
Hoch Nexus 5X, Pixel, Pixel XL 3. November 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im NVIDIA I2C HID-Treiber

Eine Elevation-of-Privilege-Schwachstelle im NVIDIA I2C HID-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0325 A-33040280*
N-CVE-2017-0325
Hoch Nexus 9, Pixel C 20. November 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Qualcomm-Audiotreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Audiotreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0454 A-33353700
QC-CR#1104067
Hoch Nexus 5X, Nexus 6P, Pixel, Pixel XL 5. Dezember 2016

Elevation of Privilege-Schwachstelle im Qualcomm-Krypto-Engine-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Krypto-Engine-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0576 A-33544431
QC-CR#1103089
Hoch Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 9. Dezember 2016

Elevation of Privilege-Schwachstelle im HTC-Touchscreen-Treiber

Eine Elevation-of-Privilege-Schwachstelle im HTC-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0577 A-33842951*
Hoch Keiner** 21. Dezember 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Schwachstelle bezüglich Erhöhung von Berechtigungen im DTS-Soundtreiber

Eine Elevation-of-Privilege-Schwachstelle im DTS-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0578 A-33964406*
Hoch Keiner** 28. Dezember 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation of Privilege-Schwachstelle im Qualcomm Sound-Codec-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Sound-Codec-Treiber von Qualcomm könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-10231 A-33966912
QC-CR#1096799
Hoch Pixel, Pixel XL 29. Dezember 2016

Elevation of Privilege-Schwachstelle im Qualcomm-Grafiktreiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0579 A-34125463*
QC-CR#1115406
Hoch Nexus 5X, Nexus 6P, Pixel, Pixel XL 5. Januar 2017
CVE-2016-10232 A-34386696
QC-CR#1024872 [2]
Hoch Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 10. Januar 2017
CVE-2016-10233 A-34389926
QC-CR#897452
Hoch Keiner** 10. Januar 2017

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation-of-Privilege-Schwachstelle im NVIDIA Boot- und Power-Management-Prozessortreiber

Eine Schwachstelle bezüglich Rechteerweiterungen im NVIDIA Boot- und Power-Management-Prozessortreiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Boot- und Power-Management-Prozessors auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0329 A-34115304*
N-CVE-2017-0329
Hoch Pixel C 5. Januar 2017

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im Synaptics-Touchscreen-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Synaptics Touchscreen-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0580 A-34325986*
Hoch Keiner** 16. Januar 2017
CVE-2017-0581 A-34614485*
Hoch Keiner** 22. Januar 2017

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Elevation of Privilege-Schwachstelle im Qualcomm Seemp-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Seemp-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-0462 A-33353601
QC-CR#1102288
Hoch Pixel, Pixel XL Google-intern

Elevation of Privilege-Schwachstelle im Qualcomm Kyro L2-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Kyro L2-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-6423 A-32831370
QC-CR#1103158
Hoch Pixel, Pixel XL Google-intern

Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem

Eine Elevation-of-Privilege-Schwachstelle im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als Hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2014-9922 A-32761463
Upstream-Kernel
Hoch Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 24. Oktober 2014

Schwachstelle bezüglich der Offenlegung von Informationen im Kernel-Speichersubsystem

Eine Schwachstelle zur Offenlegung von Informationen im Kernel-Speichersubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2014-0206 A-34465735
Upstream-Kernel
Hoch Nexus 6, Nexus-Player 6. Mai 2014

Schwachstelle bezüglich Offenlegung von Informationen im Subsystem des Kernel-Netzwerks

Eine Schwachstelle zur Offenlegung von Informationen im Kernel-Netzwerksubsystem könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2014-3145 A-34469585
Upstream-Kernel [2]
Hoch Nexus 6, Nexus-Player 9. Mai 2014

Schwachstelle bei der Offenlegung von Informationen in der Qualcomm TrustZone

Eine Schwachstelle zur Offenlegung von Informationen in der Qualcomm TrustZone könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-5349 A-29083830
QC-CR#1021945 [2] [3] [4]
Hoch Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 1. Juni 2016

Schwachstelle bei der Offenlegung von Informationen im Qualcomm IPA-Treiber

Eine Schwachstelle zur Offenlegung von Informationen im Qualcomm IPA-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als Hoch eingestuft, da es für den Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-10234 A-34390017
QC-CR#1069060 [2]
Hoch Nexus 5X, Nexus 6P, Pixel, Pixel XL 10. Januar 2017

Denial-of-Service-Schwachstelle im Kernel-Netzwerk-Subsystem

Eine Denial-of-Service-Schwachstelle im Kernel-Netzwerksubsystem könnte es einem entfernten Angreifer ermöglichen, ein speziell gestaltetes Netzwerkpaket zu verwenden, um ein Gerät hängen zu lassen oder neu zu starten. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2014-2706 A-34160553
Upstream-Kernel
Hoch Nexus-Player 1. April 2014

Denial-of-Service-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Denial-of-Service-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einem nahen Angreifer ermöglichen, einen Denial-of-Service im Wi-Fi-Subsystem zu verursachen. Dieses Problem wird aufgrund der Möglichkeit von Remote-Denial-of-Service als Hoch eingestuft.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-10235 A-34390620
QC-CR#1046409
Hoch Keiner** 10. Januar 2017

** Unterstützte Google-Geräte mit Android 7.0 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Schwachstelle nicht betroffen.

Schwachstelle bezüglich Erhöhung von Berechtigungen im Kernel-Dateisystem

Eine Schwachstelle bezüglich Rechteerweiterungen im Kernel-Dateisystem könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code außerhalb ihrer Berechtigungsstufen auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und durch aktuelle Plattformkonfigurationen gemildert wird.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-7097 A-32458736
Upstream-Kernel
Mäßig Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player 28. August 2016

Elevation of Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als mäßig eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert, und aufgrund von anfälligkeitsspezifischen Details, die die Auswirkungen des Problems begrenzen.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2017-6424 A-32086742
QC-CR#1102648
Mäßig Nexus 5X, Pixel, Pixel XL, Android One 9. Oktober 2016

Elevation of Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber

Eine Elevation-of-Privilege-Schwachstelle im Broadcom Wi-Fi-Treiber könnte es einer lokalen bösartigen Anwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als moderat eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert und durch aktuelle Plattformkonfigurationen gemildert wird.

CVE Verweise Schwere Aktualisierte Google-Geräte Datum gemeldet
CVE-2016-8465 A-32474971*
B-RB#106053
Mäßig Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27. Oktober 2016

* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of Privilege-Schwachstelle im HTC OEM-Fastboot-Befehl

An elevation of privilege vulnerability in the HTC OEM fastboot command could enable a local malicious application to execute arbitrary code within the context of the sensor hub. This issue is rated as Moderate because it first requires exploitation of separate vulnerabilities.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-0582 A-33178836*
Mäßig Nexus 9 Nov 28, 2016

* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Elevation of privilege vulnerability in Qualcomm CP access driver

An elevation of privilege vulnerability in the Qualcomm CP access driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and because of vulnerability specific details which limit the impact of the issue.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-0583 A-32068683
QC-CR#1103788
Mäßig Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Google internal

Information disclosure vulnerability in kernel media driver

An information disclosure vulnerability in the kernel media driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2014-1739 A-34460642
Upstream-Kernel
Mäßig Nexus 6, Nexus 9, Nexus Player Jun 15, 2014

Information disclosure vulnerability in Qualcomm Wi-Fi driver

An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-0584 A-32074353*
QC-CR#1104731
Mäßig Nexus 5X, Pixel, Pixel XL Oct 9, 2016

* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Information disclosure vulnerability in Broadcom Wi-Fi driver

An information disclosure vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-0585 A-32475556*
B-RB#112953
Mäßig Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 27, 2016

* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

Information disclosure vulnerability in Qualcomm Avtimer driver

An information disclosure vulnerability in the Qualcomm Avtimer driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2016-5346 A-32551280
QC-CR#1097878
Mäßig Pixel, Pixel XL Oct 29, 2016

Information disclosure vulnerability in Qualcomm video driver

An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-6425 A-32577085
QC-CR#1103689
Mäßig Pixel, Pixel XL Oct 29, 2016

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2016-10236 A-33280689
QC-CR#1102418
Mäßig Pixel, Pixel XL Nov 30, 2016

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-0586 A-33649808
QC-CR#1097569
Mäßig Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Dec 13, 2016

Information disclosure vulnerability in Qualcomm SPMI driver

An information disclosure vulnerability in the Qualcomm SPMI driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-6426 A-33644474
QC-CR#1106842
Mäßig Pixel, Pixel XL Dec 14, 2016

Information disclosure vulnerability in NVIDIA crypto driver

An information disclosure vulnerability in the NVIDIA crypto driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2017-0328 A-33898322*
N-CVE-2017-0328
Mäßig None** Dec 24, 2016
CVE-2017-0330 A-33899858*
N-CVE-2017-0330
Mäßig None** Dec 24, 2016

* The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Vulnerabilities in Qualcomm components

These vulnerabilities affecting Qualcomm components were released as part of Qualcomm AMSS security bulletins between 2014–2016. They are included in this Android security bulletin to associate their fixes with an Android security patch level.

CVE Verweise Schwere Updated Google devices Datum gemeldet
CVE-2014-9931 A-35445101** Kritisch None** Qualcomm internal
CVE-2014-9932 A-35434683** Kritisch Pixel, Pixel XL Qualcomm internal
CVE-2014-9933 A-35442512** Kritisch None** Qualcomm internal
CVE-2014-9934 A-35439275** Kritisch None** Qualcomm internal
CVE-2014-9935 A-35444951** Kritisch None** Qualcomm internal
CVE-2014-9936 A-35442420** Kritisch None** Qualcomm internal
CVE-2014-9937 A-35445102** Kritisch None** Qualcomm internal
CVE-2015-8995 A-35445002** Kritisch None** Qualcomm internal
CVE-2015-8996 A-35444658** Kritisch None** Qualcomm internal
CVE-2015-8997 A-35432947** Kritisch None** Qualcomm internal
CVE-2015-8998 A-35441175** Kritisch None** Qualcomm internal
CVE-2015-8999 A-35445401** Kritisch None** Qualcomm internal
CVE-2015-9000 A-35441076** Kritisch None** Qualcomm internal
CVE-2015-9001 A-35445400** Kritisch None** Qualcomm internal
CVE-2015-9002 A-35442421** Kritisch None** Qualcomm internal
CVE-2015-9003 A-35440626** Kritisch None** Qualcomm internal
CVE-2016-10242 A-35434643** Kritisch None** Qualcomm internal

* The severity rating for these vulnerabilities was determined by the vendor.

** The patch for this issue is not publicly available. Das Update ist in den neuesten binären Treibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.

*** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Häufige Fragen und Antworten

In diesem Abschnitt werden allgemeine Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Um zu erfahren, wie Sie den Sicherheits-Patch-Level eines Geräts überprüfen, lesen Sie die Anweisungen im Aktualisierungszeitplan für Pixel und Nexus .

  • Security patch levels of 2017-04-01 or later address all issues associated with the 2017-04-01 security patch level.
  • Security patch levels of 2017-04-05 or later address all issues associated with the 2017-04-05 security patch level and all previous patch levels.

Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen:

  • [ro.build.version.security_patch]:[2017-04-01]
  • [ro.build.version.security_patch]:[2017-04-05]

2. Warum enthält dieses Bulletin zwei Sicherheits-Patch-Stufen?

Dieses Bulletin enthält zwei Sicherheits-Patch-Stufen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Android-Partner werden ermutigt, alle Probleme in diesem Bulletin zu beheben und das neueste Sicherheitspatch-Level zu verwenden.

  • Devices that use the April 01, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of April 05, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partner werden ermutigt, die Korrekturen für alle Probleme, die sie beheben, in einem einzigen Update zu bündeln.

3. How do I determine which Google devices are affected by each issue?

In the 2017-04-01 and 2017-04-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Einträge in der Spalte „ Referenzen “ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört. These prefixes map as follows:

Präfix Bezug
EIN- Android-Fehler-ID
QC- Qualcomm-Referenznummer
M- MediaTek-Referenznummer
N- NVIDIA-Referenznummer
B- Broadcom-Referenznummer

Revisionen

  • April 03, 2017: Bulletin published.
  • April 05, 2017: Bulletin revised to include AOSP links.
  • April 21, 2017: Attribution for CVE-2016-10231 and CVE-2017-0586 corrected.
  • April 27, 2017: CVE-2017-0540 removed from bulletin.
  • August 17, 2017: Bulletin revised to update reference numbers.