Opublikowano 1 maja 2017 r. | Zaktualizowano 3 października 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Oprócz biuletynu udostępniliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pomocą aktualizacji OTA. Obrazy oprogramowania układowego urządzeń Google zostały też opublikowane na stronie dla deweloperów Google. Wszystkie te problemy zostały rozwiązane w poziomach poprawek zabezpieczeń z 5 maja 2017 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali poinformowani o problemach opisanych w biuletynie 3 kwietnia 2017 r. lub wcześniej. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.
Najpoważniejszym z tych problemów jest krytyczne zagrożenie bezpieczeństwa, które może umożliwić zdalne wykonywanie kodu na urządzeniu docelowym za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy bezpieczeństwa Androida oraz zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Zapobieganie naruszeniom zabezpieczeń Androida i usług Google.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków dotyczącego poziomu poprawki zabezpieczeń, aby umożliwić partnerom Androida szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z artykułem Częste pytania i odpowiedzi:
- 2017-05-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-05-01 (i wszystkimi poprzednimi ciągami znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
- 2017-05-05: kompletny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-05-01 i 2017-05-05 (oraz wszystkie poprzednie ciągi poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Google otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 maja 2017 r.
Środki zaradcze dotyczące Androida i usług Google
Oto podsumowanie metod ograniczania zagrożeń oferowanych przez platformę bezpieczeństwa Androida oraz usługi zabezpieczające, takie jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Verify Apps i SafetyNet, które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale aplikacja Verify Apps ostrzega użytkowników, gdy próbują oni zainstalować wykryte narzędzie do rootowania – niezależnie od tego, skąd pochodzi. Dodatkowo Weryfikacja aplikacji próbuje wykrywać i blokować instalowanie znanych szkodliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, funkcja Weryfikacja aplikacji powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- ADlab of Venustech: CVE-2017-0630
- Di Shen (@returnsme) z KeenLab (@keen_lab), Tencent: CVE-2016-10287
- Ecular Xu (徐健) z Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He (@heeeeen4x) i Bo Liu z MS509Team: CVE-2017-0601
- Ethan Yonker z Team Win Recovery Project: CVE-2017-0493
- Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选 @VirtualSeekers) z Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay z Uniwersytetu Illinois w Urbanie i Champaign: CVE-2017-0593
- Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li i Qiwu Huang z Xiaomi Inc.: CVE-2016-10276
- Michał Bednarski: CVE-2017-0598
- Nathan Crandall (@natecray) z zespołu ds. zabezpieczeń produktów w firmie Tesla: CVE-2017-0331, CVE-2017-0606
- Niky1235 (@jiych_guru): CVE-2017-0603
- Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang Song z Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
- Roee Hay (@roeehay) z Aleph Research: CVE-2016-10277
- Scott Bauer (@ScottyBauer1): CVE-2016-10274
- Tong Lin, Yuan-Tsung Lo i Xuxian Jiang z C0RE Team: CVE-2016-10291
- Vasily Vasiliev: CVE-2017-0589
- V.E.O (@VYSEa) z Mobile Threat Response Team w Trend Micro: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong z Wydziału Platformy Bezpieczeństwa Tencent: CVE-2017-0597
- Xingyuan Lin z zespołu Marvela w sekcji 360: CVE-2017-0627
- Yong Wang (王勇) (@ThomasKing2014) z Alibaba Inc.: CVE-2017-0588
- Yonggang Guo (@guoygang) z IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Yu Pan z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan i Peide Zhang z Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
2017-05-01 poziom aktualizacji zabezpieczeń – szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-05-01. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserver
Luka w zabezpieczeniach umożliwiająca zdalne uruchomienie kodu w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 stycznia 2017 r. |
| CVE-2017-0588 | A-34618607 | Krytyczny | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 stycznia 2017 r. |
| CVE-2017-0589 | A-34897036 | Krytyczny | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1 lutego 2017 r. |
| CVE-2017-0590 | A-35039946 | Krytyczny | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 lutego 2017 r. |
| CVE-2017-0591 | A-34097672 | Krytyczny | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Tylko w Google |
| CVE-2017-0592 | A-34970788 | Krytyczny | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Tylko w Google |
Podniesienie uprawnień w interfejsach API frameworku
W ramach tej podatności lokalna złośliwa aplikacja może uzyskać dostęp do niestandardowych uprawnień. Ten problem ma wysoki priorytet, ponieważ jest to ogólne obejście zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 stycznia 2017 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Mediaserver
Podatność w Mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 stycznia 2017 r. |
| CVE-2017-0595 | A-34705519 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 stycznia 2017 r. |
| CVE-2017-0596 | A-34749392 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 stycznia 2017 r. |
Luka w zabezpieczeniach w Audioserver, która umożliwia podniesienie uprawnień
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w Audioserverze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wyższych uprawnieniach. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zazwyczaj niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 stycznia 2017 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w interfejsach API Framework
W ramach podatności w interfejsach API Framework można uzyskać dostęp do informacji, co może umożliwić lokalnej złośliwej aplikacji obejście zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji. Ten problem ma wysoki priorytet, ponieważ może umożliwiać uzyskanie dostępu do danych, do których aplikacja nie ma dostępu.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 stycznia 2017 r. |
Atak typu DoS w usłudze Mediaserver
Usługa Mediaserver zawierała podatność na odmowę usługi zdalnej, która umożliwiała atakującemu użycie specjalnie spreparowanego pliku do spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 stycznia 2017 r. |
| CVE-2017-0600 | A-35269635 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 lutego 2017 r. |
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w Bluetoothie
Użytkownik lokalny może wykorzystać podatność w Bluetooth, aby za pomocą złośliwej aplikacji zaakceptować szkodliwe pliki udostępnione przez Bluetooth bez zgody użytkownika. Ten problem został oceniony jako „Umiarkowany” ze względu na lokalny obrót wymagań dotyczących interakcji z użytkownikiem.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | Umiarkowana | Wszystko | 7.0, 7.1.1, 7.1.2 | 9 lutego 2017 r. |
Ujawnienie informacji w szyfrowaniu na poziomie pliku
Użytkownik lokalny może wykorzystać lukę w zabezpieczeniach związaną z ujawnieniem informacji w szyfrowaniu na poziomie pliku, aby obejść zabezpieczenia systemu operacyjnego dotyczące ekranu blokady. Ten problem został oceniony jako „Umiarkowany” ze względu na możliwość obejścia ekranu blokady.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] [3] | Umiarkowana | Wszystko | 7.0, 7.1.1 | 9 listopada 2016 r. |
Luka w zabezpieczeniach w module Bluetooth umożliwiająca ujawnienie informacji
W Bluetooth występuje luka, która może umożliwić lokalnej złośliwej aplikacji obejście zabezpieczeń systemu operacyjnego izolujących dane aplikacji od innych aplikacji. Ten problem został oceniony jako „Umiarkowany” ze względu na szczegóły dotyczące podatności.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 grudnia 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w OpenSSL i BoringSSL
Luka w zabezpieczeniach OpenSSL i BoringSSL, która umożliwia zdalnym atakującym uzyskanie dostępu do informacji poufnych. Ten problem został oceniony jako umiarkowany ze względu na szczegóły dotyczące luki w zabezpieczeniach.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 grudnia 2016 r. |
Usługa Mediaserver narażona na atak typu DoS
Luka w zabezpieczeniach umożliwiająca atak typu DoS w Mediaserverze może umożliwić atakującemu użycie specjalnie spreparowanego pliku, aby spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma umiarkowany priorytet, ponieważ wymaga nietypowej konfiguracji urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 lutego 2017 r. |
Usługa Mediaserver narażona na atak typu DoS
Usługa Mediaserver zawierała podatność na odmowę usługi zdalnej, która umożliwiała atakującemu użycie specjalnie spreparowanego pliku do spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został oceniony jako niski ze względu na szczegóły dotyczące luki w zabezpieczeniach.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | Niska | Wszystko | 7.0, 7.1.1, 7.1.2 | 16 lutego 2017 r. |
2017-05-05 poziom aktualizacji zabezpieczeń – szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 maja 2017 r. Zawiera on opis problemu, uzasadnienie powagi oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Wykonywanie kodu zdalnie w GIFLIB
Luka w zabezpieczeniach w bibliotece GIFLIB umożliwiająca zdalne uruchomienie kodu mogłaby umożliwić atakującemu użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaserver.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | Krytyczny | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 kwietnia 2016 r. |
podatność na atak polegająca na podnoszeniu uprawnień w sterowniku ekranu dotykowego MediaTek
Użytkownik lokalny może wykorzystać podatność w sterowniku ekranu dotykowego MediaTek, aby uruchomić dowolny kod w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
Krytyczny | Brak** | 16 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w programie ładującym Qualcomm
Podatność na podniesienie uprawnień w początkującym programie Qualcomm mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
Krytyczny | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13 września 2016 r. |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
Krytyczny | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16 listopada 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie dźwięku jądra
Podatność na podniesienie uprawnień w podsystemie dźwięku jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 Kernel upstream |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3 grudnia 2016 r. |
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w programie rozruchowym Motorola
Luka w zabezpieczeniach dotycząca podwyższania uprawnień w początkującym programie uruchamiania firmy Motorola może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście tego programu. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
Krytyczny | Nexus 6 | 21 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Uprawnienia podwyższone w sterowniku karty graficznej NVidia
Podatność w sterowniku karty graficznej NVIDIA umożliwiająca podniesienie uprawnień mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
Krytyczny | Nexus 9 | 4 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luki w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku zasilania Qualcomm
Użytkownik lokalny może wykorzystać podatność w sterowniku zasilania Qualcomm w rdzeniu, aby uruchomić dowolny kod w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
Krytyczny | Brak* | 15 lutego 2017 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w komponentach Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane szczegółowo w biuletynach dotyczących zabezpieczeń AMSS z sierpnia, września, października i grudnia 2016 roku.
| CVE | Pliki referencyjne | Poziom ważności* | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
Krytyczny | Nexus 6P | Qualcomm wewnętrzny |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Qualcomm wewnętrzny |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
Wysoki | Pixel, Pixel XL | Qualcomm wewnętrzny |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
Wysoki | Pixel, Pixel XL | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w bibliotece libxml2
Luka w zabezpieczeniach w bibliotece libxml2 umożliwiająca zdalne uruchomienie kodu może umożliwić atakującemu użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | Wysoki | Brak** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 lipca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku termicznym MediaTek
Podatność w sterowniku termicznym MediaTek umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
Wysoki | Brak** | 11 kwietnia 2016 r. |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
Wysoki | Brak** | 11 kwietnia 2016 r. |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
Wysoki | Brak** | 27 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
Wysoki | Nexus 5X, Pixel, Pixel XL, Android One | 11 października 2016 r. |
Luka w zarządzaczu wideo Qualcomma umożliwiająca podniesienie uprawnień
Podatność w zabezpieczeniach w sterowniku wideo Qualcomma może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 października 2016 r. |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
Wysoki | Pixel, Pixel XL | 19 grudnia 2016 r. |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
Wysoki | Pixel, Pixel XL | 15 lutego 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Podniesienie uprawnień w ramach luki w podsystemie wydajności jądra
Luka w zabezpieczeniach związana z podniesieniem uprawnień w podsystemie wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 Jednostka jądra upstream |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23 listopada 2016 r. |
Luki w zarządzaczu dźwięku Qualcomma umożliwiające podniesienie uprawnień
Podatność w sterowniku dźwięku Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20 grudnia 2016 r. |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3 stycznia 2017 r. |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
Wysoki | Pixel, Pixel XL | 22 stycznia 2017 r. |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
Wysoki | Brak* | 15 lutego 2017 r. |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
Wysoki | Pixel, Pixel XL | 15 lutego 2017 r. |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
Wysoki | Brak* | 15 lutego 2017 r. |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
Wysoki | Brak* | 15 lutego 2017 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku diod LED firmy Qualcomm
Podatność na podniesienie uprawnień w sterowniku LED firmy Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
Wysoki | Pixel, Pixel XL | 23 grudnia 2016 r. |
Luka umożliwiająca podniesienie uprawnień w sterowniku szyfrowania Qualcomm
Podatność w sterowniku kryptograficznym Qualcomma umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 grudnia 2016 r. |
Podniesienie uprawnień w sterowniku pamięci współdzielonej Qualcomm
W ramach podatności na podniesienie uprawnień w sterowniku pamięci współdzielonej Qualcomma złośliwa aplikacja lokalna może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24 grudnia 2016 r. |
Luki w sterowniku Slimbus firmy Qualcomm, które umożliwiają podniesienie uprawnień
Podatność na podniesienie uprawnień w sterowniku Qualcomm Slimbus może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31 grudnia 2016 r. |
Luki w uprawnieniach w sterowniku Qualcomm ADSPRPC
Luka w zabezpieczeniach w sterowniku Qualcomm ADSPRPC może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
Wysoki | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5 stycznia 2017 r. |
luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w środowisku Secure Execution Environment firmy Qualcomm w module Communicator
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku Qualcomm Secure Execution Environment Communicator może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę wysoką, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
Wysoki | Pixel, Pixel XL | 10 stycznia 2017 r. |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
Luki w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku zasilania MediaTek
Podatność w sterowniku zasilania MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
Wysoki | Brak** | 12 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w sterowniku przerwania zarządzania systemem MediaTek
W ramach tego błędu w sterowniku przerwania systemu MediaTek umożliwiającym podniesienie uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma ocenę wysoka, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
Wysoki | Brak** | 19 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku wideo MediaTek
Użytkownik lokalny może wykorzystać podatność w sterowniku wideo MediaTek, aby uruchomić dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
Wysoki | Brak** | 19 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień właściwość w sterowniku kolejki poleceń MediaTek
Luka w zabezpieczeniach w sterowniku kolejki poleceń MediaTek może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
Wysoki | Brak** | 7 lutego 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
podatność w sterowniku kontrolera pinów Qualcomm umożliwiająca podniesienie uprawnień
Luka w zabezpieczeniach w sterowniku kontrolera pinów Qualcomma może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
Wysoki | Nexus 6, Android One | 15 lutego 2017 r. |
podatność w Menedżerze kanału bezpiecznego Qualcomma umożliwiająca podniesienie uprawnień
W ramach tego podatnego na podniesienie uprawnień elementu w Menedżerze kanału bezpiecznego Qualcomma może zostać uruchomiony lokalny złośliwy program, który może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu z przywilejami.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
podatność w sterowniku kodeka dźwiękowego Qualcomm umożliwiająca podniesienie uprawnień
Podatność w zabezpieczeniach w sterowniku kodeka dźwiękowego Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
Wysoki | Pixel, Pixel XL | 15 lutego 2017 r. |
podatność w sterowniku regulatora napięcia w rdzeniu, która umożliwia podniesienie uprawnień
Podatność na podniesienie uprawnień w sterowniku regulatora napięcia jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 Upstream kernel |
Wysoki | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15 lutego 2017 r. |
Luka w zabezpieczeniach polegająca na podnoszeniu uprawnień w sterowniku aparatu Qualcomm
Podatność w sterowniku aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
Wysoki | Android One | 15 lutego 2017 r. |
Podniesienie uprawnień w sterowniku sieciowym Qualcomm
Podatność w zasadach dotyczących podwyższania uprawnień w sterowniku sieciowym Qualcomma może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 15 lutego 2017 r. |
Podniesienie uprawnień w podsystemie sieciowym jądra
Uprawnienie dotyczące podwyższenia uprawnień w podsystemie sieciowym jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 Kernel upstream [2] |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | 23 marca 2017 r. |
Luki w sterowniku ekranu dotykowego Goodix umożliwiające podniesienie uprawnień
W sterowniku ekranu dotykowego Goodix występuje podatność umożliwiająca podniesienie uprawnień, która może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
Wysoki | Android One | Tylko w Google |
Luka w bootloaderze HTC umożliwiająca podniesienie uprawnień
Luka w zabezpieczeniach dotycząca podwyższania uprawnień w bootloaderze HTC może umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście bootloadera. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
Wysoki | Pixel, Pixel XL | Google - wewnętrzny |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku Wi-Fi firmy Qualcomm;
W sterowniku Wi-Fi Qualcomma wykryto podatność na ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych poufnych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 16 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
podatność w sterowniku kolejki poleceń MediaTek, która umożliwia ujawnnienie informacji
Użytkownik lokalny może uzyskać dostęp do danych spoza poziomu uprawnień, jeśli w sterowniku kolejki poleceń MediaTek występuje luka w zabezpieczeniach, która umożliwia ujawnianie informacji. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
Wysoki | Brak** | 8 lutego 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
luka w sterowniku silnika kryptograficznego Qualcomma, która umożliwia ujawnianie informacji
Użytkownik lokalny może wykorzystać lukę w zabezpieczeniach w sterowniku silnika szyfrowania Qualcomm, aby uzyskać dostęp do danych spoza poziomu uprawnień. Ten problem ma wysoki priorytet, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
luka w zabezpieczeniach umożliwiająca atak typu DoS w sterowniku Wi-Fi Qualcomm
Usługa typu DoS w sterowniku Wi-Fi Qualcomma może umożliwić atakującemu w pobliżu wywołanie awarii w podsystemie Wi-Fi. To zgłoszenie ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 16 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach związana z ujawnieniem informacji w sterowniku UVC jądra.
W ramach podatności w sterowniku UVC jądra możliwe jest ujawnienie informacji, które może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
Umiarkowana | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2 grudnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku wideo Qualcomm.
W układzie Qualcomma znaleziono podatność na ujawnienie informacji, która może umożliwiać lokalnym złośliwym aplikacjom dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
Umiarkowana | Nexus 5X, Nexus 6P, Android One | 4 grudnia 2016 r. |
luka w zabezpieczeniach w sterowniku zasilania Qualcomm (właściwe dla urządzenia) dotycząca ujawnienia informacji
W sterowniku zasilania Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
Umiarkowana | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 14 grudnia 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku LED firmy Qualcomm;
W sterowniku LED-a Qualcomma występuje luka, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
Umiarkowana | Pixel, Pixel XL | 20 grudnia 2016 r. |
luka w zarządzaczu pamięci współdzielonej Qualcomma, która umożliwia wyciek informacji
W sterowniku pamięci współdzielonej Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
Umiarkowana | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 22 grudnia 2016 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku kamery Qualcomm.
W sterowniku aparatu Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
Umiarkowana | Nexus 5X, Nexus 6, Pixel, Pixel XL | 10 stycznia 2017 r. |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
Umiarkowana | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8 lutego 2017 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w systemie śledzenia jądra
W ramach tego problemu lokalna złośliwa aplikacja może uzyskać dostęp do danych spoza poziomu uprawnień, jeśli występuje luka w zabezpieczeniach w podsystemie śledzenia jądra. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11 stycznia 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku kodeka dźwięku Qualcomm;
W sterowniku kodeka dźwiękowego Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych spoza poziomu uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku kamery Qualcomm.
W sterowniku aparatu Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
Umiarkowana | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku dźwięku Qualcomm;
W sterowniku dźwięku Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić złośliwej aplikacji lokalnej dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
Umiarkowana | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 lutego 2017 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku Qualcomm SPCom;
W sterowniku Qualcomm SPCom występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
Umiarkowana | Brak* | 15 lutego 2017 r. |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
Umiarkowana | Brak* | 15 lutego 2017 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
podatność w sterowniku kodeka dźwięku Qualcomm umożliwiająca ujawnienie informacji
W sterowniku kodeka dźwiękowego Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych spoza poziomu uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
Umiarkowana | Android One | 15 lutego 2017 r. |
luka w zabezpieczeniach polegająca na ujawnieniu informacji w sterowniku Wi-Fi Broadcom;
W sterowniku Wi-Fi Broadcom występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnemu złośliwemu komponentowi dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
Umiarkowana | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 23 lutego 2017 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
podatność na wyciek informacji w sterowniku ekranu dotykowego Synaptics
Użytkownik lokalny może wykorzystać podatność w sterowniku ekranu dotykowego Synaptics, aby uzyskać dostęp do danych spoza poziomu uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
Umiarkowana | Pixel, Pixel XL | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
Luki w komponentach Qualcomm
Te luki w zabezpieczeniach, które dotyczą komponentów Qualcomm, zostały opublikowane w ramach biuletynów dotyczących zabezpieczeń AMSS firmy Qualcomm w latach 2014–2016. Są one zawarte w tym komunikacie o zabezpieczeniach Androida, aby umożliwić powiązanie ich z poziomem aktualizacji zabezpieczeń Androida.
| CVE | Pliki referencyjne | Poziom ważności* | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9924 | A-35434631** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9925 | A-35444657** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9926 | A-35433784** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9927 | A-35433785** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9928 | A-35438623** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9930 | A-35432946** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2015-9005 | A-36393500** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2015-9006 | A-36393450** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2015-9007 | A-36393700** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-10297 | A-36393451** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9941 | A-36385125** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9942 | A-36385319** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9943 | A-36385219** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9944 | A-36384534** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9945 | A-36386912** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9946 | A-36385281** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9947 | A-36392400** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9948 | A-36385126** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9949 | A-36390608** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9950 | A-36385321** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9951 | A-36389161** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2014-9952 | A-36387019** | Wysoki | Brak*** | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
** Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google dla deweloperów.
*** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.1.1 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 2017-05-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-05-01.
- Poziomy aktualizacji zabezpieczeń z 2017-05-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-05-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu zabezpieczeń z 1 maja 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 maja 2017 r. lub nowszego, muszą zawierać wszystkie poprawki z tych (i poprzednich) komunikatów.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Jak sprawdzić, które urządzenia Google są dotknięte danym problemem?
W sekcjach 2017-05-01 i 2017-05-05 zawierających szczegóły dotyczące luk w zabezpieczeniach w danych tabelach znajduje się kolumna Zaktualizowane urządzenia Google, która obejmuje zakres dotkniętych urządzeń Google zaktualizowanych w przypadku każdego problemu. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Google: jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w tabeli w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Wszystkie”. „Wszystkie” obejmuje te obsługiwane urządzenia: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
- Niektóre urządzenia Google: jeśli problem nie dotyczy wszystkich urządzeń Google, urządzenia, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Google.
- Brak urządzeń Google: jeśli problem nie dotyczy żadnych urządzeń Google z Androidem 7.0, w kolumnie Zaktualizowane urządzenia Google pojawi się komunikat „Brak”.
4. Do czego odnoszą się wpisy w kolumnie „Odwołania”?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w ten sposób:
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Wersje
- 1 maja 2017 r.: opublikowano biuletyn.
- 2 maja 2017 r.: w powiadomieniu uwzględniono linki do AOSP.
- 10 sierpnia 2017 r.: w powiadomieniu uwzględniono dodatkowy link do AOSP w przypadku CVE-2017-0493.
- 17 sierpnia 2017 r.: w komunikatach dokonano poprawek w numerach referencyjnych.
- 3 października 2017 r.: zaktualizowano biuletyn, aby usunąć CVE-2017-0605.