Veröffentlicht am 1. Mai 2017 | Aktualisiert am 3. Oktober 2017
Das Android Security Bulletin enthält Einzelheiten zu Sicherheitslücken, die Android-Geräte betreffen. Parallel zum Bulletin haben wir über ein Over-the-Air-Update (OTA) ein Sicherheitsupdate für Nexus-Geräte veröffentlicht. Die Google-Geräte-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Die Sicherheitspatch-Stufen vom 5. Mai 2017 oder höher beheben alle diese Probleme. Sehen Sie sich den Aktualisierungsplan für Pixel und Nexus an, um zu erfahren, wie Sie den Sicherheitspatch-Level eines Geräts überprüfen können.
Die Partner wurden am 3. April 2017 oder früher über die im Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme wurden im Android Open Source Project (AOSP)-Repository veröffentlicht und in diesem Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Uns liegen keine Berichte über eine aktive Ausbeutung oder einen Missbrauch dieser neu gemeldeten Probleme durch Kunden vor. Weitere Informationen zu den Android-Sicherheitsplattformschutzmaßnahmen und Dienstschutzmaßnahmen wie SafetyNet , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „Abhilfemaßnahmen für Android- und Google-Dienste“.
Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Ankündigungen
- Dieses Bulletin enthält zwei Sicherheitspatch-Level-Strings, um Android-Partnern die Flexibilität zu geben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Häufige Fragen und Antworten :
- 01.05.2017 : Teilweise Sicherheitspatch-Level-Zeichenfolge. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit dem 01.05.2017 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben sind.
- 05.05.2017 : Vollständige Sicherheitspatch-Level-Zeichenfolge. Diese Sicherheitspatch-Level-Zeichenfolge gibt an, dass alle Probleme im Zusammenhang mit 2017-05-01 und 2017-05-05 (und allen vorherigen Sicherheitspatch-Level-Zeichenfolgen) behoben sind.
- Unterstützte Google-Geräte erhalten ein einzelnes OTA-Update mit dem Sicherheitspatch-Level vom 5. Mai 2017.
Abhilfemaßnahmen für Android- und Google-Dienste
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet , die Benutzer vor potenziell schädlichen Anwendungen warnen sollen. „Apps überprüfen“ ist auf Geräten mit Google Mobile Services standardmäßig aktiviert und besonders wichtig für Benutzer, die Anwendungen von außerhalb von Google Play installieren. Geräte-Rooting-Tools sind bei Google Play verboten, aber Verify Apps warnt Benutzer, wenn sie versuchen, eine erkannte Rooting-Anwendung zu installieren – unabhängig davon, woher sie stammt. Darüber hinaus versucht Verify Apps, die Installation bekannter Schadanwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, die erkannte Anwendung zu entfernen.
- Gegebenenfalls leiten Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie Mediaserver weiter.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- ADlab von Venustech: CVE-2017-0630
- Di Shen ( @returnsme ) von KeenLab ( @keen_lab ), Tencent: CVE-2016-10287
- Ecular Xu (徐健) von Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He ( @heeeeen4x ) und Bo Liu vom MS509Team : CVE-2017-0601
- Ethan Yonker vom Team Win Recovery Project : CVE-2017-0493
- Gengjia Chen ( @chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE -2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选@VirtualSeekers ) von Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay von der University of Illinois at Urbana-Champaign : CVE-2017-0593
- Hao Chen und Guang Gong vom Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li und Qiwu Huang von Xiaomi Inc: CVE-2016-10276
- Michał Bednarski : CVE-2017-0598
- Nathan Crandall ( @natecray ) vom Produktsicherheitsteam von Tesla: CVE-2017-0331, CVE-2017-0606
- Niky1235 ( @jiych_guru ): CVE-2017-0603
- Lied von Peng Xiao, Chengming Yang, Ning You, Chao Yang und Yang der Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
- Roee Hay ( @roeehay ) von Aleph Research : CVE-2016-10277
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-10274
- Tong Lin , Yuan-Tsung Lo und Xuxian Jiang vom C0RE-Team : CVE-2016-10291
- Wassili Wassiljew: CVE-2017-0589
- VEO ( @VYSEa ) des Mobile Threat Response Teams , Trend Micro : CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong von der Abteilung für Sicherheitsplattformen von Tencent: CVE-2017-0597
- Xingyuan Lin vom 360 Marvel Team: CVE-2017-0627
- Yong Wang (王勇) ( @ThomasKing2014 ) von Alibaba Inc: CVE-2017-0588
- Yonggang Guo ( @guoygang ) von IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Yu Pan vom Vulpecker-Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan und Peide Zhang vom Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
01.05.2017 Sicherheitspatch-Level – Details zur Sicherheitslücke
In den folgenden Abschnitten stellen wir Details zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2017-05-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit CVE, zugehörigen Referenzen, Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (sofern zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem behoben hat, mit der Fehler-ID, z. B. die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücke zur Remotecodeausführung in Mediaserver
Eine Sicherheitslücke bei der Remotecodeausführung in Mediaserver könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei eine Speicherbeschädigung während der Mediendatei- und Datenverarbeitung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit einer Remote-Codeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4. Januar 2017 |
| CVE-2017-0588 | A-34618607 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21. Januar 2017 |
| CVE-2017-0589 | A-34897036 | Kritisch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1. Februar 2017 |
| CVE-2017-0590 | A-35039946 | Kritisch | Alle | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6. Februar 2017 |
| CVE-2017-0591 | A-34097672 | Kritisch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Google-intern |
| CVE-2017-0592 | A-34970788 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Framework-APIs
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in den Framework-APIs könnte es einer lokalen Schadanwendung ermöglichen, Zugriff auf benutzerdefinierte Berechtigungen zu erhalten. Dieses Problem wird als „Hoch“ eingestuft, da es sich um eine allgemeine Umgehung des Betriebssystemschutzes handelt, der Anwendungsdaten von anderen Anwendungen isoliert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5. Januar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Mediaserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22. Januar 2017 |
| CVE-2017-0595 | A-34705519 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24. Januar 2017 |
| CVE-2017-0596 | A-34749392 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24. Januar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Audioserver
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Audioserver könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da es verwendet werden könnte, um lokalen Zugriff auf erweiterte Funktionen zu erhalten, auf die eine Drittanbieteranwendung normalerweise nicht zugreifen kann.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25. Januar 2017 |
Sicherheitslücke bezüglich der Offenlegung von Informationen in Framework-APIs
Eine Sicherheitslücke bezüglich der Offenlegung von Informationen in den Framework-APIs könnte es einer lokalen Schadanwendung ermöglichen, Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem wird als „Hoch“ eingestuft, da es dazu genutzt werden könnte, Zugriff auf Daten zu erhalten, auf die die Anwendung keinen Zugriff hat.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [ 2 ] | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6. Januar 2017 |
Denial-of-Service-Schwachstelle im Mediaserver
Eine Remote-Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um einen Geräteabsturz oder einen Neustart zu verursachen. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als „Hoher Schweregrad“ eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | Hoch | Alle | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23. Januar 2017 |
| CVE-2017-0600 | A-35269635 | Hoch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth könnte es einer lokalen Schadanwendung möglicherweise ermöglichen, schädliche Dateien, die über Bluetooth geteilt werden, ohne Benutzererlaubnis zu akzeptieren. Dieses Problem wird aufgrund der lokalen Umgehung der Benutzerinteraktionsanforderungen als mittel eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | Mäßig | Alle | 7.0, 7.1.1, 7.1.2 | 9. Februar 2017 |
Sicherheitslücke bei der Offenlegung von Informationen bei der dateibasierten Verschlüsselung
Eine Sicherheitslücke bei der Offenlegung von Informationen in der dateibasierten Verschlüsselung könnte es einem lokalen böswilligen Angreifer ermöglichen, den Schutz des Betriebssystems für den Sperrbildschirm zu umgehen. Dieses Problem wird als mittelschwer eingestuft, da die Möglichkeit besteht, den Sperrbildschirm zu umgehen.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [ 2 ] [ 3 ] | Mäßig | Alle | 7.0, 7.1.1 | 9. November 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in Bluetooth
Eine Sicherheitslücke bei der Offenlegung von Informationen in Bluetooth könnte es einer lokalen Schadanwendung ermöglichen, Betriebssystemschutzmaßnahmen zu umgehen, die Anwendungsdaten von anderen Anwendungen isolieren. Dieses Problem wird aufgrund der für die Schwachstelle spezifischen Details als mittel eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5. Dezember 2016 |
Sicherheitslücke bei der Offenlegung von Informationen in OpenSSL und BoringSSL
Eine Sicherheitslücke zur Offenlegung von Informationen in OpenSSL und BoringSSL könnte einem entfernten Angreifer den Zugriff auf vertrauliche Informationen ermöglichen. Dieses Problem wird aufgrund der für die Schwachstelle spezifischen Details als mittel eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19. Dezember 2016 |
Denial-of-Service-Schwachstelle im Mediaserver
Eine Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um einen Geräteabsturz oder einen Neustart zu verursachen. Dieses Problem wird als mittelschwer eingestuft, da es eine ungewöhnliche Gerätekonfiguration erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | Mäßig | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23. Februar 2017 |
Denial-of-Service-Schwachstelle im Mediaserver
Eine Remote-Denial-of-Service-Schwachstelle in Mediaserver könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um einen Geräteabsturz oder einen Neustart zu verursachen. Dieses Problem wird aufgrund spezifischer Details zur Schwachstelle als „Niedrig“ eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | Niedrig | Alle | 7.0, 7.1.1, 7.1.2 | 16. Februar 2017 |
05.05.2017 Sicherheitspatch-Level – Details zur Sicherheitslücke
In den folgenden Abschnitten stellen wir Details zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2017-05-05 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit CVE, zugehörigen Referenzen, Schweregrad, aktualisierten Google-Geräten, aktualisierten AOSP-Versionen (sofern zutreffend) und dem gemeldeten Datum. Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem behoben hat, mit der Fehler-ID, z. B. die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücke zur Remotecodeausführung in GIFLIB
Eine Sicherheitslücke bezüglich der Remotecodeausführung in GIFLIB könnte es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei eine Speicherbeschädigung während der Mediendatei- und Datenverarbeitung zu verursachen. Dieses Problem wird aufgrund der Möglichkeit einer Remote-Codeausführung im Kontext des Mediaserver-Prozesses als kritisch eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | Kritisch | Alle | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13. April 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Touchscreen-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 | Kritisch | Keiner** | 16. Juli 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Bootloader
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Bootloader könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 | Kritisch | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13. September 2016 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 | Kritisch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16. November 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Sound-Subsystem
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Sound-Subsystem könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 Upstream-Kernel | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3. Dezember 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Motorola-Bootloader
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Motorola-Bootloader könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Bootloaders auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* | Kritisch | Nexus 6 | 21. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im NVIDIA-Grafiktreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im NVIDIA-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 | Kritisch | Nexus 9 | 4. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Stromtreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Qualcomm-Power-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer lokalen dauerhaften Gerätekompromittierung besteht, die möglicherweise ein erneutes Flashen des Betriebssystems zur Reparatur des Geräts erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 | Kritisch | Keiner* | 15. Februar 2017 |
* Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücken in Qualcomm-Komponenten
Diese Schwachstellen betreffen Qualcomm-Komponenten und werden in den Qualcomm AMSS-Sicherheitsbulletins August, September, Oktober und Dezember 2016 ausführlicher beschrieben.
| CVE | Verweise | Schwere* | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 | Kritisch | Nexus 6P | Qualcomm-intern |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 | Kritisch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Qualcomm-intern |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 | Hoch | Pixel, Pixel XL | Qualcomm-intern |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 | Hoch | Pixel, Pixel XL | Qualcomm-intern |
* Der Schweregrad dieser Schwachstellen wurde vom Anbieter festgelegt.
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke zur Remotecodeausführung in libxml2
Eine Sicherheitslücke bezüglich Remotecodeausführung in libxml2 könnte es einem Angreifer ermöglichen, eine speziell gestaltete Datei zu verwenden, um beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen. Dieses Problem wird als „Hoch“ eingestuft, da die Möglichkeit einer Remotecodeausführung in einer Anwendung besteht, die diese Bibliothek verwendet.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Aktualisierte AOSP-Versionen | Datum gemeldet |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | Hoch | Keiner** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23. Juli 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Thermaltreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Thermaltreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 | Hoch | Keiner** | 11. April 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 | Hoch | Keiner** | 11. April 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 | Hoch | Keiner** | 27. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Wi-Fi-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 | Hoch | Nexus 5X, Pixel, Pixel XL, Android One | 11. Okt. 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Grafiktreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24. Okt. 2016 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 | Hoch | Pixel, Pixel XL | 19. Dezember 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 | Hoch | Pixel, Pixel XL | 15. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Leistungssubsystem
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Leistungssubsystem könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 Upstream-Kernel | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23. November 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Soundtreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Soundtreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20. Dezember 2016 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3. Januar 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 | Hoch | Pixel, Pixel XL | 22. Januar 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 | Hoch | Keiner* | 15. Februar 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 | Hoch | Pixel, Pixel XL | 15. Februar 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 | Hoch | Keiner* | 15. Februar 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 | Hoch | Keiner* | 15. Februar 2017 |
* Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-LED-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm LED-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 | Hoch | Pixel, Pixel XL | 23. Dezember 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Kryptotreiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Qualcomm-Kryptotreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24. Dezember 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Shared-Memory-Treiber von Qualcomm
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Shared-Memory-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24. Dezember 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Slimbus-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Slimbus-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31. Dezember 2016 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm ADSPRPC-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm ADSPRPC-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 | Hoch | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5. Januar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Secure Execution Environment Communicator-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Secure Execution Environment Communicator-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 | Hoch | Pixel, Pixel XL | 10. Januar 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Power-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Power-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 | Hoch | Keiner** | 12. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Systemverwaltungs-Interrupt-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Systemverwaltungs-Interrupt-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 | Hoch | Keiner** | 19. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Grafiktreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Grafiktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 | Hoch | Keiner** | 19. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Befehlswarteschlangentreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im MediaTek-Befehlswarteschlangentreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 | Hoch | Keiner** | 7. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Pin-Controller-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Pin-Controller-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 | Hoch | Nexus 6, Android One | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Secure Channel Manager-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm Secure Channel Manager-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Sound-Codec-Treiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Sound-Codec-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 | Hoch | Pixel, Pixel XL | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Spannungsreglertreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Spannungsreglertreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 Upstream-Kernel | Hoch | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Kameratreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Kameratreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 | Hoch | Android One | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Netzwerktreiber
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Qualcomm-Netzwerktreiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 | Hoch | Nexus 5X, Pixel, Pixel XL | 15. Februar 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Netzwerk-Subsystem
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Kernel-Netzwerksubsystem könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 Upstream-Kernel [2] | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | 23. März 2017 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Goodix-Touchscreen-Treiber
Eine Sicherheitslücke zur Erhöhung von Berechtigungen im Goodix-Touchscreen-Treiber könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Kernels auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 | Hoch | Android One | Google-intern |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im HTC-Bootloader
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im HTC-Bootloader könnte es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext des Bootloaders auszuführen. Dieses Problem wird als hoch eingestuft, da es zunächst die Kompromittierung eines privilegierten Prozesses erfordert.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* | Hoch | Pixel, Pixel XL | Google-intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bei der Offenlegung von Informationen im Qualcomm Wi-Fi-Treiber
Eine Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-WLAN-Treiber könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Hoch“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 | Hoch | Nexus 5X, Pixel, Pixel XL | 16. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Offenlegung von Informationen im MediaTek-Befehlswarteschlangentreiber
Eine Sicherheitslücke zur Offenlegung von Informationen im MediaTek-Befehlswarteschlangentreiber könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Hoch“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 | Hoch | Keiner** | 8. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
** Unterstützte Google-Geräte mit Android 7.1.1 oder höher, auf denen alle verfügbaren Updates installiert sind, sind von dieser Sicherheitslücke nicht betroffen.
Sicherheitslücke bezüglich der Offenlegung von Informationen im Qualcomm-Krypto-Engine-Treiber
Eine Sicherheitslücke zur Offenlegung von Informationen im Qualcomm-Krypto-Engine-Treiber könnte es einer lokalen Schadanwendung ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen. Dieses Problem wird als „Hoch“ eingestuft, da es zum Zugriff auf vertrauliche Daten ohne ausdrückliche Benutzererlaubnis verwendet werden könnte.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 | Hoch | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15. Februar 2017 |
Denial-of-Service-Schwachstelle im Qualcomm Wi-Fi-Treiber
Eine Denial-of-Service-Schwachstelle im Qualcomm Wi-Fi-Treiber könnte es einem Angreifer in der Nähe ermöglichen, einen Denial-of-Service im Wi-Fi-Subsystem auszulösen. Dieses Problem wird aufgrund der Möglichkeit eines Remote-Denial-of-Service als „Hoch“ eingestuft.
| CVE | Verweise | Schwere | Aktualisierte Google-Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 | Hoch | Nexus 5X, Pixel, Pixel XL | 16. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Offenlegung von Informationen im Kernel-UVC-Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Kernel -UVC -Treiber könnte es einer lokalen böswilligen Anwendung ermöglichen, außerhalb der Berechtigungsstufen auf Daten zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* | Mäßig | Nexus 5x, Nexus 6p, Nexus 9, Pixel C, Nexus -Spieler | 2. Dezember 2016 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus -Geräte enthalten, die auf der Google Developer -Website verfügbar sind.
Anfälligkeit für Information Offenlegung im Qualcomm -Videotreiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm -Video -Treiber könnte es einer bösartigen Anwendung lokaler Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 | Mäßig | Nexus 5x, Nexus 6p, Android One | 4. Dezember 2016 |
Anfälligkeit für Information Offenlegung im Qualcomm -Stromtreiber (Gerätspezifisches)
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm Power -Treiber könnte es einer bösartigen Anwendung lokaler Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 | Mäßig | Nexus 5x, Nexus 6p, Pixel, Pixel XL | 14. Dezember 2016 |
Anfälligkeit für Information Offenlegung im qualcomm -LED -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im qualifizierten Treiber könnte es einer bösartigen Anwendung lokaler Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 | Mäßig | Pixel, Pixel XL | 20. Dezember 2016 |
Anfälligkeit für Information Offenlegung in qualcomm Shared Memory Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm Shared Memory -Treiber könnte es einer lokalen böswilligen Anwendung ermöglichen, außerhalb der Berechtigungsstufen auf Daten zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 | Mäßig | Nexus 5x, Nexus 6p, Pixel, Pixel XL, Android One | 22. Dezember 2016 |
Anfälligkeit für Informationen zur Offenlegung von Informationen im Qualcomm -Kamera -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm -Kamera -Treiber kann es einer bösartigen Anwendung lokaler Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 | Mäßig | Nexus 5x, Nexus 6, Pixel, Pixel XL | 10. Januar 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 | Mäßig | Nexus 5x, Nexus 6, Pixel, Pixel XL | 8. Februar 2017 |
Anfälligkeit für Information Offenlegung im Kernel -Trace -Subsystem
Eine Anfälligkeit für die Offenlegung von Informationen im Kernel -Trace -Subsystem könnte es einer lokalen böswilligen Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* | Mäßig | Nexus 5x, Nexus 6, Nexus 6p, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11. Januar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus -Geräte enthalten, die auf der Google Developer -Website verfügbar sind.
Anfälligkeit für Information Offenlegung im Qualcomm Sound Codec -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm Sound Codec -Treiber könnte es einer lokalen böswilligen Anwendung ermöglichen, außerhalb der Berechtigungsstufen auf Daten zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] | Mäßig | Nexus 5x, Nexus 6, Nexus 6p, Pixel, Pixel XL, Android One | 15. Februar 2017 |
Anfälligkeit für Informationen zur Offenlegung von Informationen im Qualcomm -Kamera -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm -Kamera -Treiber kann es einer bösartigen Anwendung lokaler Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 | Mäßig | Nexus 5x, Nexus 6p, Pixel, Pixel XL, Android One | 15. Februar 2017 |
Anfälligkeit für Information Offenlegung im Qualcomm Sound Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm Sound -Treiber kann es einer bösartigen Anwendung lokaler Anwendung ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 | Mäßig | Nexus 5x, Nexus 6, Nexus 6p, Pixel, Pixel XL, Android One | 15. Februar 2017 |
Anfälligkeit für Information Offenlegung im Qualcomm SPCOM -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm SPCOM -Treiber könnte es einer lokalen böswilligen Anwendung ermöglichen, außerhalb der Berechtigungsstufen auf Daten zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 | Mäßig | Keiner* | 15. Februar 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 | Mäßig | Keiner* | 15. Februar 2017 |
* Unterstützte Google -Geräte auf Android 7.1.1 oder später, die alle verfügbaren Updates installiert haben, sind nicht von dieser Sicherheitsanfälligkeit beeinflusst.
Anfälligkeit für Information Offenlegung im Qualcomm Sound Codec -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Qualcomm Sound Codec -Treiber könnte es einer lokalen böswilligen Anwendung ermöglichen, außerhalb der Berechtigungsstufen auf Daten zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 | Mäßig | Android eins | 15. Februar 2017 |
Anfälligkeit für Information Offenlegung im Broadcom Wi-Fi-Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Broadcom-Wi-Fi-Treiber könnte es einer lokalen böswilligen Komponente ermöglichen, auf Daten außerhalb der Berechtigungsstufen zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 | Mäßig | Nexus 6, Nexus 6p, Nexus 9, Pixel C, Nexus -Spieler | 23. Februar 2017 |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus -Geräte enthalten, die auf der Google Developer -Website verfügbar sind.
Anfälligkeit für Information Offenlegung im Synaptics -Touchscreen -Treiber
Eine Anfälligkeit für die Offenlegung von Informationen im Synaptics -Touchscreen -Treiber könnte es einer lokalen böswilligen Anwendung ermöglichen, außerhalb der Berechtigungsstufen auf Daten zuzugreifen. Dieses Problem wird als moderat eingestuft, da es zunächst einen privilegierten Prozess beeinträchtigt.
| CVE | Verweise | Schwere | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* | Mäßig | Pixel, Pixel XL | Google intern |
* Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus -Geräte enthalten, die auf der Google Developer -Website verfügbar sind.
Schwachstellen in Qualcomm -Komponenten
Diese Schwachstellen, die Qualcomm -Komponenten betreffen, wurden zwischen 2014 und 2016 im Rahmen von Qualcomm AMSS -Sicherheitsbulletins veröffentlicht. Sie sind in diesem Android Security Bulletin enthalten, um ihre Korrekturen mit einem Android -Sicherheitspatch -Level zu verbinden.
| CVE | Verweise | Schwere* | Aktualisierte Google -Geräte | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9924 | A-35434631 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9925 | A-35444657 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9926 | A-35433784 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9927 | A-35433785 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9928 | A-35438623 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9929 | A-35443954 ** QC-CR#644783 | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9930 | A-35432946 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2015-9005 | A-36393500 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2015-9006 | A-36393450 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2015-9007 | A-36393700 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2016-10297 | A-36393451 ** | Kritisch | Keiner*** | Qualcomm intern |
| CVE-2014-9941 | A-36385125 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9942 | A-36385319 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9943 | A-36385219 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9944 | A-36384534 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9945 | A-36386912 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9946 | A-36385281 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9947 | A-36392400 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9948 | A-36385126 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9949 | A-36390608 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9950 | A-36385321 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9951 | A-36389161 ** | Hoch | Keiner*** | Qualcomm intern |
| CVE-2014-9952 | A-36387019 ** | Hoch | Keiner*** | Qualcomm intern |
* Die Schwere für diese Schwachstellen wurde vom Anbieter bestimmt.
** Der Patch für dieses Problem ist nicht öffentlich verfügbar. Das Update ist in den neuesten binären Treibern für Nexus -Geräte enthalten, die auf der Google Developer -Website verfügbar sind.
*** unterstützte Google -Geräte auf Android 7.1.1 oder später, die alle verfügbaren Updates installiert haben, die nicht von dieser Sicherheitsanfälligkeit beeinflusst werden.
Häufige Fragen und Antworten
In diesem Abschnitt werden häufige Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Um zu erfahren, wie Sie den Sicherheitspatch-Level eines Geräts überprüfen können, lesen Sie die Anweisungen im Update-Zeitplan für Pixel und Nexus .
- Sicherheitspatchstufen von 2017-05-01 oder später werden alle mit der Level 2017-05-01 im Zusammenhang mit der Level 2017-05-01 verbundenen Probleme angesprochen.
- Sicherheitspatchstufen des 2017-05-05 oder später alle Probleme, die mit der Sicherheits-Patch-Ebene 2017-05-05 und allen vorherigen Patch-Levels verbunden sind.
Gerätehersteller, die diese Updates einbinden, sollten die Patch-String-Ebene auf Folgendes festlegen:
- [ro.build.version.security_patch]: [2017-05-01]
- [ro.build.version.security_patch]: [2017-05-05]
2. Warum gibt es in diesem Bulletin zwei Sicherheitspatch-Stufen?
Dieses Bulletin verfügt über zwei Sicherheitspatchstufen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Android-Partner werden aufgefordert, alle in diesem Bulletin genannten Probleme zu beheben und die neueste Sicherheitspatch-Stufe zu verwenden.
- Geräte, die die Sicherheits -Patch -Ebene vom 01. Mai 2017 verwenden, müssen alle Probleme mit dieser Sicherheitspatch -Ebene sowie Korrekturen für alle in früheren Sicherheitsbulletins gemeldeten Themen enthalten.
- Geräte, die die Sicherheitspatchstufe von Mai, 2017 oder neuer verwenden, müssen alle anwendbaren Patches in diese (und früheren) Sicherheitsbulletins enthalten.
Partnern wird empfohlen, die Fixes für alle Probleme, die sie beheben, in einem einzigen Update zu bündeln.
3. Wie stelle ich fest, welche Google -Geräte von jedem Problem betroffen sind?
In den Abschnitten für Sicherheitsanfälligkeitsdetails der Sicherheitsanfälligkeit 2017-01 und 2017-05-05 enthält jede Tabelle eine aktualisierte Spalte von Google Devices , in der der Bereich der betroffenen Google-Geräte abdeckt, die für jedes Problem aktualisiert wurden. Diese Spalte hat einige Optionen:
- Alle Google -Geräte : Wenn ein Problem alle und Pixel -Geräte betrifft, hat die Tabelle in der Spalte Google Devices "alle" "alle". "Alle" verkauft die folgenden unterstützten Geräte : Nexus 5x, Nexus 6, Nexus 6p, Nexus 9, Android One, Nexus Player, Pixel C, Pixel und Pixel XL.
- Einige Google -Geräte : Wenn sich ein Problem nicht auf alle Google -Geräte auswirkt, sind die betroffenen Google -Geräte in der Spalte Google Devices aufgeführt.
- Keine Google -Geräte : Wenn keine Google -Geräte von Android 7.0 von dem Problem betroffen sind, hat die Tabelle in der Spalte von Google Devices "keine".
4. Was sind die Einträge in der Spaltenkarte der Referenzen?
Einträge in der Spalte „Referenzen“ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation identifiziert, zu der der Referenzwert gehört. Diese Präfixe karten wie folgt:
| Präfix | Referenz |
|---|---|
| A- | Android-Fehler-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
Überarbeitungen
- 01. Mai 2017: Bulletin veröffentlicht.
- 02. Mai 2017: Bulletin überarbeitet, um AOSP -Links einzuschließen.
- 10. August 2017: Bulletin überarbeitet, um einen zusätzlichen AOSP-Link für CVE-2017-0493 aufzunehmen.
- 17. August 2017: Bulletin überarbeitet, um Referenznummern zu aktualisieren.
- 03. Oktober 2017: Bulletin überarbeitet, um CVE-2017-0605 zu entfernen.