Опубликовано 1 мая 2017 г. | Обновлено 3 октября 2017 г.
Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Одновременно с этим бюллетенем мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA). Образы прошивки устройства Google также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 5 мая 2017 г. или более поздние устраняют все эти проблемы. Ознакомьтесь с расписанием обновлений Pixel и Nexus , чтобы узнать, как проверить уровень исправлений безопасности устройства.
Партнеры были уведомлены о проблемах, описанных в бюллетене, 3 апреля 2017 года или ранее. Исправления исходного кода для устранения этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и ссылки на них можно найти в этом бюллетене. Этот бюллетень также содержит ссылки на исправления, не входящие в AOSP.
Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.
У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet , которые повышают безопасность платформы Android, см. в разделе «Средства снижения рисков для Android и служб Google».
Мы рекомендуем всем клиентам принять эти обновления на свои устройства.
Объявления
- В этом бюллетене есть две строки уровня исправлений безопасности, которые предоставляют партнерам Android возможность более быстро устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Дополнительные сведения см. в разделе «Общие вопросы и ответы» :
- 01.05.2017 : Строка уровня частичного исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 мая 2017 г. (и все предыдущие строки уровня исправления безопасности), устранены.
- 05.05.2017 : Полная строка уровня исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01.05.2017 и 05.05.2017 (и все предыдущие строки уровня исправления безопасности), устранены.
- Поддерживаемые устройства Google получат одно OTA-обновление с уровнем исправления безопасности от 5 мая 2017 года.
Меры по смягчению последствий для Android и сервисов Google
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet , которые предназначены для предупреждения пользователей о потенциально вредных приложениях . Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования — независимо от того, откуда оно получено. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как Mediaserver.
Благодарности
Мы хотели бы поблагодарить этих исследователей за их вклад:
- ADlab компании Venustech: CVE-2017-0630.
- Ди Шен ( @returnsme ) из KeenLab ( @keen_lab ), Tencent: CVE-2016-10287
- Экуляр Сюй (徐健) из Trend Micro: CVE-2017-0599, CVE-2017-0635.
- Эн Хэ ( @heeeeen4x ) и Бо Лю из MS509Team : CVE-2017-0601
- Итан Йонкер из проекта Team Win Recovery : CVE-2017-0493.
- Гэнцзя Чен ( @chengjia4574 ) и сотрудник IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE. -2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296.
- Годжэн (郑文选@VirtualSeekers ) из Tencent PC Manager: CVE-2017-0602
- Гюлиз Серай Тункай из Университета Иллинойса в Урбана-Шампейн : CVE-2017-0593.
- Хао Чен и Гуан Гун из команды Alpha, Qihoo 360 Technology Co. Ltd: CVE-2016-10283.
- Джуху Не, Ян Ченг, Нань Ли и Циву Хуан из Xiaomi Inc: CVE-2016-10276.
- Михал Беднарский : CVE-2017-0598.
- Натан Крэндалл ( @natecray ) из группы безопасности продуктов Tesla: CVE-2017-0331, CVE-2017-0606.
- Niky1235 ( @jiych_guru ): CVE-2017-0603
- Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и песня Ян из Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
- Рои Хэй ( @roeehay ) из Aleph Research : CVE-2016-10277
- Скотт Бауэр ( @ScottyBauer1 ): CVE-2016-10274
- Тонг Линь , Юань-Цунг Ло и Сюсянь Цзян из команды C0RE : CVE-2016-10291.
- Василий Васильев: CVE-2017-0589.
- VEO ( @VYSEa ) из группы реагирования на мобильные угрозы , Trend Micro : CVE-2017-0590, CVE-2017-0587, CVE-2017-0600.
- Силин Гонг из отдела платформы безопасности Tencent: CVE-2017-0597.
- Синъюань Линь из 360 Marvel Team: CVE-2017-0627.
- Юн Ван (王勇) ( @ThomasKing2014 ) из Alibaba Inc: CVE-2017-0588
- Юнган Го ( @guoygang ) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465.
- Ю Пан из команды Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615.
- Ю Пан и Пейде Чжан из команды Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625.
Уровень исправления безопасности от 01 мая 2017 г. — Подробности об уязвимости
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-05-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода в Mediaserver
Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки мультимедийных файлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0587 | А-35219737 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 января 2017 г. |
| CVE-2017-0588 | А-34618607 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 января 2017 г. |
| CVE-2017-0589 | А-34897036 | Критический | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1 февраля 2017 г. |
| CVE-2017-0590 | А-35039946 | Критический | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 февраля 2017 г. |
| CVE-2017-0591 | А-34097672 | Критический | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Внутренний Google |
| CVE-2017-0592 | А-34970788 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Внутренний Google |
Повышение привилегий через API Framework
Уязвимость, связанная с несанкционированным повышением привилегий в API-интерфейсах Framework, может позволить локальному вредоносному приложению получить доступ к настраиваемым разрешениям. Этой проблеме присвоен высокий уровень, поскольку это общий обход средств защиты операционной системы, которые изолируют данные приложений от других приложений.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0593 | А-34114230 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 января 2017 г. |
Повышение привилегий через уязвимость в Mediaserver
Уязвимость, связанная с повышением привилегий в Mediaserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0594 | А-34617444 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 января 2017 г. |
| CVE-2017-0595 | А-34705519 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 января 2017 г. |
| CVE-2017-0596 | А-34749392 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 января 2017 г. |
Повышение привилегий через уязвимость в Audioserver
Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0597 | А-34749571 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 января 2017 г. |
Уязвимость раскрытия информации в API Framework
Уязвимость раскрытия информации в API-интерфейсах Framework может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0598 | А-34128677 [ 2 ] | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 января 2017 г. |
Уязвимость отказа в обслуживании в Mediaserver
Уязвимость удаленного отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен высокий уровень серьезности из-за возможности удаленного отказа в обслуживании.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0599 | А-34672748 | Высокий | Все | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 января 2017 г. |
| CVE-2017-0600 | А-35269635 | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 февраля 2017 г. |
Повышение привилегий через Bluetooth
Уязвимость, связанная с несанкционированным повышением привилегий в Bluetooth, потенциально может позволить локальному вредоносному приложению принимать вредоносные файлы, передаваемые через Bluetooth, без разрешения пользователя. Этой проблеме присвоен средний уровень серьезности из-за локального обхода требований взаимодействия с пользователем.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0601 | А-35258579 | Умеренный | Все | 7.0, 7.1.1, 7.1.2 | 9 февраля 2017 г. |
Уязвимость раскрытия информации при файловом шифровании
Уязвимость раскрытия информации в файловом шифровании может позволить локальному злоумышленнику обойти защиту операционной системы для экрана блокировки. Проблеме присвоен средний уровень серьезности из-за возможности обхода экрана блокировки.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0493 | А-32793550 [ 2 ] [ 3 ] | Умеренный | Все | 7.0, 7.1.1 | 9 ноября 2016 г. |
Уязвимость раскрытия информации в Bluetooth
Уязвимость раскрытия информации в Bluetooth может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений. Этой проблеме присвоен средний уровень серьезности из-за подробностей, касающихся уязвимости.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0602 | А-34946955 | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 декабря 2016 г. |
Уязвимость раскрытия информации в OpenSSL и BoringSSL
Уязвимость раскрытия информации в OpenSSL и BoringSSL может позволить удаленному злоумышленнику получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности из-за подробностей, касающихся уязвимости.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-7056 | А-33752052 | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 декабря 2016 г. |
Уязвимость отказа в обслуживании в Mediaserver
Уязвимость отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен средний уровень серьезности, поскольку она требует необычной конфигурации устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0603 | А-35763994 | Умеренный | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 февраля 2017 г. |
Уязвимость отказа в обслуживании в Mediaserver
Уязвимость удаленного отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен низкий уровень из-за подробностей, касающихся уязвимости.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2017-0635 | А-35467107 | Низкий | Все | 7.0, 7.1.1, 7.1.2 | 16 февраля 2017 г. |
Уровень исправления безопасности от 05 мая 2017 г. — Подробности об уязвимости
В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-05-05. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.
Уязвимость удаленного выполнения кода в GIFLIB
Уязвимость удаленного выполнения кода в GIFLIB может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки медиафайлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2015-7555 | А-34697653 | Критический | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 апреля 2016 г. |
Повышение привилегий через драйвер сенсорного экрана MediaTek
Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10274 | А-30202412* М-ALPS02897901 | Критический | Никто** | 16 июля 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через загрузчик Qualcomm
Уязвимость, связанная с несанкционированным повышением привилегий в загрузчике Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10275 | А-34514954 КК-CR#1009111 | Критический | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13 сентября 2016 г. |
| CVE-2016-10276 | А-32952839 КК-CR#1094105 | Критический | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16 ноября 2016 г. |
Повышение привилегий через звуковую подсистему ядра
Уязвимость, связанная с несанкционированным повышением привилегий в звуковой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-9794 | А-34068036 Вышестоящее ядро | Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3 декабря 2016 г. |
Повышение привилегий через загрузчик Motorola
Уязвимость, связанная с несанкционированным повышением привилегий в загрузчике Motorola, может позволить локальному вредоносному приложению выполнить произвольный код в контексте загрузчика. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10277 | А-33840490* | Критический | Нексус 6 | 21 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через видеодрайвер NVIDIA
Уязвимость, связанная с повышением привилегий в видеодрайвере NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0331 | А-34113000* Н-CVE-2017-0331 | Критический | Нексус 9 | 4 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через драйвер питания Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере питания Qualcomm ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0604 | А-35392981 КК-CR#826589 | Критический | Никто* | 15 февраля 2017 г. |
* Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Уязвимости в компонентах Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm и более подробно описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 г.
| CVE | Рекомендации | Строгость* | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10240 | А-32578446** КК-CR#955710 | Критический | Нексус 6П | Внутренний Qualcomm |
| CVE-2016-10241 | А-35436149** КК-CR#1068577 | Критический | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Внутренний Qualcomm |
| CVE-2016-10278 | А-31624008** КК-CR#1043004 | Высокий | Пиксель, Пиксель XL | Внутренний Qualcomm |
| CVE-2016-10279 | А-31624421** КК-CR#1031821 | Высокий | Пиксель, Пиксель XL | Внутренний Qualcomm |
* Уровень серьезности этих уязвимостей определен поставщиком.
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость удаленного выполнения кода в libxml2
Уязвимость удаленного выполнения кода в libxml2 может позволить злоумышленнику использовать специально созданный файл для выполнения произвольного кода в контексте непривилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения |
|---|---|---|---|---|---|
| CVE-2016-5131 | А-32956747* | Высокий | Никто** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 июля 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через термодрайвер MediaTek
Уязвимость, связанная с повышением привилегий в тепловом драйвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10280 | А-28175767* М-АЛПС02696445 | Высокий | Никто** | 11 апреля 2016 г. |
| CVE-2016-10281 | А-28175647* М-АЛПС02696475 | Высокий | Никто** | 11 апреля 2016 г. |
| CVE-2016-10282 | А-33939045* М-ALPS03149189 | Высокий | Никто** | 27 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер Qualcomm Wi-Fi
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10283 | А-32094986 КК-CR#2002052 | Высокий | Nexus 5X, Pixel, Pixel XL, Android One | 11 октября 2016 г. |
Повышение привилегий через видеодрайвер Qualcomm
Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10284 | А-32402303* КК-CR#2000664 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 октября 2016 г. |
| CVE-2016-10285 | А-33752702 КК-CR#1104899 | Высокий | Пиксель, Пиксель XL | 19 декабря 2016 г. |
| CVE-2016-10286 | А-35400904 КК-CR#1090237 | Высокий | Пиксель, Пиксель XL | 15 февраля 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Повышение привилегий через подсистему производительности ядра
Уязвимость, связанная с несанкционированным повышением привилегий в подсистеме производительности ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2015-9004 | А-34515362 Вышестоящее ядро | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23 ноября 2016 г. |
Повышение привилегий через звуковой драйвер Qualcomm
Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10287 | А-33784446 КК-CR#1112751 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20 декабря 2016 г. |
| CVE-2017-0606 | А-34088848 КК-CR#1116015 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3 января 2017 г. |
| CVE-2016-5860 | А-34623424 КК-CR#1100682 | Высокий | Пиксель, Пиксель XL | 22 января 2017 г. |
| CVE-2016-5867 | А-35400602 КК-CR#1095947 | Высокий | Никто* | 15 февраля 2017 г. |
| CVE-2017-0607 | А-35400551 КК-CR#1085928 | Высокий | Пиксель, Пиксель XL | 15 февраля 2017 г. |
| CVE-2017-0608 | А-35400458 КК-CR#1098363 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2017-0609 | А-35399801 КК-CR#1090482 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2016-5859 | А-35399758 КК-CR#1096672 | Высокий | Никто* | 15 февраля 2017 г. |
| CVE-2017-0610 | А-35399404 КК-CR#1094852 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2017-0611 | А-35393841 КК-CR#1084210 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2016-5853 | А-35392629 КК-CR#1102987 | Высокий | Никто* | 15 февраля 2017 г. |
* Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер Qualcomm LED
Уязвимость, связанная с повышением привилегий в драйвере светодиода Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10288 | А-33863909 КК-CR#1109763 | Высокий | Пиксель, Пиксель XL | 23 декабря 2016 г. |
Повышение привилегий через криптодрайвер Qualcomm
Уязвимость, связанная с повышением привилегий в криптодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10289 | А-33899710 КК-CR#1116295 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 декабря 2016 г. |
Повышение привилегий через драйвер общей памяти Qualcomm
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере общей памяти Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10290 | А-33898330 КК-CR#1109782 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24 декабря 2016 г. |
Повышение привилегий через драйвер Qualcomm Slimbus
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm Slimbus, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10291 | А-34030871 КК-CR#986837 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31 декабря 2016 г. |
Повышение привилегий через драйвер Qualcomm ADSPRPC
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm ADSPRPC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0465 | А-34112914 КК-CR#1110747 | Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5 января 2017 г. |
Повышение привилегий через драйвер Qualcomm Secure Execution Environment Communicator
Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm Secure Execution Environment Communicator, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0612 | А-34389303 КК-CR#1061845 | Высокий | Пиксель, Пиксель XL | 10 января 2017 г. |
| CVE-2017-0613 | А-35400457 КК-CR#1086140 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
| CVE-2017-0614 | А-35399405 КК-CR#1080290 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Повышение привилегий через драйвер питания MediaTek
Уязвимость, связанная с повышением привилегий в драйвере питания MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0615 | А-34259126* М-ALPS03150278 | Высокий | Никто** | 12 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер прерывания управления системой MediaTek
Уязвимость, связанная с повышением привилегий в драйвере прерывания управления системой MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0616 | А-34470286* М-ALPS03149160 | Высокий | Никто** | 19 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через видеодрайвер MediaTek
Уязвимость, связанная с повышением привилегий в видеодрайвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0617 | А-34471002* М-ALPS03149173 | Высокий | Никто** | 19 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер очереди команд MediaTek
Уязвимость, связанная с повышением привилегий в драйвере очереди команд MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0618 | А-35100728* М-ALPS03161536 | Высокий | Никто** | 7 февраля 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Повышение привилегий через драйвер контроллера контактов Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере контроллера контактов Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0619 | А-35401152 КК-CR#826566 | Высокий | Нексус 6, Android One | 15 февраля 2017 г. |
Повышение привилегий через драйвер Qualcomm Secure Channel Manager
Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Secure Channel Manager, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0620 | А-35401052 КК-CR#1081711 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Повышение привилегий через драйвер звукового кодека Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере звукового кодека Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5862 | А-35399803 КК-CR#1099607 | Высокий | Пиксель, Пиксель XL | 15 февраля 2017 г. |
Повышение привилегий через драйвер регулятора напряжения ядра
Уязвимость, связанная с повышением привилегий в драйвере регулятора напряжения ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-9940 | А-35399757 Вышестоящее ядро | Высокий | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15 февраля 2017 г. |
Повышение привилегий через драйвер камеры Qualcomm
Уязвимость, связанная с повышением привилегий в драйвере камеры Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0621 | А-35399703 КК-CR#831322 | Высокий | Андроид Один | 15 февраля 2017 г. |
Повышение привилегий через сетевой драйвер Qualcomm
Уязвимость, связанная с несанкционированным повышением привилегий в сетевом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5868 | А-35392791 КК-CR#1104431 | Высокий | Нексус 5X, Пиксель, Пиксель XL | 15 февраля 2017 г. |
Повышение привилегий через сетевую подсистему ядра
Уязвимость, связанная с несанкционированным повышением привилегий в сетевой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-7184 | А-36565222 Вышестоящее ядро [2] | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | 23 марта 2017 г. |
Повышение привилегий через драйвер сенсорного экрана Goodix
Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана Goodix, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0622 | А-32749036 КК-CR#1098602 | Высокий | Андроид Один | Внутренний Google |
Повышение привилегий через загрузчик HTC
Уязвимость, связанная с несанкционированным повышением привилегий в загрузчике HTC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте загрузчика. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0623 | А-32512358* | Высокий | Пиксель, Пиксель XL | Внутренний Google |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi
Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0624 | А-34327795* КК-CR#2005832 | Высокий | Нексус 5X, Пиксель, Пиксель XL | 16 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере очереди команд MediaTek
Уязвимость раскрытия информации в драйвере очереди команд MediaTek может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0625 | А-35142799* М-ALPS03161531 | Высокий | Никто** | 8 февраля 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Уязвимость раскрытия информации в драйвере криптографического движка Qualcomm
Уязвимость раскрытия информации в драйвере криптографического механизма Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0626 | А-35393124 КК-CR#1088050 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi
Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi может позволить злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10292 | А-34514463* КК-CR#1065466 | Высокий | Нексус 5X, Пиксель, Пиксель XL | 16 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере UVC ядра
Уязвимость раскрытия информации в драйвере UVC ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0627 | А-33300353* | Умеренный | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2 декабря 2016 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в видеодрайвере Qualcomm
Уязвимость раскрытия информации в видеодрайвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10293 | А-33352393 КК-CR#1101943 | Умеренный | Nexus 5X, Nexus 6P, Android One | 4 декабря 2016 г. |
Уязвимость раскрытия информации в драйвере питания Qualcomm (зависит от устройства)
Уязвимость раскрытия информации в драйвере питания Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10294 | А-33621829 КК-CR#1105481 | Умеренный | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 14 декабря 2016 г. |
Уязвимость раскрытия информации в светодиодном драйвере Qualcomm
Уязвимость раскрытия информации в светодиодном драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10295 | А-33781694 КК-CR#1109326 | Умеренный | Пиксель, Пиксель XL | 20 декабря 2016 г. |
Уязвимость раскрытия информации в драйвере общей памяти Qualcomm
Уязвимость раскрытия информации в драйвере общей памяти Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-10296 | А-33845464 КК-CR#1109782 | Умеренный | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 22 декабря 2016 г. |
Уязвимость раскрытия информации в драйвере камеры Qualcomm
Уязвимость раскрытия информации в драйвере камеры Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0628 | А-34230377 КК-CR#1086833 | Умеренный | Nexus 5X, Nexus 6, Pixel, Pixel XL | 10 января 2017 г. |
| CVE-2017-0629 | А-35214296 КК-CR#1086833 | Умеренный | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8 февраля 2017 г. |
Уязвимость раскрытия информации в подсистеме трассировки ядра
Уязвимость раскрытия информации в подсистеме трассировки ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0630 | А-34277115* | Умеренный | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11 января 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm
Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5858 | А-35400153 КК-CR#1096799 [2] | Умеренный | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Уязвимость раскрытия информации в драйвере камеры Qualcomm
Уязвимость раскрытия информации в драйвере камеры Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0631 | А-35399756 КК-CR#1093232 | Умеренный | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Уязвимость раскрытия информации в звуковом драйвере Qualcomm
Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5347 | А-35394329 КК-CR#1100878 | Умеренный | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 февраля 2017 г. |
Уязвимость раскрытия информации в драйвере Qualcomm SPCom
Уязвимость раскрытия информации в драйвере Qualcomm SPCom может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2016-5854 | А-35392792 КК-CR#1092683 | Умеренный | Никто* | 15 февраля 2017 г. |
| CVE-2016-5855 | А-35393081 КК-CR#1094143 | Умеренный | Никто* | 15 февраля 2017 г. |
* Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm
Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0632 | А-35392586 КК-CR#832915 | Умеренный | Андроид Один | 15 февраля 2017 г. |
Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi
Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi может позволить локальному вредоносному компоненту получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0633 | А-36000515* Б-РБ#117131 | Умеренный | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 23 февраля 2017 г. |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимость раскрытия информации в драйвере сенсорного экрана Synaptics
Уязвимость раскрытия информации в драйвере сенсорного экрана Synaptics может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.
| CVE | Рекомендации | Строгость | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2017-0634 | А-32511682* | Умеренный | Пиксель, Пиксель XL | Внутренний Google |
* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
Уязвимости в компонентах Qualcomm
Эти уязвимости, затрагивающие компоненты Qualcomm, были опубликованы в рамках бюллетеней безопасности Qualcomm AMSS в период с 2014 по 2016 год. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с уровнем исправлений безопасности Android.
| CVE | Рекомендации | Строгость* | Обновленные устройства Google | Дата сообщения |
|---|---|---|---|---|
| CVE-2014-9923 | А-35434045** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9924 | А-35434631** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9925 | А-35444657** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9926 | А-35433784** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9927 | А-35433785** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9928 | А-35438623** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9929 | А-35443954** КК-CR#644783 | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9930 | А-35432946** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2015-9005 | А-36393500** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2015-9006 | А-36393450** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2015-9007 | А-36393700** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2016-10297 | А-36393451** | Критический | Никто*** | Внутренний Qualcomm |
| CVE-2014-9941 | А-36385125** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9942 | А-36385319** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9943 | А-36385219** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9944 | А-36384534** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9945 | А-36386912** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9946 | А-36385281** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9947 | А-36392400** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9948 | А-36385126** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9949 | А-36390608** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9950 | А-36385321** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9951 | А-36389161** | Высокий | Никто*** | Внутренний Qualcomm |
| CVE-2014-9952 | А-36387019** | Высокий | Никто*** | Внутренний Qualcomm |
* Уровень серьезности этих уязвимостей определен поставщиком.
** Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .
*** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.
Общие вопросы и ответы
В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Чтобы узнать, как проверить уровень обновлений безопасности устройства, прочтите инструкции в расписании обновлений Pixel и Nexus .
- Уровни исправлений безопасности от 01 мая 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 01 мая 2017 г.
- Уровни исправлений безопасности от 05.05.2017 или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 05.05.2017 и всеми предыдущими уровнями исправлений.
Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. Почему в этом бюллетене указаны два уровня исправлений безопасности?
В этом бюллетене есть два уровня исправлений безопасности, поэтому партнеры Android имеют возможность быстрее устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать последнюю версию исправлений безопасности.
- Устройства, использующие уровень исправлений безопасности от 1 мая 2017 г., должны включать все проблемы, связанные с этим уровнем исправлений безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
- Устройства, на которых используются исправления безопасности от 5 мая 2017 года или более поздние, должны включать все применимые исправления, указанные в этом (и предыдущих) бюллетенях по безопасности.
Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.
3. Как определить, на каких устройствах Google возникает та или иная проблема?
В разделах сведений об уязвимостях безопасности за 2017-05-01 и 2017-05-05 в каждой таблице есть столбец «Обновленные устройства Google» , в котором указан диапазон затронутых устройств Google, обновленных для каждой проблемы. В этом столбце есть несколько вариантов:
- Все устройства Google . Если проблема затрагивает устройства «Все» и «Pixel», в столбце «Обновленные устройства Google » в таблице будет указано «Все». «Все» подразумевает следующие поддерживаемые устройства : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства Google . Если проблема не затрагивает все устройства Google, затронутые устройства Google перечислены в столбце «Обновленные устройства Google» .
- Нет устройств Google . Если проблема не затронула ни одно устройство Google под управлением Android 7.0, в столбце «Обновленные устройства Google » в таблице будет указано «Нет».
4. Чему соответствуют записи в столбце «Ссылки»?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение. Эти префиксы отображаются следующим образом:
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
| КК- | Справочный номер Qualcomm |
| М- | Справочный номер MediaTek |
| Н- | Справочный номер NVIDIA |
| Б- | Справочный номер Broadcom |
Редакции
- 1 мая 2017 г.: Бюллетень опубликован.
- 2 мая 2017 г.: в бюллетень добавлены ссылки на AOSP.
- 10 августа 2017 г.: в бюллетень добавлена дополнительная ссылка AOSP для CVE-2017-0493.
- 17 августа 2017 г.: в бюллетень внесены обновления справочных номеров.
- 3 октября 2017 г.: в бюллетень удалена CVE-2017-0605.