Опубликовано 6 июля 2016 г. | Обновлено 14 июля 2016 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июля 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Мы сообщили партнерам об уязвимостях 6 июня 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак описывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Объявления
- Мы включили в этот бюллетень сведения о двух обновлениях,
чтобы помочь нашим партнерам как можно скорее устранить
уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2016-07-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-07-01.
- 2016-07-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2016-07-01 и 2016-07-05.
- На поддерживаемые устройства Nexus будет установлено единое автоматическое обновление системы безопасности от 5 июля 2016 года.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
- В новых версиях Android использование многих уязвимостей затрудняется, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех устройствах с мобильными сервисами Google. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Адам Доненфелд и другие сотрудники Check Point Software Technologies Ltd.: CVE-2016-2503
- Адам Пауэлл из Google: CVE-2016-3752
- Алекс Чапман и Пол Стоун из Context Information Security: CVE-2016-3763
- Энди Тайлер (@ticarpi) из e2e-assure: CVE-2016-2457.
- Бен Хоукс из Google Project Zero: CVE-2016-3775
- Чиачи У (@chiachih_wu), Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774.
- Кристофер Тейт из Google: CVE-2016-3759
- Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2016-3762.
- Гэнцзя Чэнь (@chengjia4574) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796.
- Грег Кайзер из команды Google Android: CVE-2016-3758
- Гуан Гун (龚广) (@oldfresher) из Mobile Safe Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3764.
- Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3792, CVE-2016-3768.
- Хао Цинь из Security Research Lab, Cheetah Mobile: CVE-2016-3754, CVE-2016-3766.
- Цзяньцян Чжао (@jianqiangzhao) и pjf (weibo.com/jfpan) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808.
- Марко Нелиссен из Google: CVE-2016-3818
- Марк Бренд из Google Project Zero: CVE-2016-3757
- Михал Беднарский: CVE-2016-3750.
- Минцзянь Чжоу (@Mingjian_Zhou), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765.
- Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Питер Пи (@heisecode) из Trend Micro: CVE-2016-3793.
- Рики Вэй из Google: CVE-2016-3749
- Роланд Крак: CVE-2016-3753
- Скотт Бауэр (@ScottyBauer1): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502.
- Василий Васильев: CVE-2016-2507
- Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-2508, CVE-2016-3755.
- Вэнь Ню (@NWMonster) из KeenLab (@keen_lab), Tencent: CVE-2016-3809.
- Силин Гун из отдела безопасности платформы Tencent: CVE-2016-3745.
- Яцун Гу из лаборатории TCA Института программного обеспечения Китайской академии наук: CVE-2016-3761.
- Юнкэ Ван (@Rudykewang) из Xuanwu LAB, Tencent: CVE-2016-2505.
- Юнкэ Ван (@Rudykewang) и Вэй Вэй (@Danny__Wei) из Xuanwu LAB, Tencent: CVE-2016-2506.
- Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-3744.
Описание уязвимостей (обновление системы безопасности 2016-07-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-07-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через mediaserver
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.
Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 апреля 2016 г. |
| CVE-2016-2505 | A-28333006 | Критический | Все устройства | 6.0, 6.0.1 | 21 апреля 2016 г. |
| CVE-2016-2507 | A-28532266 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 мая 2016 г. |
| CVE-2016-2508 | A-28799341 [2] | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 мая 2016 г. |
| CVE-2016-3741 | A-28165661 [2] | Критический | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
| CVE-2016-3742 | A-28165659 | Критический | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
| CVE-2016-3743 | A-27907656 | Критический | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Удаленное выполнение кода через OpenSSL и BoringSSL
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке файлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте затрагиваемого процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 мая 2016 г. |
Удаленное выполнение кода через Bluetooth
Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код во время подключения устройства Bluetooth. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 марта 2016 г. |
Повышение привилегий через libpng
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 декабря 2015 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 апреля 2016 г. |
| CVE-2016-3746 | A-27890802 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 марта 2016 г. |
| CVE-2016-3747 | A-27903498 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 марта 2016 г. |
Повышение привилегий через сокеты
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к системным вызовам. Проблеме присвоен высокий уровень серьезности, поскольку она позволяет обойти защиту, предотвращающую атаки на платформу.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Высокий | Все устройства | 6.0, 6.0.1 | 13 апреля 2016 г. |
Повышение привилегий через LockSettingsService
Уязвимость позволяет вредоносному ПО сбрасывать пароль блокировки экрана без разрешения пользователя. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость локально обходит обязательные требования к взаимодействию с пользователем и изменению настроек безопасности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Высокий | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через Framework API
Уязвимость повышает привилегии через Parcels Framework API и позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 декабря 2015 г. |
Повышение привилегий через службу ChooserTarget
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте другого приложения. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным о действиях в другом приложении.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Высокий | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Раскрытие информации через mediaserver
Уязвимость позволяет злоумышленнику получить удаленный доступ к защищенным данным, с которыми могут работать только авторизованные приложения, установленные на устройстве. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Высокий | Нет* | 4.4.4 | 15 февраля 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
Раскрытие информации через OpenSSL
Уязвимость позволяет злоумышленнику получить удаленный доступ к защищенным данным, с которыми могут работать только авторизованные приложения, установленные на устройстве. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1 | 13 апреля 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [2] | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 мая 2016 г. |
| CVE-2016-3755 | A-28470138 | Высокий | Все устройства | 6.0, 6.0.1 | 29 апреля 2016 г. |
| CVE-2016-3756 | A-28556125 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Отказ в обслуживании в libc
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 | Высокий | Нет* | 4.4.4 | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
Повышение привилегий через lsof
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код на устройстве. Из-за этого нарушается работа системы безопасности. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует выполнения нестандартного набора действий вручную.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 апреля 2016 г. |
Повышение привилегий через DexClassLoader
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует выполнения нестандартного набора действий вручную.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через Framework API
Уязвимость позволяет локальному вредоносному ПО запрашивать разрешения на создание резервных копий и перехватывать все копируемые данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует специальных разрешений для обхода защиты ОС, обеспечивающей раздельное хранение данных приложений.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Повышение привилегий через Bluetooth
Уязвимость позволяет злоумышленнику, находящемуся поблизости, добавлять устройства Bluetooth в список надежных и сохранять их для основного пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить дополнительные привилегии на устройстве без явного разрешения владельца.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [2] [3] | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 февраля 2016 г. |
Повышение привилегий через NFC
Уязвимость позволяет локальному вредоносному ПО, работающему в фоновом режиме, получать несанкционированный доступ к данным активного приложения. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить дополнительные привилегии на устройстве без явного разрешения владельца.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 апреля 2016 г. |
Повышение привилегий через сокеты
Уязвимость позволяет локальному вредоносному ПО получать доступ к некоторым нестандартным типам сокетов и, как следствие, возможность выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку она позволяет обойти защиту, предотвращающую атаки на платформу.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 апреля 2016 г. |
Раскрытие информации через Proxy Auto-Config
Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 марта 2016 г. |
Раскрытие информации через mediaserver
Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 апреля 2016 г. |
| CVE-2016-3765 | A-28168413 | Средний | Все устройства | 6.0, 6.0.1 | 8 апреля 2016 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [2] | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 апреля 2016 г. |
Описание уязвимостей (обновление системы безопасности 2016-07-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-07-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Повышение привилегий через драйвер Qualcomm для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Критический | Nexus 5X, Nexus 6P | 5 апреля 2016 г. |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Критический | Nexus 5X, Nexus 6, Nexus 6P | 20 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через Wi-Fi-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363*
M-ALPS02689526 |
Критический | Android One | 6 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через компонент производительности Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Критический | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через видеодрайвер NVIDIA
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 |
Критический | Nexus 9 | 18 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйверы MediaTek (уязвимость устройства)
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через файловую систему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Критический | Nexus 5X, Nexus 6, Nexus 6P и Nexus Player, Pixel C | 4 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через USB-драйвер
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через компоненты Qualcomm
В таблице ниже перечислены уязвимости системы безопасности, затрагивающие компоненты Qualcomm, в том числе загрузчик, драйвер камеры, символьный драйвер, сеть, аудиодрайвер и видеодрайвер.
Наиболее важным проблемам присвоен критический уровень серьезности, поскольку из-за выполнения произвольного кода нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности* | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [2] |
Критический | Nexus 5 | 8 августа 2014 г. |
| CVE-2014-9794 | A-28821172 QC-CR646385 |
Критический | Nexus 7 (2013) | 8 августа 2014 г. |
| CVE-2015-8892 | A-28822807 QC-CR902998 |
Критический | Nexus 5X, Nexus 6P | 30 декабря 2015 г. |
| CVE-2014-9781 | A-28410333 QC-CR556471 |
Высокий | Nexus 7 (2013) | 6 февраля 2014 г. |
| CVE-2014-9786 | A-28557260 QC-CR545979 |
Высокий | Nexus 5, Nexus 7 (2013) | 13 марта 2014 г. |
| CVE-2014-9788 | A-28573112 QC-CR548872 |
Высокий | Nexus 5 | 13 марта 2014 г. |
| CVE-2014-9779 | A-28598347 QC-CR548679 |
Высокий | Nexus 5 | 13 марта 2014 г. |
| CVE-2014-9780 | A-28602014 QC-CR542222 |
Высокий | Nexus 5, Nexus 5X, Nexus 6P | 13 марта 2014 г. |
| CVE-2014-9789 | A-28749392 QC-CR556425 |
Высокий | Nexus 5 | 13 марта 2014 г. |
| CVE-2014-9793 | A-28821253 QC-CR580567 |
Высокий | Nexus 7 (2013) | 13 марта 2014 г. |
| CVE-2014-9782 | A-28431531 QC-CR511349 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9783 | A-28441831 QC-CR511382 [2] |
Высокий | Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9785 | A-28469042 QC-CR545747 |
Высокий | Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9787 | A-28571496 QC-CR545764 |
Высокий | Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9784 | A-28442449 QC-CR585147 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9777 | A-28598501 QC-CR563654 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9778 | A-28598515 QC-CR563694 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9790 | A-28769136 QC-CR545716 [2] |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9792 | A-28769399 QC-CR550606 |
Высокий | Nexus 5 | 30 апреля 2014 г. |
| CVE-2014-9797 | A-28821090 QC-CR674071 |
Высокий | Nexus 5 | 3 июля 2014 г. |
| CVE-2014-9791 | A-28803396 QC-CR659364 |
Высокий | Nexus 7 (2013) | 29 августа 2014 г. |
| CVE-2014-9796 | A-28820722 QC-CR684756 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 сентября 2014 г. |
| CVE-2014-9800 | A-28822150 QC-CR692478 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 октября 2014 г. |
| CVE-2014-9799 | A-28821731 QC-CR691916 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 октября 2014 г. |
| CVE-2014-9801 | A-28822060 QC-CR705078 |
Высокий | Nexus 5 | 28 ноября 2014 г. |
| CVE-2014-9802 | A-28821965 QC-CR705108 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 декабря 2014 г. |
| CVE-2015-8891 | A-28842418 QC-CR813930 |
Высокий | Nexus 5, Nexus 7 (2013) | 29 мая 2015 г. |
| CVE-2015-8888 | A-28822465 QC-CR813933 |
Высокий | Nexus 5 | 30 июня 2015 г. |
| CVE-2015-8889 | A-28822677 QC-CR804067 |
Высокий | Nexus 6P | 30 июня 2015 г. |
| CVE-2015-8890 | A-28822878 QC-CR823461 |
Высокий | Nexus 5, Nexus 7 (2013) | 19 августа 2015 г |
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
Повышение привилегий через USB-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Высокий | Nexus 5X, Nexus 6P | 11 марта 2016 г. |
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Высокий | Nexus 7 (2013) | 17 марта 2016 г. |
Повышение привилегий через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 марта 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер NVIDIA для камеры
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 |
Высокий | Nexus 9 | 5 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер питания MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 |
Высокий | Android One | 7 апреля 2016 г. |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 |
Высокий | Android One | 7 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через Wi-Fi-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Высокий | Nexus 5X | 7 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер MediaTek для аппаратного датчика
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 |
Высокий | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через видеодрайвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 |
Высокий | Android One | 11 апреля 2016 г. |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 |
Высокий | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через GPS-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 |
Высокий | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через файловую систему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Высокий | Nexus 9 | 19 апреля 2016 г. |
| CVE-2016-3803 | A-28588434* | Высокий | Nexus 5X, Nexus 6P | 4 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер управления питанием MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 |
Высокий | Android One | 20 апреля 2016 г. |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 |
Высокий | Android One | 21 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер дисплея MediaTek
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 |
Высокий | Android One | 26 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер SPI
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Высокий | Nexus 5X, Nexus 6P | 26 апреля 2016 г. |
| CVE-2016-3808 | A-28430009* | Высокий | Pixel С | 26 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через аудиодрайвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Высокий | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 апреля 2016 г. |
Повышение привилегий через ядро
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Upstream kernel |
Высокий | Nexus 5X, Nexus 6P | Доступно только сотрудникам Google |
Раскрытие информации через сетевой компонент
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Высокий | Все устройства | 5 марта 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через Wi-Fi-драйвер MediaTek
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 |
Высокий | Android One | 12 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Повышение привилегий через видеодрайвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Средний | Nexus 9 | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через драйвер видеокодека MediaTek
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 |
Средний | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через USB-драйвер Qualcomm
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Средний | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через драйвер NVIDIA для камеры
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 |
Средний | Nexus 9 | 14 апреля 2016 г. |
| CVE-2016-3815 | A-28522274* N-CVE20163815 |
Средний | Nexus 9 | 1 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через драйвер дисплея MediaTek
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Средний | Android One | 26 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Раскрытие информации через драйвер ядра для телетайпа
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Upstream kernel |
Средний | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 апреля 2016 г. |
Отказ в обслуживании в загрузчике Qualcomm
Уязвимость позволяет локальному вредоносному ПО вызывать нарушения в работе системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Средний | Nexus 5 | 31 октября 2014 г. |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Средний | Nexus 5, Nexus 7 (2013) | 19 августа 2015 г |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении от 1 июля 2016 года устранены все проблемы, связанные с обновлением 2016-07-01. В исправлении от 5 июля 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-07-05. Информацию о том, как узнать дату последнего обновления системы безопасности, можно найти в Справочном центре. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-07-01] или [ro.build.version.security_patch]:[2016-07-05].
2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
На устройствах с установленным обновлением от 5 июля 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
На устройствах с установленным обновлением от 1 июля 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках. Кроме того, на них могут быть устранены некоторые уязвимости, исправленные в обновлении от 5 июля 2016 года.
3. Как определить, на каких устройствах Nexus присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2016-07-01 и 2016-07-05 есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Nexus: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Nexus.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
Версии
- 6 июля 2016 года. Бюллетень опубликован.
- 7 июля 2016 года.
- Добавлены ссылки на AOSP.
- Удалена информация об уязвимости CVE-2016-3794, совпадающей с CVE-2016-3814.
- Добавлена атрибуция уязвимостей CVE-2016-2501 и CVE-2016-2502.
- 11 июля 2016 года. Обновлена атрибуция уязвимости CVE-2016-3750.
- 14 июля 2016 года. Обновлена атрибуция уязвимости CVE-2016-2503.