Biuletyn dotyczący bezpieczeństwa Androida — styczeń 2017 r

Opublikowano 03 stycznia 2017 | Zaktualizowano 2 lutego 2017 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego urządzeń Google zostały także udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 5 stycznia 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 05 grudnia 2016 roku lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2017-01-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z datą 2017-01-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń) zostały rozwiązane.
    • 2017-01-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-01-01 i 2017-01-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Google otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 stycznia 2017 r.

Podsumowanie luk w zabezpieczeniach

Poniższe tabele zawierają listę luk w zabezpieczeniach, wspólny identyfikator luk i zagrożeń (CVE), oszacowaną wagę oraz informację, czy problem dotyczy urządzeń Google. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług są wyłączone na potrzeby programowania lub jeśli pomyślnie je ominiesz.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

Chcielibyśmy także podziękować następującym badaczom za ich wkład w powstanie niniejszego biuletynu:

  • Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang i Yang Song z Alibaba Mobile Security Group
  • Peter Pi ( @heisecode ) z Trend Micro
  • Zubin Mitra z Google

Poziom poprawki zabezpieczeń 2017-01-01 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-01-01. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w c-ares

Luka w zabezpieczeniach c-ares umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego żądania wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-5180 A-32205736 Wysoki Wszystko 7,0 29 września 2016 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Framesequence

Luka w bibliotece Framesequence umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z biblioteki Framesequence.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0382 A-32338390 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 października 2016 r

Zwiększenie luki w zabezpieczeniach interfejsów API platformy Framework

Luka w interfejsach API platformy Framework umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0383 A-31677614 Wysoki Wszystko 7.0, 7.1.1 21 września 2016 r

Podniesienie luki w uprawnieniach w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0384 A-32095626 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 października 2016 r
CVE-2017-0385 A-32585400 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 października 2016 r

Podniesienie luki w zabezpieczeniach w libnl

Luka w bibliotece libnl umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0386 A-32255299 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 października 2016 r

Zwiększenie luki w zabezpieczeniach serwera multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0387 A-32660278 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w dostawcy pamięci zewnętrznej

Luka w zabezpieczeniach dostawcy pamięci zewnętrznej umożliwiająca ujawnienie informacji może umożliwić lokalnemu użytkownikowi dodatkowemu odczytanie danych z karty SD pamięci zewnętrznej włożonej przez głównego użytkownika. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0388 A-32523490 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w sieci rdzeniowej

Luka w zabezpieczeniach sieci rdzeniowej umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pakietu sieciowego w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 20 lipca 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Luka w zabezpieczeniach programu Mediaserver umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0390 A-31647370 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 września 2016 r
CVE-2017-0391 A-32322258 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 20 października 2016 r
CVE-2017-0392 A-32577290 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 października 2016 r
CVE-2017-0393 A-30436808 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Luka w zabezpieczeniach typu „odmowa usługi” w telefonii

Luka w zabezpieczeniach telefonii umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0394 A-31752213 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 września 2016 r

Zwiększenie luki w zabezpieczeniach aplikacji Kontakty

Luka w zabezpieczeniach aplikacji Kontakty umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji ciche tworzenie informacji kontaktowych. Ten problem został oceniony jako umiarkowany, ponieważ stanowi lokalne obejście wymagań dotyczących interakcji użytkownika (dostęp do funkcji, które normalnie wymagałyby inicjacji użytkownika lub jego zgody).

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0395 A-32219099 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 października 2016 r

Luka umożliwiająca ujawnienie informacji w Mediaserverze

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0381 A-31607432 Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 września 2016 r
CVE-2017-0396 A-31781965 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 września 2016 r
CVE-2017-0397 A-32377688 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 października 2016 r

Luka umożliwiająca ujawnienie informacji w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0398 A-32438594 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r
CVE-2017-0398 A-32635664 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r
CVE-2017-0398 A-32624850 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r
CVE-2017-0399 A-32247948 [ 2 ] Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 października 2016 r
CVE-2017-0400 A-32584034 [ 2 ] Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r
CVE-2017-0401 A-32448258 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 października 2016 r
CVE-2017-0402 A-32436341 [ 2 ] Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r

Poziom poprawki zabezpieczeń 2017-01-05 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-01-05. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Zwiększenie luki w zabezpieczeniach podsystemu pamięci jądra

Luka w zabezpieczeniach podsystemu pamięci jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2015-3288 A-32460277
Jądro nadrzędne
Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 9 lipca 2015 r

Zwiększenie luki w zabezpieczeniach programu rozruchowego Qualcomm

Luka umożliwiająca podniesienie uprawnień w programie ładującym Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8422 A-31471220
QC-CR#979426
Krytyczny Nexus 6, Nexus 6P, Pixel, Pixel XL 22 lipca 2016 r
CVE-2016-8423 A-31399736
QC-CR#1000546
Krytyczny Nexus 6P, Pixel, Pixel XL 24 sierpnia 2016 r

Zwiększenie luki w zabezpieczeniach systemu plików jądra

Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2015-5706 A-32289301
Jądro nadrzędne
Krytyczny Nic* 1 sierpnia 2016 r

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA

Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
Krytyczny Nexusa 9 17 września 2016 r
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
Krytyczny Nexusa 9 28 września 2016 r
CVE-2016-8426 A-31799206*
N-CVE-2016-8426
Krytyczny Nexusa 9 28 września 2016 r
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
Krytyczny Nexusa 9 28 września 2016 r
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
Krytyczny Nexusa 9 28 września 2016 r
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
Krytyczny Nexusa 9 6 października 2016 r
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
Krytyczny Nexusa 9 13 października 2016 r
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
Krytyczny Nexusa 9 17 października 2016 r
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
Krytyczny Piksel C 25 października 2016 r
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
Krytyczny Piksel C 26 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika MediaTek

Luka w sterowniku MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8433 A-31750190*
MT-ALPS02974192
Krytyczny Nic** 24 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego Qualcomm

Luka w zabezpieczeniach sterownika procesora graficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8434 A-32125137
QC-CR#1081855
Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Android One 12 października 2016 r

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA

Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
Krytyczny Piksel C 7 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika wideo Qualcomm

Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8436 A-32450261
QC-CR#1007860
Krytyczny Nic* 13 października 2016 r

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luki w komponentach Qualcomm

Następujące luki dotyczą komponentów Qualcomm i zostały opisane bardziej szczegółowo w biuletynach bezpieczeństwa Qualcomm AMSS z listopada 2015 r., sierpnia 2016 r., września 2016 r. i października 2016 r.

CVE Bibliografia Powaga* Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8438 A-31624565** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8442 A-31625910** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8443 A-32576499** Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-8437 A-31623057** Wysoki Nic*** Wewnętrzne Qualcomma
CVE-2016-8439 A-31625204** Wysoki Nic*** Wewnętrzne Qualcomma
CVE-2016-8440 A-31625306** Wysoki Nic*** Wewnętrzne Qualcomma
CVE-2016-8441 A-31625904** Wysoki Nic*** Wewnętrzne Qualcomma
CVE-2016-8398 A-31548486** Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One Wewnętrzne Qualcomma
CVE-2016-8459 A-32577972** Wysoki Nic*** Wewnętrzne Qualcomma
CVE-2016-5080 A-31115235** Umiarkowany Nexusa 5X Wewnętrzne Qualcomma

* Stopień ważności tych luk został określony przez dostawcę.

** Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

*** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach aparatu Qualcomm

Luka w zabezpieczeniach aparatu Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8412 A-31225246
QC-CR#1071891
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 26 sierpnia 2016 r
CVE-2016-8444 A-31243641*
QC-CR#1074310
Wysoki Nexusa 5X, Nexusa 6, Nexusa 6P 26 sierpnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach komponentów MediaTek

Luka w zabezpieczeniach komponentów MediaTek, w tym w sterowniku termicznym i sterowniku wideo, umożliwiająca podniesienie uprawnień, może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8445 A-31747590*
MT-ALPS02968983
Wysoki Nic** 25 września 2016 r
CVE-2016-8446 A-31747749*
MT-ALPS02968909
Wysoki Nic** 25 września 2016 r
CVE-2016-8447 A-31749463*
MT-ALPS02968886
Wysoki Nic** 25 września 2016 r
CVE-2016-8448 A-31791148*
MT-ALPS02982181
Wysoki Nic** 28 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8415 A-31750554
QC-CR#1079596
Wysoki Nexus 5X, Pixel, Pixel XL 26 września 2016 r

Zwiększenie luki w zabezpieczeniach sterownika procesora graficznego NVIDIA

Luka w zabezpieczeniach sterownika procesora graficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
Wysoki Nexusa 9 28 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika dźwięku Qualcomm

Luka w sterowniku dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8450 A-32450563
QC-CR#880388
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Android One 13 października 2016 r

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics

Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8451 A-32178033* Wysoki Nic** 13 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach podsystemu zabezpieczeń jądra

Luka w zabezpieczeniach podsystemu zabezpieczeń jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-7042 A-32178986
Jądro nadrzędne
Wysoki Piksel C 14 października 2016 r

Zwiększenie luki w zabezpieczeniach podsystemu wydajności jądra

Luka w zabezpieczeniach podsystemu wydajności jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0403 A-32402548* Wysoki Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 25 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach podsystemu dźwiękowego jądra

Luka w zabezpieczeniach podsystemu dźwiękowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0404 A-32510733* Wysoki Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL 27 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8452 A-32506396
QC-CR#1050323
Wysoki Nexus 5X, Android One, Pixel, Pixel XL 28 października 2016 r

Zwiększenie luki w zabezpieczeniach sterownika radiowego Qualcomm

Luka w sterowniku radiowym Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-5345 A-32639452
QC-CR#1079713
Wysoki Android Jeden 3 listopada 2016 r

Zwiększenie luki w zabezpieczeniach podsystemu profilowania jądra

Luka w podsystemie profilowania jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-9754 A-32659848
Jądro nadrzędne
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player 4 listopada 2016 r

Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8453 A-24739315*
B-RB#73392
Wysoki Nexusa 6 Wewnętrzne Google
CVE-2016-8454 A-32174590*
B-RB#107142
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 14 października 2016 r
CVE-2016-8455 A-32219121*
B-RB#106311
Wysoki Nexusa 6P 15 października 2016 r
CVE-2016-8456 A-32219255*
B-RB#105580
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 15 października 2016 r
CVE-2016-8457 A-32219453*
B-RB#106116
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C 15 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics

Luka w zabezpieczeniach sterownika ekranu dotykowego Synaptics umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8458 A-31968442* Wysoki Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku wideo NVIDIA

Luka w sterowniku wideo NVIDIA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
Wysoki Nexusa 9 21 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w programie ładującym

Luka w programie ładującym umożliwiająca ujawnienie informacji może umożliwić lokalnemu atakującemu dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8461 A-32369621* Wysoki Nexus 9, Pixel, Pixel XL 21 października 2016 r
CVE-2016-8462 A-32510383* Wysoki Piksel, piksel XL 27 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach typu „odmowa usługi” w systemie plików Qualcomm FUSE

Luka w zabezpieczeniach systemu plików Qualcomm FUSE umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8463 A-30786860
QC-CR#586855
Wysoki Nic* 03 stycznia 2014 r

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka w zabezpieczeniach typu „odmowa usługi” w bootloaderze

Luka w programie ładującym powodująca odmowę usługi może umożliwić osobie atakującej spowodowanie lokalnej, trwałej odmowy usługi, co może wymagać ponownego flashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość lokalnej trwałej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8467 A-30308784* Wysoki Nexusa 6, Nexusa 6P 29 czerwca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest ograniczany przez bieżącą konfigurację platformy.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8464 A-29000183*
B-RB#106314
Umiarkowany Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 26 maja 2016 r
CVE-2016-8466 A-31822524*
B-RB#105268
Umiarkowany Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 28 września 2016 r
CVE-2016-8465 A-32474971*
B-RB#106053
Umiarkowany Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Podniesienie luki w zabezpieczeniach programu Binder

Luka w zabezpieczeniach programu Binder umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest ograniczany przez bieżącą konfigurację platformy.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8468 A-32394425* Umiarkowany Piksel C, piksel, piksel XL Wewnętrzne Google

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku kamery NVIDIA

Luka w sterowniku kamery umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Umiarkowany Nexusa 9 7 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w sterowniku MediaTek

Luka w sterowniku MediaTek umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Umiarkowany Nic** 15 września 2016 r
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Umiarkowany Nic** 15 września 2016 r
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Umiarkowany Nic** 15 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka umożliwiająca ujawnienie informacji w sterowniku STMicroelectronics

Luka w sterowniku STMicroelectronics umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8473 A-31795790* Umiarkowany Nexusa 5X, Nexusa 6P 28 września 2016 r
CVE-2016-8474 A-31799972* Umiarkowany Nexusa 5X, Nexusa 6P 28 września 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka umożliwiająca ujawnienie informacji w postprocesorze audio Qualcomm

Luka w postprocesorze audio Qualcomm umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0399 A-32588756 [ 2 ] Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 października 2016 r
CVE-2017-0400 A-32438598 [ 2 ] Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r
CVE-2017-0401 A-32588016 Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 października 2016 r
CVE-2017-0402 A-32588352 [ 2 ] Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 października 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku wejściowym HTC

Luka w sterowniku wejściowym HTC umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-8475 A-32591129* Umiarkowany Piksel, piksel XL 30 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach typu „odmowa usługi” w systemie plików jądra

Luka w zabezpieczeniach systemu plików jądra umożliwiająca odmowę usługi może spowodować, że lokalna złośliwa aplikacja spowoduje zawieszenie lub ponowne uruchomienie urządzenia. Ten problem został oceniony jako umiarkowany, ponieważ jest to tymczasowa odmowa usługi, której naprawienie wymaga przywrócenia ustawień fabrycznych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-9420 A-32477499
Jądro nadrzędne
Umiarkowany Piksel C 25 grudnia 2014 r

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

  • Poziomy poprawek zabezpieczeń z dnia 2017-01-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-01-01.
  • Poziomy poprawek zabezpieczeń z dnia 2017-01-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-01-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 stycznia 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z poprawki zabezpieczeń z dnia 5 stycznia 2017 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Jak ustalić, których urządzeń Google dotyczy dany problem?

W sekcjach ze szczegółami dotyczącymi luki w zabezpieczeniach z dnia 2017-01-01 i 2017-01-05 każda tabela zawiera kolumnę Zaktualizowane urządzenia Google , która obejmuje zakres urządzeń Google, których dotyczy problem, zaktualizowanych pod kątem każdego problemu. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Google : jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w kolumnie Zaktualizowane urządzenia Google w tabeli będzie widoczna wartość „Wszystkie”. „Wszystkie” oznacza następujące obsługiwane urządzenia : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
  • Niektóre urządzenia Google : jeśli problem nie dotyczy wszystkich urządzeń Google, urządzenia Google, których dotyczy problem, są wymienione w kolumnie Zaktualizowane urządzenia Google .
  • Brak urządzeń Google : jeśli problem nie dotyczy żadnego urządzenia Google z najnowszą dostępną wersją Androida, w kolumnie Zaktualizowane urządzenia Google w tabeli będzie widoczna informacja „Brak”.

4. Do czego odnoszą się wpisy w kolumnie referencje?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiksy są mapowane w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

Wersje

  • 03 stycznia 2017: Biuletyn opublikowany.
  • 4 stycznia 2017 r.: Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
  • 05 stycznia 2017: Wyjaśniono numer wersji AOSP z 7.1 na 7.1.1.
  • 12 stycznia 2017 r.: Usunięto zduplikowany wpis dla CVE-2016-8467.
  • 24 stycznia 2017 r.: zaktualizowano opis i wagę CVE-2017-0381.
  • 2 lutego 2017 r.: Zaktualizowano CVE-2017-0389 z dodatkowym łączem do łatki.