Opublikowano 3 stycznia 2017 r. | Zaktualizowano 2 lutego 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Oprócz biuletynu udostępniliśmy aktualizację zabezpieczeń dla urządzeń Google za pomocą aktualizacji OTA. Obrazy oprogramowania układowego urządzeń Google zostały też opublikowane na stronie dla deweloperów Google. Wszystkie te problemy zostały rozwiązane w poziomach poprawek zabezpieczeń z 5 stycznia 2017 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie 5 grudnia 2016 r. lub wcześniej. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.
Najpoważniejszym z tych problemów jest krytyczne zagrożenie bezpieczeństwa, które może umożliwić zdalne wykonywanie kodu na urządzeniu docelowym za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS-y podczas przetwarzania plików multimedialnych. Ocena ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy bezpieczeństwa Androida oraz zabezpieczeniach usług, takich jak SafetyNet, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Zapobieganie naruszeniom zabezpieczeń Androida i usług Google.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków poziomu poprawki zabezpieczeń, które dają partnerom Androida elastyczność w szybszym naprawianiu podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z odpowiedziami na najczęstsze pytania:
- 2017-01-01: ciąg znaków odpowiadający częściowemu poziomowi aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-01-01 (i wszystkimi poprzednimi ciągami znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2017-01-05: kompletny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-01-01 i 2017-01-05 (oraz wszystkie poprzednie ciągi znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
- Obsługiwane urządzenia Google otrzymają jedną aktualizację OTA z poziomem poprawki zabezpieczeń z 5 stycznia 2017 r.
Podsumowanie luk w zabezpieczeniach
Tabele poniżej zawierają listę luk w zabezpieczeniach, identyfikator CVE, ocenioną wagę oraz informacje o tym, czy urządzenia Google są narażone na te luki. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Środki zaradcze dotyczące Androida i usług Google
Oto podsumowanie środków zaradczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takich jak SafetyNet. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą weryfikacji aplikacji i SafetyNet, które mają ostrzegać użytkowników o potencjalnie szkodliwych aplikacjach. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja weryfikacji aplikacji ostrzega użytkowników, gdy próbują oni zainstalować wykryte narzędzie do rootowania – niezależnie od tego, skąd pochodzi. Dodatkowo Weryfikacja aplikacji próbuje wykrywać i blokować instalowanie znanych szkodliwych aplikacji, które wykorzystują lukę umożliwiającą podniesienie uprawnień. Jeśli taka aplikacja jest już zainstalowana, Weryfikacja aplikacji powiadomi użytkownika i spróbuje ją usunąć.
- W odpowiednich przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
- Alexandru Blanda: CVE-2017-0390
- Daniel Micay z Copperhead Security: CVE-2017-0397
- Daxing Guo (@freener0) z Xuanwu Lab, Tencent: CVE-2017-0386
- derrek (@derrekr6): CVE-2017-0392
- Di Shen (@returnsme) z KeenLab (@keen_lab), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- donfos (Aravind Machiry) z zespołu Shellphish Grill, UC Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- En He (@heeeeen4x) z MS509Team: CVE-2017-0394
- Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- Zespół Google WebM: CVE-2017-0393
- Guang Gong (龚广) (@oldfresher) z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0387
- Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465
- Jianqiang Zhao (@jianqiangzhao) i pjf z IceSword Lab, Qihoo 360: CVE-2016-8475
- Jon Sawyer (@jcase) i Sean Beaupre (@firewaterdevs): CVE-2016-8462
- Jon Sawyer (@jcase), Sean Beaupre (@firewaterdevs) i Ben Actis (@Ben_RA): CVE-2016-8461
- Mingjian Zhou (@Mingjian_Zhou), Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2017-0383
- Monk Avel: CVE-2017-0396, CVE-2017-0399
- Peter Pi (@heisecode) z Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474
- Qidan He (何淇丹) (@flanker_hqd) z KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- Roee Hay i Michael Goberman z zespołu IBM Security X-Force: CVE-2016-8467
- Seven Shen (@lingtongshen) z zespołu ds. zagrożeń mobilnych Trend Micro: CVE-2016-8466
- Stephen Morrow: CVE-2017-0389
- V.E.O (@VYSEa) z zespołu ds. badań zagrożeń mobilnych, Trend Micro: CVE-2017-0381
- Weichao Sun (@sunblate) z Alibaba Inc.: CVE-2017-0391
- Wenke Dou, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2017-0402, CVE-2017-0398
- Wenke Dou, Hanxiang Wen, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2017-0400
- Wenke Dou, Hongli Han, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2017-0384, CVE-2017-0385
- Wenke Dou, Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2017-0401
- Yao Jun, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- Yong Wang (王勇) (@ThomasKing2014) i Jun Cheng z Alibaba Inc.: CVE-2017-0404
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo, Yanfeng Wang, Chiachih Wu (@chiachih_wu) i Xuxian Jiang z zespołu C0RE: CVE-2016-8430, CVE-2016-8482
- Yuxiang Li (@Xbalien29) z Departamentu Platformy Bezpieczeństwa Tencent: CVE-2017-0395
- Zhanpeng Zhao (行之) (@0xr0ot) z Security Research Lab, Cheetah Mobile: CVE-2016-8451
Dziękujemy też tym badaczom za ich wkład w przygotowanie tego biuletynu:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang i Yang Song z Alibaba Mobile Security Group
- Peter Pi (@heisecode) z Trend Micro
- Zubin Mithra z Google
Poziom aktualizacji zabezpieczeń z 01.01.2017 – szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-01-01. Zawiera opis problemu, uzasadnienie powagi, a także tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w c-ares
Luka w zabezpieczeniach w bibliotece c-ares umożliwiająca zdalne uruchomienie kodu może umożliwić osobie przeprowadzającej atak użycie specjalnie spreparowanego żądania do wykonania dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | Wysoki | Wszystko | 7,0 | 29 września 2016 r. |
Podatność na zdalne wykonanie kodu w ramce Framesequence
Luka w zabezpieczeniach w bibliotece Framesequence umożliwiająca zdalne uruchomienie kodu może umożliwić atakującemu użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu bez uprawnień. Ten problem ma ocenę wysoką ze względu na możliwość zdalnego wykonania kodu w aplikacji, która korzysta z biblioteki Framesequence.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 października 2016 r. |
Podniesienie uprawnień w interfejsach API Framework
Podatność na podniesienie uprawnień w interfejsach API Framework może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wysokich uprawnieniach. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | Wysoki | Wszystko | 7.0, 7.1.1 | 21 września 2016 r. |
Luki w zabezpieczeniach polegająca na podwyższaniu uprawnień w Audioserver
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w Audioserverze może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu o wyższych uprawnieniach. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 października 2016 r. |
| CVE-2017-0385 | A-32585400 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 października 2016 r. |
Luki w zabezpieczeniach libnl umożliwiająca podniesienie uprawnień
Luka w zabezpieczeniach w bibliotece libnl może umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 października 2016 r. |
Podniesienie uprawnień w luki w zabezpieczeniach w Mediaserver
Podatność w Mediaserverze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę wysoką, ponieważ może być wykorzystywany do uzyskiwania lokalnego dostępu do rozszerzonych funkcji, które są zwykle niedostępne dla aplikacji innych firm.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 listopada 2016 r. |
Wrażliwość na ujawnienie informacji w zewnętrznym dostawcy miejsca na dane
Użytkownik lokalny o ograniczonych uprawnieniach może odczytać dane z karty SD zewnętrznej, jeśli zostały one włożone przez głównego użytkownika. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych bez uprawnień.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
podatność na atak typu DoS w głównej sieci
Użytkownik zdalny może wykorzystać lukę w zabezpieczeniach umożliwiającą atak typu DoS w głównym module sieciowym, aby za pomocą specjalnie spreparowanego pakietu sieciowego spowodować zawieszenie lub ponowne uruchomienie urządzenia. Ten problem ma ocenę wysoką z powodu możliwości zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [2] [3] | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 20 lipca 2016 r. |
Atak typu DoS na podatność w Mediaserver
Usługa Mediaserver zawiera lukę powodującą odmowę usługi, która umożliwia zdalnym atakującym użycie specjalnie spreparowanego pliku do zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma wysoki priorytet ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 września 2016 r. |
| CVE-2017-0391 | A-32322258 | Wysoki | Wszystko | 6.0, 6.0.1, 7.0, 7.1.1 | 20 października 2016 r. |
| CVE-2017-0392 | A-32577290 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 października 2016 r. |
| CVE-2017-0393 | A-30436808 | Wysoki | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Tylko w Google |
podatność na atak typu DoS w Telephony
Usługa Telephony zawierała podatność na atak typu „odmowa usługi”, która umożliwiała atakującemu zdalnie zawieszanie urządzenia lub jego ponowne uruchamianie. Ten problem został oceniony jako wysoki ze względu na możliwość zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | Wysoki | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 września 2016 r. |
Podniesienie uprawnień w aplikacji Kontakty
W aplikacji Kontakty występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnym złośliwym aplikacjom bezgłośne tworzenie informacji o kontaktach. Ten problem został oceniony jako umiarkowany, ponieważ jest to lokalny obejście wymagań dotyczących interakcji z użytkownikiem (dostęp do funkcji, które normalnie wymagają inicjacji przez użytkownika lub jego zgody).
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 października 2016 r. |
luka w zabezpieczeniach polegająca na wycieku informacji w Mediaserver
Użytkownikom lokalnych aplikacji złośliwych może zostać przyznany dostęp do danych spoza poziomu uprawnień, ponieważ w Mediaserverze występuje luka umożliwiająca ujawnienie informacji. Ten problem został oceniony jako „Umiarkowany”, ponieważ może umożliwiać dostęp do danych wrażliwych bez zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 września 2016 r. |
| CVE-2017-0396 | A-31781965 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 września 2016 r. |
| CVE-2017-0397 | A-32377688 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 października 2016 r. |
luka w zabezpieczeniach w Audioserverze, która umożliwia wyciek informacji;
W usłudze Audioserver występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziom uprawnień. Ten problem został oceniony jako „Umiarkowany”, ponieważ może umożliwiać dostęp do danych wrażliwych bez zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
| CVE-2017-0398 | A-32635664 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
| CVE-2017-0398 | A-32624850 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
| CVE-2017-0399 | A-32247948 [2] | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 października 2016 r. |
| CVE-2017-0400 | A-32584034 [2] | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
| CVE-2017-0401 | A-32448258 | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 października 2016 r. |
| CVE-2017-0402 | A-32436341 [2] | Umiarkowana | Wszystko | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
Poziom aktualizacji zabezpieczeń z dnia 2017-01-05 – szczegóły dotyczące luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 stycznia 2017 r. Zawiera opis problemu, uzasadnienie powagi, a także tabelę z identyfikatorem CVE, powiązanymi odniesieniami, wagą, zaktualizowanymi urządzeniami Google, zaktualizowanymi wersjami AOSP (w stosownych przypadkach) i datą zgłoszenia. W miarę możliwości będziemy linkować publiczne zmiany, które rozwiązały problem, do identyfikatora błędu, np. do listy zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie pamięci jądra
Luka w zabezpieczeniach polegająca na podwyższaniu uprawnień w podsystemie pamięci jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 Upstream kernel |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 lipca 2015 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w programie ładującym Qualcomm
Podatność na podniesienie uprawnień w początkującym programie Qualcomm mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 |
Krytyczny | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 lipca 2016 r. |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 |
Krytyczny | Nexus 6P, Pixel, Pixel XL | 24 sierpnia 2016 r. |
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie plików jądra
Uprawnienia związane z luką w systemie plików jądra mogą umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 Kompilacja jądra upstream |
Krytyczny | Brak* | 1 sierpnia 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku GPU NVIDIA
Podatność w zasadach kontroli w sterowniku GPU firmy NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
Krytyczny | Nexus 9 | 17 września 2016 r. |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
Krytyczny | Nexus 9 | 28 września 2016 r. |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
Krytyczny | Nexus 9 | 28 września 2016 r. |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
Krytyczny | Nexus 9 | 28 września 2016 r. |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
Krytyczny | Nexus 9 | 28 września 2016 r. |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
Krytyczny | Nexus 9 | 6 października 2016 r. |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
Krytyczny | Nexus 9 | 13 października 2016 r. |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
Krytyczny | Nexus 9 | 17 października 2016 r. |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
Krytyczny | Pixel C | 25 października 2016 r. |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
Krytyczny | Pixel C | 26 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zabezpieczeniach związana z podniesieniem uprawnień w sterowniku MediaTek
Podatność w kodzie w sterowniku MediaTek umożliwia lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
Krytyczny | Brak** | 24 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w sterowniku GPU Qualcomm
Podatność w ramach funkcji podwyższania uprawnień w sterowniku GPU Qualcomma może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 |
Krytyczny | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 października 2016 r. |
Podniesienie uprawnień w sterowniku GPU NVIDIA
Podatność w zasadach kontroli w sterowniku GPU firmy NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
Krytyczny | Pixel C | 7 listopada 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zarządzaczu wideo Qualcomma umożliwiająca podniesienie uprawnień
Podatność w zabezpieczeniach w sterowniku wideo Qualcomma może umożliwić lokalnym złośliwym aplikacjom wykonywanie dowolnego kodu w kontekście jądra. Ten problem został oznaczony jako krytyczny ze względu na możliwość trwałego uszkodzenia urządzenia, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 |
Krytyczny | Brak* | 13 października 2016 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w komponentach Qualcomm
Poniższe luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w biuletynach o zabezpieczeniach Qualcomm AMSS z listopada 2015 r., sierpnia 2016 r., września 2016 r. i października 2016 r.
| CVE | Pliki referencyjne | Poziom ważności* | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8442 | A-31625910** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8443 | A-32576499** | Krytyczny | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8437 | A-31623057** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8439 | A-31625204** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8440 | A-31625306** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8441 | A-31625904** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-8398 | A-31548486** | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | Qualcomm wewnętrzny |
| CVE-2016-8459 | A-32577972** | Wysoki | Brak*** | Qualcomm wewnętrzny |
| CVE-2016-5080 | A-31115235** | Umiarkowana | Nexus 5X | Qualcomm wewnętrzny |
* Ocena ważności tych luk została określona przez dostawcę.
** Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
*** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luki w zabezpieczeniach polegająca na podnoszeniu uprawnień w kamerze Qualcomm
Podatność w aparacie Qualcomm umożliwiająca podniesienie uprawnień mogłaby umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 sierpnia 2016 r. |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P | 26 sierpnia 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luki w zabezpieczeniach polegające na podnoszeniu uprawnień w komponentach MediaTek
W komponentach MediaTek, w tym w sterowniku termicznym i sterowniku wideo, występuje luka umożliwiająca podniesienie uprawnień, która może umożliwić lokalnemu złośliwemu programowi wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę wysoką, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
Wysoki | Brak** | 25 września 2016 r. |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
Wysoki | Brak** | 25 września 2016 r. |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
Wysoki | Brak** | 25 września 2016 r. |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
Wysoki | Brak** | 28 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 |
Wysoki | Nexus 5X, Pixel, Pixel XL | 26 września 2016 r. |
Podniesienie uprawnień w sterowniku GPU NVIDIA
Podatność w zasadach kontroli w sterowniku GPU firmy NVIDIA może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
Wysoki | Nexus 9 | 28 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luki w zarządzaczu dźwięku Qualcomma umożliwiające podniesienie uprawnień
Podatność w sterowniku dźwięku Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 października 2016 r. |
podatność na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics
W ramach podatności na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | Wysoki | Brak** | 13 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Podniesienie uprawnień w ramach podsystemu zabezpieczeń jądra
Luka w zabezpieczeniach związana z podwyższeniem uprawnień w podsystemie zabezpieczeń jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 Upstream kernel |
Wysoki | Pixel C | 14 października 2016 r. |
Podniesienie uprawnień w ramach luki w podsystemie wydajności jądra
Luka w zabezpieczeniach związana z podniesieniem uprawnień w podsystemie wydajności jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w systemie dźwięku jądra
Podatność na podniesienie uprawnień w podsystemie dźwięku jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | Wysoki | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w sterowniku Wi-Fi firmy Qualcomm umożliwiająca podniesienie uprawnień
Podatność w sterowniku Wi-Fi Qualcomma umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 |
Wysoki | Nexus 5X, Android One, Pixel, Pixel XL | 28 października 2016 r. |
Luka w sterowniku radia Qualcomma umożliwiająca podniesienie uprawnień
Podatność na podniesienie uprawnień w sterowniku radia Qualcomm może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 |
Wysoki | Android One | 3 listopada 2016 r. |
Luki w zabezpieczeniach związane z podniesieniem uprawnień w systemie podrzędnym profilowania jądra
Luka w zabezpieczeniach polegająca na podwyższeniu uprawnień w podsystemie profilowania jądra może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 Upstream kernel |
Wysoki | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Media Player | 4 listopada 2016 r. |
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 |
Wysoki | Nexus 6 | Tylko w Google |
| CVE-2016-8454 | A-32174590* B-RB#107142 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 października 2016 r. |
| CVE-2016-8455 | A-32219121* B-RB#106311 |
Wysoki | Nexus 6P | 15 października 2016 r. |
| CVE-2016-8456 | A-32219255* B-RB#105580 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 października 2016 r. |
| CVE-2016-8457 | A-32219453* B-RB#106116 |
Wysoki | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
podatność na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics
W ramach podatności na podniesienie uprawnień w sterowniku ekranu dotykowego Synaptics lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem ma wysoki priorytet, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | Wysoki | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku wideo Nvidii
W sterowniku karty graficznej NVIDIA występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych bez wyraźnej zgody użytkownika.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
Wysoki | Nexus 9 | 21 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zabezpieczeniach polegająca na ujawnianiu informacji w bootloaderze
Użytkownik lokalny może wykorzystać podatność w bootlooderze, aby uzyskać dostęp do danych poza poziomem uprawnień. Ten problem ma wysoki priorytet, ponieważ może umożliwiać dostęp do danych wrażliwych.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | Wysoki | Nexus 9, Pixel, Pixel XL | 21 października 2016 r. |
| CVE-2016-8462 | A-32510383* | Wysoki | Pixel, Pixel XL | 27 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w zabezpieczeniach umożliwiająca atak typu DoS w systemie plików Qualcomm FUSE.
Usługa odmowy dostępu w systemie plików Qualcomm FUSE może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę wysoką z powodu możliwości zdalnego odmowy usługi.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 |
Wysoki | Brak* | 3 stycznia 2014 r. |
* Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
luka w zabezpieczeniach umożliwiająca atak typu DoS w bootlooderze
Usługa odmowy usługi w bootloaderze może umożliwić atakującemu trwałe odmowę usługi na poziomie lokalnym, co może wymagać ponownego zaflashowania systemu operacyjnego w celu naprawy urządzenia. Ten problem został oznaczony jako wysoki ze względu na możliwość trwałego odmowy usługi na poziomie lokalnym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | Wysoki | Nexus 6, Nexus 6P | 29 czerwca 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Podniesienie uprawnień w sterowniku Wi-Fi Broadcom
W ramach podatności w sterowniku Wi-Fi Broadcom dotyczącym podwyższania uprawnień lokalna złośliwa aplikacja może wykonać dowolny kod w kontekście jądra. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 |
Umiarkowana | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 maja 2016 r. |
| CVE-2016-8466 | A-31822524* B-RB#105268 |
Umiarkowana | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 września 2016 r. |
| CVE-2016-8465 | A-32474971* B-RB#106053 |
Umiarkowana | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień w Binder
Podatność w Binderze umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu z uprawnieniami. Ten problem ma ocenę Średni, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego i jest ograniczony przez obecne konfiguracje platformy.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | Umiarkowana | Pixel C, Pixel, Pixel XL | Tylko w Google |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku kamery NVidia.
W przypadku podatności w sterowniku aparatu umożliwiającej ujawnienie informacji lokalna złośliwa aplikacja może uzyskać dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
Umiarkowana | Nexus 9 | 7 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w zabezpieczeniach w sterowniku MediaTek dotycząca ujawniania informacji;
W sterowniku MediaTek występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziomy uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
Umiarkowana | Brak** | 15 września 2016 r. |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
Umiarkowana | Brak** | 15 września 2016 r. |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
Umiarkowana | Brak** | 15 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
** Ta luka nie dotyczy obsługiwanych urządzeń Google z Androidem 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.
Luka w zabezpieczeniach polegająca na ujawnianiu informacji w sterowniku STMicroelectronics
W sterowniku firmy STMicroelectronics występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem ma ocenę Średni, ponieważ wymaga najpierw kompromisu w procesie uprzywilejowanym.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | Umiarkowana | Nexus 5X, Nexus 6P | 28 września 2016 r. |
| CVE-2016-8474 | A-31799972* | Umiarkowana | Nexus 5X, Nexus 6P | 28 września 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
luka w procesorze Qualcomm do przetwarzania dźwięku, która umożliwia ujawnienie informacji
W procesorze post-processingu audio Qualcomm występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych spoza poziomu uprawnień. Ten problem ma ocenę Średni, ponieważ może być wykorzystywany do uzyskiwania dostępu do danych poufnych bez zgody.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Zaktualizowane wersje AOSP | Data zgłoszenia |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [2] | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 października 2016 r. |
| CVE-2017-0400 | A-32438598 [2] | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
| CVE-2017-0401 | A-32588016 | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 października 2016 r. |
| CVE-2017-0402 | A-32588352 [2] | Umiarkowana | Wszystko | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 października 2016 r. |
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w sterowniku wejścia HTC
W sterowniku wejścia HTC występuje luka umożliwiająca ujawnienie informacji, która może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomem uprawnień. Ten problem został oceniony jako średnio poważny, ponieważ wymaga najpierw przejęcia procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | Umiarkowana | Pixel, Pixel XL | 30 października 2016 r. |
* Aktualizacja rozwiązująca ten problem nie jest dostępna publicznie. Aktualizacja jest zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
podatność na atak typu DoS w systemie plików jądra
Usługa odmowy dostępu w systemie plików jądra może umożliwić lokalnej złośliwej aplikacji spowodowanie zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został oceniony jako Średni, ponieważ jest to tymczasowy brak dostępu do usługi, którego rozwiązanie wymaga zresetowania urządzenia do ustawień fabrycznych.
| CVE | Pliki referencyjne | Poziom | Zaktualizowane urządzenia Google | Data zgłoszenia |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 Jednostka jądra upstream |
Umiarkowana | Pixel C | 25 grudnia 2014 r. |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 2017-01-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-01-01.
- Poziomy aktualizacji zabezpieczeń z 2017-01-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-01-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia, które korzystają z poziomu aktualizacji zabezpieczeń z 1 stycznia 2017 r., muszą zawierać wszystkie problemy związane z tym poziomem, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które mają stan aktualizacji zabezpieczeń z 5 stycznia 2017 r. lub nowszego, muszą zawierać wszystkie poprawki z tego (i poprzednich) biuletynu bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Jak sprawdzić, które urządzenia Google są dotknięte danym problemem?
W sekcjach 2017-01-01 i 2017-01-05 z informacjami o lukach w zabezpieczeniach znajduje się kolumna Zaktualizowane urządzenia Google, która obejmuje zakres urządzeń Google, które zostały zaktualizowane w związku z danym problemem. Ta kolumna ma kilka opcji:
- Wszystkie urządzenia Google: jeśli problem dotyczy wszystkich urządzeń i urządzeń Pixel, w tabeli w kolumnie Zaktualizowane urządzenia Google pojawi się wartość „Wszystkie”. „Wszystkie” obejmuje te obsługiwane urządzenia: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
- Niektóre urządzenia Google: jeśli problem nie dotyczy wszystkich urządzeń Google, te, na które ma wpływ, są wymienione w kolumnie Zaktualizowane urządzenia Google.
- Brak urządzeń Google: jeśli problem nie dotyczy żadnych urządzeń Google z najnowszą dostępną wersją Androida, w kolumnie Zaktualizowane urządzenia Google pojawi się komunikat „Brak”.
4. Do czego odnoszą się wpisy w kolumnie „Odwołania”?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia. Te przedrostki są mapowane w ten sposób:
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
Wersje
- 3 stycznia 2017 r.: opublikowano biuletyn.
- 4 stycznia 2017 r.: w powiadomieniu uwzględniono linki do AOSP.
- 5 stycznia 2017 r.: doprecyzowano numer wersji AOSP z 7.1 na 7.1.1.
- 12 stycznia 2017 r.: usunięto zduplikowany wpis CVE-2016-8467.
- 24 stycznia 2017 r.: zaktualizowano opis i powagę luki CVE-2017-0381.
- 2 lutego 2017 r.: zaktualizowano informacje dotyczące CVE-2017-0389 o link do dodatkowej poprawki.