Бюллетень по безопасности Android – январь 2017 г.

Опубликован 3 января 2017 г. | Обновлен 2 февраля 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 января 2017 года или более новом. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.

Мы сообщили партнерам об уязвимостях 5 декабря 2016 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них, а также на исправления вне AOSP есть в этом бюллетене.

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Объявления

  • Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-01-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-01-01 и более ранние.
    • 2017-01-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-01-01 и 2017-01-05, а также более ранние.
  • На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 января 2017 года.

Перечень уязвимостей

В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного применения уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Александру Бланда: CVE-2017-0390.
  • Дэниел Микей из Copperhead Security: CVE-2017-0397.
  • Дасин Го (@freener0) из Xuanwu Lab, Tencent: CVE-2017-0386.
  • derrek (@derrekr6): CVE-2017-0392.
  • Ди Шэнь (@returnsme) из Keen Lab (@keen_lab), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403.
  • donfos (Аравинд Мачири) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472.
  • Энь Хэ (@heeeeen4x) из MS509Team: CVE-2017-0394.
  • Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464.
  • Команда Google WebM: CVE-2017-0393.
  • Гуан Гун (龚广) (@oldfresher) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0387.
  • Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465.
  • Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360: CVE-2016-8475.
  • Джон Сойер (@jcase) и Шон Бопре (@firewaterdevs): CVE-2016-8462.
  • Джон Сойер (@jcase), Шон Бопре (@firewaterdevs) и Бен Актис (@Ben_RA): CVE-2016-8461.
  • Минцзянь Чжоу (@Mingjian_Zhou), Юйци Лу (@nikos233), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0383.
  • Монк Авел: CVE-2017-0396, CVE-2017-0399.
  • Питер Пи (@heisecode) из Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474.
  • Цидань Хэ (何淇丹) (@flanker_hqd) из KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382.
  • Рои Хэй и Майкл Гоберман из IBM Security X-Force: CVE-2016-8467.
  • Севен Шэнь (@lingtongshen) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-8466.
  • Стив Морроу: CVE-2017-0389.
  • V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0381.
  • Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2017-0391.
  • Вэнькэ Доу, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0402, CVE-2017-0398.
  • Вэнькэ Доу, Ханьсян Вэнь, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0400.
  • Вэнькэ Доу, Хунли Хань, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0384, CVE-2017-0385.
  • Вэнькэ Доу, Юйци Лу (@nikos233), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2017-0401.
  • Яо Цзюнь, Юань-Цун Ло, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435.
  • Юн Ван (王勇) (@ThomasKing2014) и Цзюнь Чэн из Alibaba Inc.: CVE-2017-0404.
  • Юань-Цун Ло, Тун Линь, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449.
  • Юань-Цун Ло, Яньфэн Ван, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-8430, CVE-2016-8482.
  • Юйсян Ли (@Xbalien29) из отдела безопасности платформы Tencent: CVE-2017-0395.
  • Чжаньпэн Чжао (行之) (@0xr0ot) из Security Research Lab, Cheetah Mobile: CVE-2016-8451.

Также благодарим всех, кто помог в составлении этого бюллетеня:

  • Баоцзэн Дин, Чэнмин Ян, Пэн Сяо, Нин Ю, Ян Дун, Чао Ян, И Чжан и Ян Сун из Alibaba Mobile Security Group.
  • Питер Пи (@heisecode) из Trend Micro.
  • Зубин Митра из Google.

Описание уязвимостей (обновление системы безопасности 2017-01-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-01-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через c-ares

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного запроса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-5180 A-32205736 Высокий Все 7.0 29 сентября 2016 г.

Удаленное выполнение кода через Framesequence

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0382 A-32338390 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 октября 2016 г.

Повышение привилегий через Framework API

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0383 A-31677614 Высокий Все 7.0, 7.1.1 21 сентября 2016 г.

Повышение привилегий через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0384 A-32095626 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 октября 2016 г.
CVE-2017-0385 A-32585400 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 октября 2016 г.

Повышение привилегий через libnl

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0386 A-32255299 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 октября 2016 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0387 A-32660278 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 ноября 2016 г.

Раскрытие информации через External Storage Provider

Уязвимость позволяет локальному дополнительному пользователю получить доступ к информации на SD-карте, подключенной основным пользователем. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0388 A-32523490 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Отказ в обслуживании в сетевой части ядра

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0389 A-31850211 [2] [3] Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 20 июля 2016 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0390 A-31647370 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 сентября 2016 г.
CVE-2017-0391 A-32322258 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 20 октября 2016 г.
CVE-2017-0392 A-32577290 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 октября 2016 г.
CVE-2017-0393 A-30436808 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Отказ в обслуживании через телефонную связь

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0394 A-31752213 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 сентября 2016 г.

Повышение привилегий через Контакты

Уязвимость позволяет локальному вредоносному ПО скрыто добавлять контактную информацию. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0395 A-32219099 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 октября 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0381 A-31607432 Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 сентября 2016 г.
CVE-2017-0396 A-31781965 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 сентября 2016 г.
CVE-2017-0397 A-32377688 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 октября 2016 г.

Раскрытие информации через audioserver

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0398 A-32438594 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.
CVE-2017-0398 A-32635664 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.
CVE-2017-0398 A-32624850 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.
CVE-2017-0399 A-32247948 [2] Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 октября 2016 г.
CVE-2017-0400 A-32584034 [2] Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.
CVE-2017-0401 A-32448258 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 октября 2016 г.
CVE-2017-0402 A-32436341 [2] Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.

Описание уязвимостей (обновление системы безопасности 2017-01-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-01-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Повышение привилегий через подсистему памяти ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2015-3288 A-32460277
Upstream kernel
Критический Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 9 июля 2015 г.

Повышение привилегий через загрузчик Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8422 A-31471220
QC-CR#979426
Критический Nexus 6, Nexus 6P, Pixel, Pixel XL 22 июля 2016 г.
CVE-2016-8423 A-31399736
QC-CR#1000546
Критический Nexus 6P, Pixel, Pixel XL 24 августа 2016 г.

Повышение привилегий через файловую систему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2015-5706 A-32289301
Upstream kernel
Критический Нет* 1 августа 2016 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.

Повышение привилегий через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
Критический Nexus 9 17 сентября 2016 г.
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
Критический Nexus 9 28 сентября 2016 г.
CVE-2016-8426 A-31799206*
N-CVE-2016-8426
Критический Nexus 9 28 сентября 2016 г.
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
Критический Nexus 9 28 сентября 2016 г.
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
Критический Nexus 9 28 сентября 2016 г.
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
Критический Nexus 9 6 октября 2016 г.
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
Критический Nexus 9 13 октября 2016 г.
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
Критический Nexus 9 17 октября 2016 г.
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
Критический Pixel C 25 октября 2016 г.
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
Критический Pixel C 26 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8433 A-31750190*
MT-ALPS02974192
Критический Нет** 24 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер Qualcomm для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8434 A-32125137
QC-CR#1081855
Критический Nexus 5X, Nexus 6, Nexus 6P, Android One 12 октября 2016 г.

Повышение привилегий через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
Критический Pixel C 7 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8436 A-32450261
QC-CR#1007860
Критический Нет* 13 октября 2016 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.

Уязвимости в компонентах Qualcomm

Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за ноябрь 2015 года, август 2016 года, сентябрь 2016 года и октябрь 2016 года.

CVE Ссылки Уровень серьезности* Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8438 A-31624565** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8442 A-31625910** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8443 A-32576499** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8437 A-31623057** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8439 A-31625204** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8440 A-31625306** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8441 A-31625904** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8398 A-31548486** Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One Доступно только сотрудникам Qualcomm
CVE-2016-8459 A-32577972** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-5080 A-31115235** Средний Nexus 5X Доступно только сотрудникам Qualcomm

*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

** Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте для разработчиков.

*** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через камеру Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8412 A-31225246
QC-CR#1071891
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 26 августа 2016 г.
CVE-2016-8444 A-31243641*
QC-CR#1074310
Высокий Nexus 5X, Nexus 6, Nexus 6P 26 августа 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через компоненты MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8445 A-31747590*
MT-ALPS02968983
Высокий Нет** 25 сентября 2016 г.
CVE-2016-8446 A-31747749*
MT-ALPS02968909
Высокий Нет** 25 сентября 2016 г.
CVE-2016-8447 A-31749463*
MT-ALPS02968886
Высокий Нет** 25 сентября 2016 г.
CVE-2016-8448 A-31791148*
MT-ALPS02982181
Высокий Нет** 28 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8415 A-31750554
QC-CR#1079596
Высокий Nexus 5X, Pixel, Pixel XL 26 сентября 2016 г.

Повышение привилегий через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
Высокий Nexus 9 28 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8450 A-32450563
QC-CR#880388
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One 13 октября 2016 г.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8451 A-32178033* Высокий Нет** 13 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через подсистему безопасности ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-7042 A-32178986
Upstream kernel
Высокий Pixel C 14 октября 2016 г.

Повышение привилегий через подсистему производительности ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0403 A-32402548* Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 25 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через звуковую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0404 A-32510733* Высокий Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL 27 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8452 A-32506396
QC-CR#1050323
Высокий Nexus 5X, Android One, Pixel, Pixel XL 28 октября 2016 г.

Повышение привилегий через драйвер радиоустройства Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5345 A-32639452
QC-CR#1079713
Высокий Android One 3 ноября 2016 г.

Повышение привилегий через подсистему профилирования ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-9754 A-32659848
Upstream kernel
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player 4 ноября 2016 г.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8453 A-24739315*
B-RB#73392
Высокий Nexus 6 Доступно только сотрудникам Google
CVE-2016-8454 A-32174590*
B-RB#107142
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 14 октября 2016 г.
CVE-2016-8455 A-32219121*
B-RB#106311
Высокий Nexus 6P 15 октября 2016 г.
CVE-2016-8456 A-32219255*
B-RB#105580
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 15 октября 2016 г.
CVE-2016-8457 A-32219453*
B-RB#106116
Высокий Nexus 6, Nexus 6P, Nexus 9, Pixel C 15 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8458 A-31968442* Высокий Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через видеодрайвер NVIDIA

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
Высокий Nexus 9 21 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через загрузчик ОС

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8461 A-32369621* Высокий Nexus 9, Pixel, Pixel XL 21 октября 2016 г.
CVE-2016-8462 A-32510383* Высокий Pixel, Pixel XL 27 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Отказ в обслуживании в файловой системе FUSE Qualcomm

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8463 A-30786860
QC-CR#586855
Высокий Нет* 3 января 2016 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.

Отказ в обслуживании в загрузчике ОС

Уязвимость позволяет злоумышленнику вызывать нарушения в работе системы. Возможно, для устранения проблемы потребуется переустановить ОС. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8467 A-30308784* Высокий Nexus 6, Nexus 6P 29 июня 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса и предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8464. A-29000183*
B-RB#106314
Средний Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 26 мая 2016 г.
CVE-2016-8466 A-31822524*
B-RB#105268
Средний Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 28 сентября 2016 г.
CVE-2016-8465 A-32474971*
B-RB#106053
Средний Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через Binder

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту такого процесса, а также предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8468 A-32394425* Средний Pixel C, Pixel, Pixel XL Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через драйвер NVIDIA для камеры

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Средний Nexus 9 7 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через драйвер MediaTek

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Средний Нет** 15 сентября 2016 г.
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Средний Нет** 15 сентября 2016 г.
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Средний Нет** 15 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Раскрытие информации через драйвер STMicroelectronics

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8473 A-31795790* Средний Nexus 5X, Nexus 6P 28 сентября 2016 г.
CVE-2016-8474 A-31799972* Средний Nexus 5X, Nexus 6P 28 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через постпроцессор аудио Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0399 A-32588756 [2] Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 октября 2016 г.
CVE-2017-0400 A-32438598 [2] Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.
CVE-2017-0401 A-32588016 Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 октября 2016 г.
CVE-2017-0402 A-32588352 [2] Средний Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 октября 2016 г.

Раскрытие информации через драйвер ввода HTC

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8475 A-32591129* Средний Pixel, Pixel XL 30 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Отказ в обслуживании в файловой системе ядра

Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Ей присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании, который устраняется сбросом настроек устройства.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-9420 A-32477499
Upstream kernel
Средний Pixel C 25 декабря 2014 г.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Проверьте версию системы безопасности, следуя инструкциям из статьи о сроках обновления ПО для телефонов Pixel и Nexus.

  • В исправлении от 1 января 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-01-01.
  • В исправлении от 5 января 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-01-05.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

  • [ro.build.version.security_patch]:[2017-01-01];
  • [ro.build.version.security_patch]:[2017-01-05].

2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением от 1 января 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
  • На устройствах с установленным обновлением от 5 января 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Как определить, на каких устройствах Google присутствует уязвимость?

В каждой таблице разделов с описанием уязвимостей 2017-01-01 и 2017-01-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Google с актуальной версией Android.

4. На что указывают записи в столбце "Ссылки"?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

Версии

  • 3 января 2017 года. Опубликовано впервые.
  • 4 января 2017 года. Добавлены ссылки на AOSP.
  • 5 января 2017 года. Исправлен номер версии AOSP с 7.1 на 7.1.1.
  • 12 января 2017 года. Удалена повторяющаяся информация об уязвимости CVE-2016-8467.
  • 24 января 2017 года. Обновлено описание и уровень серьезности для CVE-2017-0381.
  • 2 февраля 2017 года. Добавлена дополнительная ссылка на исправление для CVE-2017-0389.