Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Boletim de segurança do Android - fevereiro de 2017

Publicado em 06 de fevereiro de 2017 | Atualizado em 8 de fevereiro de 2017

O Boletim de Segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Juntamente com o boletim, lançamos uma atualização de segurança para dispositivos do Google por meio de uma atualização over-the-air (OTA). As imagens de firmware do dispositivo Google também foram lançadas no site Google Developer . Os níveis de patch de segurança de 5 de fevereiro de 2017 ou posteriores tratam de todos esses problemas. Consulte a programação de atualização do Pixel e Nexus para saber como verificar o nível de patch de segurança de um dispositivo.

Os parceiros foram notificados sobre os problemas descritos no boletim em 03 de janeiro de 2017 ou antes. Os patches do código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS, ao processar arquivos de mídia. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, assumindo que a plataforma e as atenuações do serviço estão desabilitadas para fins de desenvolvimento ou se contornadas com sucesso.

Não recebemos relatórios de exploração ativa do cliente ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações de serviço do Android e do Google para obter detalhes sobre as proteções da plataforma de segurança Android e as proteções de serviço, como SafetyNet , que melhoram a segurança da plataforma Android.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

Anúncios

  • Este boletim tem duas strings de nível de patch de segurança para fornecer aos parceiros Android a flexibilidade de corrigir mais rapidamente um subconjunto de vulnerabilidades que são semelhantes em todos os dispositivos Android. Consulte Perguntas e respostas comuns para obter informações adicionais:
    • 01/02/2017 : string de nível de patch de segurança parcial. Esta string de nível de patch de segurança indica que todos os problemas associados a 2017-02-01 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
    • 05/02/2017 : string de nível de patch de segurança completa. Esta string de nível de patch de segurança indica que todos os problemas associados a 2017-02-01 e 2017-02-05 (e todas as strings de nível de patch de segurança anteriores) foram resolvidos.
  • Os dispositivos Google com suporte receberão uma única atualização OTA com o nível de patch de segurança de 5 de fevereiro de 2017.

Reduções de serviço do Android e do Google

Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como SafetyNet. Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com êxito no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente o abuso com Verify Apps e SafetyNet , que são projetados para alertar os usuários sobre aplicativos potencialmente nocivos . O Verify Apps é habilitado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de enraizamento do dispositivo são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de enraizamento detectado - não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
  • Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como o Mediaserver.

Reconhecimentos

Gostaríamos de agradecer a esses pesquisadores por suas contribuições:

Gostaríamos também de agradecer às seguintes pessoas por suas contribuições para este boletim:

  • Pengfei Ding (丁鹏飞), Chenfu Bao (包 沉浮) e Lenx Wei (韦 韬) do Baidu X-Lab (百度 安全 实验室)

Nível do patch de segurança de 01/02/2017 - detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch de 01/02/2017. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos Google atualizados, versões AOSP atualizadas (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após a ID do bug.

Vulnerabilidade de execução remota de código no Surfaceflinger

Uma vulnerabilidade de execução remota de código no Surfaceflinger pode permitir que um invasor usando um arquivo especialmente criado para causar corrupção de memória durante o arquivo de mídia e processamento de dados. Este problema é classificado como Crítico devido à possibilidade de execução remota de código dentro do contexto do processo Surfaceflinger.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0405 A-31960359 Crítico Tudo 7.0, 7.1.1 4 de outubro de 2016

Vulnerabilidade de execução remota de código no Mediaserver

Uma vulnerabilidade de execução remota de código no Mediaserver pode permitir que um invasor use um arquivo especialmente criado para causar corrupção de memória durante o processamento de arquivos de mídia e dados. Este problema é classificado como Crítico devido à possibilidade de execução remota de código dentro do contexto do processo Mediaserver.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0406 A-32915871 [ 2 ] Crítico Tudo 6.0, 6.0.1, 7.0, 7.1.1 14 de novembro de 2016
CVE-2017-0407 A-32873375 Crítico Tudo 6.0, 6.0.1, 7.0, 7.1.1 12 de novembro de 2016

Vulnerabilidade de execução remota de código em libgdx

Uma vulnerabilidade de execução remota de código em libgdx pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Este problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa esta biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0408 A-32769670 Alto Tudo 7.1.1 9 de novembro de 2016

Vulnerabilidade de execução remota de código no libstagefright

Uma vulnerabilidade de execução remota de código em libstagefright pode permitir que um invasor usando um arquivo especialmente criado execute código arbitrário no contexto de um processo sem privilégios. Este problema é classificado como Alto devido à possibilidade de execução remota de código em um aplicativo que usa esta biblioteca.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0409 A-31999646 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 Interno do Google

Vulnerabilidade de elevação de privilégio em Java.Net

Uma elevação de privilégio na biblioteca Java.Net pode permitir que conteúdo malicioso da web redirecione um usuário para outro site sem permissão explícita. Este problema é classificado como Alto porque é um desvio remoto dos requisitos de interação do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2016-5552 A-31858037 Alto Tudo 7.0, 7.1.1 30 de setembro de 2016

Vulnerabilidade de elevação de privilégio em APIs do Framework

Uma vulnerabilidade de elevação de privilégio nas APIs do Framework pode permitir que um aplicativo mal-intencionado local execute código arbitrário dentro do contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0410 A-31929765 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 de outubro de 2016
CVE-2017-0411 A-33042690 [ 2 ] Alto Tudo 7.0, 7.1.1 21 de novembro de 2016
CVE-2017-0412 A-33039926 [ 2 ] Alto Tudo 7.0, 7.1.1 21 de novembro de 2016

Vulnerabilidade de elevação de privilégio no Mediaserver

Uma vulnerabilidade de elevação de privilégio no Mediaserver pode permitir que um aplicativo malicioso local execute código arbitrário no contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0415 A-32706020 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 4 de novembro de 2016

Vulnerabilidade de elevação de privilégio no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um processo privilegiado. Esse problema é classificado como Alto porque pode ser usado para obter acesso local a recursos elevados, que normalmente não são acessíveis a um aplicativo de terceiros.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0416 A-32886609 [ 2 ] Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Interno do Google
CVE-2017-0417 A-32705438 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016
CVE-2017-0418 A-32703959 [ 2 ] Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016
CVE-2017-0419 A-32220769 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 de outubro de 2016

Vulnerabilidade de divulgação de informações no AOSP Mail

Uma vulnerabilidade de divulgação de informações no AOSP Mail pode permitir que um aplicativo malicioso local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0420 A-32615212 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 de setembro de 2016

Vulnerabilidade de divulgação de informações no AOSP Messaging

Uma vulnerabilidade de divulgação de informações no AOSP Messaging pode permitir que um aplicativo malicioso local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0413 A-32161610 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 13 de outubro de 2016
CVE-2017-0414 A-32807795 Alto Tudo 6.0, 6.0.1, 7.0, 7.1.1 10 de novembro de 2016

Vulnerabilidade de divulgação de informações em APIs de estrutura

Uma vulnerabilidade de divulgação de informações nas APIs do Framework pode permitir que um aplicativo mal-intencionado local ignore as proteções do sistema operacional que isolam os dados do aplicativo de outros aplicativos. Esse problema é classificado como Alto porque pode ser usado para obter acesso a dados aos quais o aplicativo não tem acesso.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0421 A-32555637 Alto Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Interno do Google

Vulnerabilidade de negação de serviço no Bionic DNS

Uma vulnerabilidade de negação de serviço no Bionic DNS pode permitir que um invasor remoto use um pacote de rede especialmente criado para causar o travamento ou reinicialização do dispositivo. Este problema foi classificado como Alto devido à possibilidade de negação de serviço remota.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0422 A-32322088 Alto Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016

Vulnerabilidade de elevação de privilégio no Bluetooth

Uma vulnerabilidade de elevação de privilégio no Bluetooth pode permitir que um invasor próximo gerencie o acesso aos documentos no dispositivo. Este problema é classificado como moderado porque requer primeiro a exploração de uma vulnerabilidade separada na pilha Bluetooth.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0423 A-32612586 Moderado Tudo 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 de novembro de 2016

Vulnerabilidade de divulgação de informações no AOSP Messaging

Uma vulnerabilidade de divulgação de informações no AOSP Messaging pode permitir que um invasor remoto usando um arquivo especial criado para acessar dados fora de seus níveis de permissão. Este problema é classificado como moderado porque é um desvio geral para uma defesa em nível de usuário em profundidade ou tecnologia de mitigação de exploração em um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0424 A-32322450 Moderado Tudo 6.0, 6.0.1, 7.0, 7.1.1 20 de outubro de 2016

Vulnerabilidade de divulgação de informações no Audioserver

Uma vulnerabilidade de divulgação de informações no Audioserver pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0425 A-32720785 Moderado Tudo 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 de novembro de 2016

Vulnerabilidade de divulgação de informações no sistema de arquivos

Uma vulnerabilidade de divulgação de informações no sistema de arquivos pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como moderado porque pode ser usado para acessar dados confidenciais sem permissão.

CVE Referências Gravidade Dispositivos Google atualizados Versões atualizadas de AOSP Data relatada
CVE-2017-0426 A-32799236 [ 2 ] Moderado Tudo 7.0, 7.1.1 Interno do Google

Nível do patch de segurança 05/02/2017 - detalhes da vulnerabilidade

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 05/02/2017. Há uma descrição do problema, uma justificativa de gravidade e uma tabela com o CVE, referências associadas, gravidade, dispositivos Google atualizados, versões atualizadas do AOSP (quando aplicável) e data relatada. Quando disponível, vincularemos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após a ID do bug.

Vulnerabilidade de execução remota de código no driver de criptografia Qualcomm

Uma vulnerabilidade de execução remota de código no driver de criptografia Qualcomm pode permitir que um invasor remoto execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de execução remota de código no contexto do kernel.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2016-8418 A-32652894
QC-CR # 1077457
Crítico Nenhum* 10 de outubro de 2016

* Os dispositivos Google com suporte no Android 7.0 ou posterior que tenham instalado todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no sistema de arquivos kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento de um dispositivo local permanente, o que pode exigir o reflash do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0427 A-31495866 * Crítico Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver NVIDIA GPU

Uma vulnerabilidade de elevação de privilégio no driver NVIDIA GPU pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento de um dispositivo local permanente, o que pode exigir o reflash do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0428 A-32401526 *
N-CVE-2017-0428
Crítico Nexus 9 25 de outubro de 2016
CVE-2017-0429 A-32636619 *
N-CVE-2017-0429
Crítico Nexus 9 3 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no subsistema de rede do kernel

Uma vulnerabilidade de elevação de privilégio no subsistema de rede do kernel pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento de um dispositivo local permanente, o que pode exigir o reflash do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2014-9914 A-32882659
Kernel upstream
Crítico Nexus 6, Nexus Player 9 de novembro de 2016

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como Crítico devido à possibilidade de comprometimento do dispositivo permanente local, o que pode exigir o reflash do sistema operacional para reparar o dispositivo.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0430 A-32838767 *
B-RB # 107459
Crítico Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Interno do Google

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidades em componentes Qualcomm

A vulnerabilidade a seguir afeta os componentes da Qualcomm e é descrita em mais detalhes no boletim de segurança Qualcomm AMSS de setembro de 2016.

CVE Referências Gravidade* Dispositivos Google atualizados Data relatada
CVE-2017-0431 A-32573899 ** Crítico Nenhum*** Qualcomm interno

* A classificação de gravidade para essas vulnerabilidades foi determinada pelo fornecedor.

** O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

*** Os dispositivos Google com suporte no Android 7.0 ou posterior que tenham instalado todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no driver MediaTek

Uma vulnerabilidade de elevação de privilégio no driver MediaTek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0432 A-28332719 *
M-ALPS02708925
Alto Nenhum** 21 de abril de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

** Dispositivos Google com suporte em Android 7.0 ou posterior que tenham instalado todas as atualizações disponíveis não são afetados por esta vulnerabilidade.

Vulnerabilidade de elevação de privilégio no driver da tela de toque Synaptics

Uma vulnerabilidade de elevação de privilégio no driver da tela de toque Synaptics pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do chipset da tela de toque. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0433 A-31913571 * Alto Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 de setembro de 2016
CVE-2017-0434 A-33001936 * Alto Pixel, Pixel XL 18 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Secure Execution Environment Communicator

Uma vulnerabilidade de elevação de privilégio na unidade Qualcomm Secure Execution Environment Communicator pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2016-8480 A-31804432
QC-CR # 1086186 [ 2 ]
Alto Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 de setembro de 2016

Vulnerabilidade de elevação de privilégio no driver de som Qualcomm

Uma vulnerabilidade de elevação de privilégio no driver de som Qualcomm pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2016-8481 A-31906415 *
QC-CR # 1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 de outubro de 2016
CVE-2017-0435 A-31906657 *
QC-CR # 1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 de outubro de 2016
CVE-2017-0436 A-32624661 *
QC-CR # 1078000
Alto Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Qualcomm Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0437 A-32402310
QC-CR # 1092497
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2017-0438 A-32402604
QC-CR # 1092497
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2017-0439 A-32450647
QC-CR # 1092059
Alto Nexus 5X, Pixel, Pixel XL 25 de outubro de 2016
CVE-2016-8419 A-32454494
QC-CR # 1087209
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2016-8420 A-32451171
QC-CR # 1087807
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2016-8421 A-32451104
QC-CR # 1087797
Alto Nexus 5X, Pixel, Pixel XL 26 de outubro de 2016
CVE-2017-0440 A-33252788
QC-CR # 1095770
Alto Nexus 5X, Pixel, Pixel XL 11 de novembro de 2016
CVE-2017-0441 A-32872662
QC-CR # 1095009
Alto Nexus 5X, Pixel, Pixel XL 11 de novembro de 2016
CVE-2017-04-2 A-32871330
QC-CR # 1092497
Alto Nexus 5X, Pixel, Pixel XL 13 de novembro de 2016
CVE-2017-0443 A-32877494
QC-CR # 1092497
Alto Nexus 5X, Pixel, Pixel XL 13 de novembro de 2016
CVE-2016-8476 A-32879283
QC-CR # 1091940
Alto Nexus 5X, Pixel, Pixel XL 14 de novembro de 2016

Vulnerabilidade de elevação de privilégio no driver de som Realtek

Uma vulnerabilidade de elevação de privilégio no driver de som Realtek pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0444 A-32705232 * Alto Nexus 9 7 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver da touchscreen HTC

Uma vulnerabilidade de elevação de privilégio no driver da tela de toque HTC pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto do kernel. Este problema é classificado como Alto porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0445 A-32769717 * Alto Pixel, Pixel XL 9 de novembro de 2016
CVE-2017-0446 A-32917445 * Alto Pixel, Pixel XL 15 de novembro de 2016
CVE-2017-04-17 A-32919560 * Alto Pixel, Pixel XL 15 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA

Uma vulnerabilidade de divulgação de informações no driver de vídeo NVIDIA pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como Alto porque pode ser usado para acessar dados confidenciais sem a permissão explícita do usuário.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0448 A-32721029 *
N-CVE-2017-0448
Alto Nexus 9 7 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi

Uma vulnerabilidade de elevação de privilégio no driver Broadcom Wi-Fi pode permitir que um aplicativo malicioso local execute código arbitrário no contexto do kernel. Este problema é classificado como Moderado porque requer primeiro o comprometimento de um processo privilegiado e é atenuado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-04.9 A-31707909 *
B-RB # 32094
Moderado Nexus 6, Nexus 6P 23 de setembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no Audioserver

Uma vulnerabilidade de elevação de privilégio no Audioserver pode permitir que um aplicativo malicioso local execute código arbitrário dentro do contexto de um processo privilegiado. Este problema é classificado como moderado porque é atenuado pelas configurações atuais da plataforma.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-0450 A-32917432 * Moderado Nexus 9 15 de novembro de 2016

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de elevação de privilégio no sistema de arquivos kernel

Uma vulnerabilidade de elevação de privilégio no sistema de arquivos do kernel pode permitir que um aplicativo mal-intencionado local ignore as proteções que impedem o aumento de privilégios. Este problema é classificado como moderado porque é um desvio geral para uma defesa em nível de usuário em profundidade ou tecnologia de mitigação de exploração.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2016-10044 A-31711619 * Moderado Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Interno do Google

* O patch para este problema não está disponível publicamente. A atualização está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .

Vulnerabilidade de divulgação de informações no Qualcomm Secure Execution Environment Communicator

Uma vulnerabilidade de divulgação de informações no Qualcomm Secure Execution Environment Communicator pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2016-8414 A-31704078
QC-CR # 1076407
Moderado Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 de setembro de 2016

Vulnerabilidade de divulgação de informações no driver de som Qualcomm

Uma vulnerabilidade de divulgação de informações no driver de som Qualcomm pode permitir que um aplicativo malicioso local acesse dados fora de seus níveis de permissão. Este problema é classificado como Moderado porque primeiro requer o comprometimento de um processo privilegiado.

CVE Referências Gravidade Dispositivos Google atualizados Data relatada
CVE-2017-051 A-31796345
QC-CR # 1073129 [ 2 ]
Moderado Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 27 de setembro de 2016

Perguntas e respostas comuns

Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como posso determinar se meu dispositivo está atualizado para resolver esses problemas?

Para saber como verificar o nível de patch de segurança de um dispositivo, leia as instruções na programação de atualização do Pixel e Nexus .

  • Os níveis de patch de segurança de 01/02/2017 abordam todos os problemas associados ao nível de patch de segurança de 2017-02-01.
  • Os níveis de patch de segurança de 05/02/2017 ou posterior tratam de todos os problemas associados ao nível do patch de segurança de 05/02/2017 e todos os níveis de patch anteriores.

Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Por que este boletim tem dois níveis de patch de segurança?

Este boletim tem dois níveis de patch de segurança para que os parceiros do Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades que são semelhantes em todos os dispositivos Android mais rapidamente. Os parceiros Android são encorajados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.

  • Os dispositivos que usam o nível de patch de segurança de 1º de fevereiro de 2017 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
  • Os dispositivos que usam o nível de patch de segurança de 5 de fevereiro de 2017 ou mais recente devem incluir todos os patches aplicáveis ​​neste (e nos anteriores) boletins de segurança.

Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.

3. Como posso determinar quais dispositivos Google são afetados por cada problema?

In the 2017-02-01 and 2017-02-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • February 06, 2017: Bulletin published.
  • February 08, 2017: Bulletin revised to include AOSP links.