Бюллетень по безопасности Android – март 2017 г.

Опубликовано 6 марта 2017 г. | Обновлено 7 марта 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все проблемы, перечисленные здесь, устранены в исправлении от 5 марта 2017 года или более новом. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Мы сообщили партнерам об уязвимостях 6 февраля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них и на исправления вне AOSP есть в этом бюллетене.

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на устройстве, где идет обработка медиафайлов. Например, это может быть при просмотре сайтов в интернете и работе с электронной почтой и MMS. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или злоумышленник их обойдет.

У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.

Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Объявления

  • Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-03-01: частичное исправление системы безопасности, в котором устранены все уязвимости уровня 2017-03-01 и более ранние.
    • 2017-03-05: полное исправление системы безопасности, в котором устранены все уязвимости уровней 2017-03-01 и 2017-03-05, а также более ранние.
  • На поддерживаемые устройства Google будет установлено единое беспроводное обновление системы безопасности от 5 марта 2017 года.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного применения уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, с помощью Проверки приложений и SafetyNet активно отслеживает случаи злоупотребления. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

  • Александр Потапенко из команды Google Dynamic Tools: CVE-2017-0537
  • Баоцзэн Дин, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0506
  • Баоцзэн Дин, Нин Ю, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0463
  • Билли Лау из команды безопасности Android: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460.
  • derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531.
  • derrek (@derrekr6) и Скотт Бауэр (@ScottyBauer1): CVE-2017-0521.
  • Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525.
  • Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team: CVE-2017-0490.
  • Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536.
  • Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464.
  • Хироки Ямамото и Фан Чэнь из Sony Mobile Communications Inc.: CVE-2017-0481.
  • Саги Кедми и Рои Хэй из IBM Security X-Force: CVE-2017-0510.
  • Цзяньцзюнь Дай (@Jioun_dai) из Qihoo 360 Skyeye Labs: CVE-2017-0478.
  • Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534.
  • Лубо Чжан, Тун Линь, Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2016-8479.
  • Макото Онуки из Google: CVE-2017-0491.
  • Минцзянь Чжоу (@Mingjian_Zhou), Ханьсян Вэнь и Сюйсянь Цзян из C0RE Team: CVE-2017-0479, CVE-2017-0480.
  • Нейтан Крэнделл (@natecray): CVE-2017-0535
  • Нейтан Крэнделл (@natecray) из Tesla Motors Product Security Team: CVE-2017-0306
  • Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-8417
  • Цидань Хэ (何淇丹) (@flanker_hqd) из KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
  • Цин Чжан из Qihoo 360 и Гуандун Бай из Технологического института Сингапура (SIT): CVE-2017-0496
  • Цюйхэ и ваньчоучоу из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
  • Sahara из Secure Communications в DarkMatter: CVE-2017-0528
  • salls (@chris_salls) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2017-0505.
  • Скотт Бауэр (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516.
  • Шон Бопре (beaups): CVE-2017-0455
  • Севен Шэнь (@lingtongshen) из Trend Micro: CVE-2017-0452
  • Шиничи Мацумото из Fujitsu: CVE-2017-0498.
  • Стефан Марк из ByteRev: CVE-2017-0489.
  • Светослав Ганов из Google: CVE-2017-0492.
  • Тун Линь, Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2017-0333.
  • V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495.
  • Виш У (吴潍浠 此彼) (@wish_wu) из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
  • Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
  • Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2017-0526, CVE-2017-0527.
  • Юйци Лу (@nikos233), Вэнькэ Доу, Дачэн Шао, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team: CVE-2017-0483.
  • Цзыно Хань (weibo.com/ele7enxxh) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497.

Описание уязвимостей (исправление системы безопасности 2017-03-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через OpenSSL и BoringSSL

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке файлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-2182 A-32096880 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 5 августа 2016 г.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0466 A-33139050 [2] Критический Все 6.0, 6.0.1, 7.0, 7.1.1 25 ноября 2016 г.
CVE-2017-0467 A-33250932 [2] Критический Все 6.0, 6.0.1, 7.0, 7.1.1 30 ноября 2016 г.
CVE-2017-0468 A-33351708 [2] Критический Все 6.0, 6.0.1, 7.0, 7.1.1 5 декабря 2016 г.
CVE-2017-0469 A-33450635 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 8 декабря 2016 г.
CVE-2017-0470 A-33818500 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 21 декабря 2016 г.
CVE-2017-0471 A-33816782 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 21 декабря 2016 г.
CVE-2017-0472 A-33862021 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 23 декабря 2016 г.
CVE-2017-0473 A-33982658 Критический Все 6.0, 6.0.1, 7.0, 7.1.1 30 декабря 2016 г.
CVE-2017-0474 A-32589224 Критический Все 7.0, 7.1.1 Доступно только сотрудникам Google

Повышение привилегий через верификатор восстановления

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0475 A-31914369 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 октября 2016 г.

Удаленное выполнение кода через клиент для обмена сообщениями AOSP

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте непривилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0476 A-33388925 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 6 декабря 2016 г.

Удаленное выполнение кода через libgdx

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0477 A-33621647 Высокий Все 7.1.1 14 декабря 2016 г.

Удаленное выполнение кода через библиотеку Framesequence

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0478 A-33718716 Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 16 декабря 2016 г.

Повышение привилегий через NFC

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0481 A-33434992 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 ноября 2016 г.

Повышение привилегий через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0479 A-32707507 [2] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.
CVE-2017-0480 A-32705429 [2] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 ноября 2016 г.

Отказ в обслуживании через mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0482 A-33090864 [2] [3] [4] [5] [6] Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 22 ноября 2016 г.
CVE-2017-0483 A-33137046 [2] Высокий Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 ноября 2016 г.
CVE-2017-0484 A-33298089 [2] Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 1 декабря 2016 г.
CVE-2017-0485 A-33387820 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 6 декабря 2016 г.
CVE-2017-0486 A-33621215 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 14 декабря 2016 г.
CVE-2017-0487 A-33751193 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 19 декабря 2016 г.
CVE-2017-0488 A-34097213 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Повышение привилегий через диспетчер местоположения

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС для данных о местоположении. Проблеме присвоен средний уровень серьезности, поскольку она может использоваться для генерации неправильных данных.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0489 A-33091107 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 ноября 2016 г.

Повышение привилегий через Wi-Fi

Уязвимость позволяет локальному вредоносному ПО удалять пользовательские данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0490 A-33178389 [2] [3] Средний Все 6.0, 6.0.1, 7.0, 7.1.1 25 ноября 2016 г.

Повышение привилегий через диспетчер пакетов

Уязвимость позволяет локальному вредоносному ПО блокировать удаление приложений или разрешений пользователями. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0491 A-32553261 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Повышение привилегий через System UI

Уязвимость позволяет локальному вредоносному приложению создать наложение интерфейса на весь экран. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0492 A-30150688 Средний Все 7.1.1 Доступно только сотрудникам Google

Раскрытие информации через клиент для обмена сообщениями AOSP

Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0494 A-32764144 Средний Все 6.0, 6.0.1, 7.0, 7.1.1 9 ноября 2016 г.

Раскрытие информации через mediaserver

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0495 A-33552073 Средний Все 6.0, 6.0.1, 7.0, 7.1.1 11 декабря 2016 г.

Отказ в обслуживании в мастере настройки

Уязвимость позволяет локальному вредоносному ПО временно заблокировать доступ к пораженному устройству. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0496 A-31554152* Средний Нет** 5.0.2, 5.1.1, 6.0, 6.0.1 14 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0497 A-33300701 Средний Все 7.0, 7.1.1 2 декабря 2016 г.

Отказ в обслуживании в мастере настройки

Уязвимость позволяет злоумышленнику, находящемуся поблизости, запросить вход в аккаунт Google после сброса настроек. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0498 A-30352311 [2] Средний Все 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Доступно только сотрудникам Google

Отказ в обслуживании через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0499 A-32095713 Низкий Все 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 октября 2016 г.

Описание уязвимостей (исправление системы безопасности 2017-03-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.

Повышение привилегий через компоненты MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0500 A-28429685*
M-ALPS02710006
Критический Нет** 27 апреля 2016 г.
CVE-2017-0501 A-28430015*
M-ALPS02708983
Критический Нет** 27 апреля 2016 г.
CVE-2017-0502 A-28430164*
M-ALPS02710027
Критический Нет** 27 апреля 2016 г.
CVE-2017-0503 A-28449045*
M-ALPS02710075
Критический Нет** 28 апреля 2016 г.
CVE-2017-0504 A-30074628*
M-ALPS02829371
Критический Нет** 9 июля 2016 г.
CVE-2017-0505 A-31822282*
M-ALPS02992041
Критический Нет** 28 сентября 2016 г.
CVE-2017-0506 A-32276718*
M-ALPS03006904
Критический Нет** 18 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
Критический Pixel С 6 октября 2016 г.
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
Критический Pixel С 21 ноября 2016 г.
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
Критический Pixel С 25 декабря 2016 г.
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
Критический Nexus 9 6 января 2017 г.
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
Критический Pixel С Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать с сайта Google Developers.

Повышение привилегий через подсистему ION ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0507 A-31992382* Критический Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 6 октября 2016 г.
CVE-2017-0508 A-33940449* Критический Pixel С 28 декабря 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать с сайта Google Developers.

Повышение привилегий через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0509 A-32124445*
B-RB#110688
Критический Нет** 12 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через FIQ-отладчик ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0510 A-32402555* Критический Nexus 9 25 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер Qualcomm для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8479 A-31824853*
QC-CR#1093687
Критический Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL 29 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать с сайта Google Developers.

Повышение привилегий через сетевую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-9806 A-33393474
Upstream kernel
Критический Pixel C, Pixel, Pixel XL 4 декабря 2016 г.
CVE-2016-10200 A-33753815
Upstream kernel
Критический Nexus 5X, Nexus 6P, Pixel, Pixel XL 19 декабря 2016 г.

Уязвимости в компонентах Qualcomm

Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8484 A-28823575** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8485 A-28823681** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8486 A-28823691** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8487 A-28823724** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-8488 A-31625756** Критический Нет*** Доступно только сотрудникам Qualcomm

* Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать на сайте Google Developers.

***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.

Повышение привилегий через сетевую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8655 A-33358926
Upstream kernel
Высокий Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 12 октября 2016 г.
CVE-2016-9793 A-33363517
Upstream kernel
Высокий Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 2 декабря 2016 г.

Повышение привилегий через драйвер устройств ввода Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0516 A-32341680*
QC-CR#1096301
Высокий Android One, Pixel, Pixel XL 21 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер MediaTek для аппаратного датчика

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0517 A-32372051*
M-ALPS02973195
Высокий Нет** 22 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через ADSPRPC-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 22 сентября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер Qualcomm для сканера отпечатков пальцев

Уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0518 A-32370896*
QC-CR#1086530
Высокий Pixel, Pixel XL 24 октября 2016 г.
CVE-2017-0519 A-32372915*
QC-CR#1086530
Высокий Pixel, Pixel XL 24 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение уровня прав доступа через драйвер Qualcomm для шифрования

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0520 A-31750232
QC-CR#1082636
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 24 сентября 2016 г.

Повышение привилегий через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0458 A-32588962
QC-CR#1089433
Высокий Pixel, Pixel XL 31 октября 2016 г.
CVE-2017-0521 A-32919951
QC-CR#1097709
Высокий Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 15 ноября 2016 г.

Повышение привилегий через APK MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0522 A-32916158*
M-ALPS03032516
Высокий Нет** 15 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0464 A-32940193
QC-CR#1102593
Высокий Nexus 5X, Pixel, Pixel XL 15 ноября 2016 г.
CVE-2017-0453 A-33979145
QC-CR#1105085
Высокий Nexus 5X, Android One 30 декабря 2016 г.
CVE-2017-0523 A-32835279
QC-CR#1096945
Высокий Нет* Доступно только сотрудникам Google

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или выше, на которых установлены все доступные обновления.

Повышение привилегий через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0524 A-33002026 Высокий Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 18 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер усилителя Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0456 A-33106520*
QC-CR#1099598
Высокий Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 ноября 2016 г.
CVE-2017-0525 A-33139056*
QC-CR#1097714
Высокий Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 25 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер контроллера датчиков HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0526 A-33897738* Высокий Nexus 9 25 декабря 2016 г.
CVE-2017-0527 A-33899318* Высокий Nexus 9, Pixel, Pixel XL 25 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать с сайта Google Developers.

Повышение привилегий через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
Высокий Нет** 28 ноября 2016 г.

* Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Повышение привилегий через сетевой драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0463 A-33277611
QC-CR#1101792
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 30 ноября 2016 г.
CVE-2017-0460 A-31252965*
QC-CR#1098801
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через подсистему безопасности ядра

Уязвимость позволяет локальному вредоносному ПО выполнять код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обходить углубленную защиту уровня ядра и аналогичные технологии защиты.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0528 A-33351919* Высокий Pixel, Pixel XL 4 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через SPCom-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5856 A-32610665
QC-CR#1094078
Высокий Нет* Доступно только сотрудникам Google
CVE-2016-5857 A-34386529
QC-CR#1094140
Высокий Нет* Доступно только сотрудникам Google

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или выше, на которых установлены все доступные обновления.

Раскрытие информации через сетевую подсистему ядра

Уязвимость позволяет злоумышленнику, находящемуся поблизости, получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-8709 A-34077221
Upstream kernel
Высокий Nexus Player 9 ноября 2014 г.

Раскрытие информации через драйвер MediaTek

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0529 A-28449427*
M-ALPS02710042
Высокий Нет** 27 апреля 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Раскрытие информации через загрузчик Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обходить углубленную защиту уровня загрузчика операционной системы и аналогичные технологии защиты.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0455 A-32370952
QC-CR#1082755
Высокий Pixel, Pixel XL 21 октября 2016 г.

Раскрытие информации через драйвер питания Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8483 A-33745862
QC-CR#1035099
Высокий Nexus 5X, Nexus 6P 19 декабря 2016 г.

Раскрытие информации через драйвер NVIDIA для графического процессора

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
Высокий Pixel С 30 ноября 2016 г.
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
Высокий Pixel С Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать с сайта Google Developers.

Отказ в обслуживании в криптографической подсистеме ядра

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8650 A-33401771
Upstream kernel
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 12 октября 2016 г.

Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства)

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8417 A-32342399
QC-CR#1088824
Средний Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 21 октября 2016 г.

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0461 A-32073794
QC-CR#1100132
Средний Android One, Nexus 5X, Pixel, Pixel XL 9 октября 2016 г.
CVE-2017-0459 A-32644895
QC-CR#1091939
Средний Pixel, Pixel XL 3 ноября 2016 г.
CVE-2017-0531 A-32877245
QC-CR#1087469
Средний Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL 13 ноября 2016 г.

Раскрытие информации через драйвер видеокодека MediaTek

Уязвимость позволяет локальному вредоносному приложению получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0532 A-32370398*
M-ALPS03069985
Средний Нет** 22 октября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Файлы можно скачать с сайта Google Developers.

** Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.

Раскрытие информации через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0533 A-32509422
QC-CR#1088206
Средний Pixel, Pixel XL 27 октября 2016 г.
CVE-2017-0534 A-32508732
QC-CR#1088206
Средний Pixel, Pixel XL 28 октября 2016 г.
CVE-2016-8416 A-32510746
QC-CR#1088206
Средний Pixel, Pixel XL 28 октября 2016 г.
CVE-2016-8478 A-32511270
QC-CR#1088206
Средний Pixel, Pixel XL 28 октября 2016 г.

Раскрытие информации через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-8413 A-32709702
QC-CR#518731
Средний Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 4 ноября 2016 г.
CVE-2016-8477 A-32720522
QC-CR#1090007 [2]
Средний Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 7 ноября 2016 г.

Раскрытие информации через аудиодрайвер кодеков HTC

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0535 A-33547247* Средний Nexus 9 11 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних исполняемых файлах драйверов для устройств Nexus. Эти файлы можно скачать с сайта Google Developers.

Раскрытие информации через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0536 A-33555878* Средний Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 12 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через USB-драйвер ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0537 A-31614969* Средний Pixel С Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен низкий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0452 A-32873615*
QC-CR#1093693
Низкий Nexus 5X, Nexus 6P, Android One 10 ноября 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

  • В исправлении 2017-03-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-03-01.
  • В исправлении 2017-03-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-03-05 и всем предыдущим исправлениям.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:

  • [ro.build.version.security_patch]:[2017-03-01]
  • [ro.build.version.security_patch]:[2017-03-05]

2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.

  • На устройствах с установленным исправлением от 1 марта 2017 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
  • На устройствах с установленным исправлением от 5 марта 2017 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Как определить, на каких устройствах Google присутствует уязвимость?

В каждой таблице разделов с описанием уязвимостей 2017-03-01 и 2017-03-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.

4. На что указывают записи в столбце "Ссылки"?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

Версии

  • 6 марта 2017 года. Бюллетень опубликован.
  • 7 марта 2017 года. Добавлены ссылки на AOSP.