Biuletyn dotyczący bezpieczeństwa Androida — kwiecień 2017 r

Opublikowano 03 kwietnia 2017 | Zaktualizowano 17 sierpnia 2017 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Wraz z biuletynem opublikowaliśmy aktualizację zabezpieczeń dla urządzeń Nexus za pośrednictwem aktualizacji bezprzewodowej (OTA). Obrazy oprogramowania sprzętowego urządzeń Google zostały także udostępnione w witrynie Google Developer . Poprawki zabezpieczeń z 5 kwietnia 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie w dniu 06 marca 2017 r. lub wcześniej. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na zagrożonym urządzeniu przy użyciu wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostały wyłączone na potrzeby programowania lub jeśli pomyślnie je obejdzie.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i zabezpieczeń usług, takich jak SafetyNet , które poprawiają bezpieczeństwo platformy Android, można znaleźć w sekcji Ograniczenia dotyczące usług Android i Google.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2017-04-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z datą 2017-04-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń) zostały rozwiązane.
    • 2017-04-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-04-01 i 2017-04-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
  • Obsługiwane urządzenia Google otrzymają pojedynczą aktualizację OTA z poziomem poprawki zabezpieczeń z 5 kwietnia 2017 r.

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i zabezpieczenia usług, takie jak SafetyNet. Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa systemu Android aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet , których zadaniem jest ostrzeganie użytkowników o potencjalnie szkodliwych aplikacjach . Opcja Weryfikuj aplikacje jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale funkcja Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania – niezależnie od tego, skąd ona pochodzi. Ponadto funkcja Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji wykorzystujących lukę umożliwiającą eskalację uprawnień. Jeżeli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i podejmie próbę usunięcia wykrytej aplikacji.
  • W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak Mediaserver.

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

  • Aravind Machiry (donfos) z zespołu Shellphish Grill: CVE-2016-5349
  • Daxing Guo ( @freener0 ) z Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
  • Derrek ( @derrekr6 ) i Scott Bauer: CVE-2017-0576
  • Gal Beniamini z Projektu Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
  • Gengjia Chen ( @chengjia4574 ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
  • Guang Gong (龚广) ( @oldfresher ) z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
  • Hao Chen i Guang Gong z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017 -0567
  • Ian Foster ( @lanrat ): CVE-2017-0554
  • Jack Tang z Trend Micro Inc.: CVE-2017-0579
  • Jianjun Dai ( @Jioun_dai ) z Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
  • Jianqiang Zhao ( @jianqiangzhao ) i plik PDF z IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
  • Lubo Zhang ( zlbzlb815@163.com ) z zespołu C0RE i Yonggang Guo ( @guoygang ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
  • Marek Salyzyn z Google: CVE-2017-0558
  • Mike Andereson ( @manderbot ) i Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesli: CVE-2017-0327, CVE-2017-0328
  • Piosenka Peng Xiao, Chengming Yang, Ning You, Chao Yang i Yang z Alibaba Mobile Security Group: CVE-2017-0565
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) i Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室): CVE-2016-10236
  • Qidan He (何淇丹 – @flanker_hqd ) z KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
  • Roee Hay ( @roeehay ) z Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
  • Scott Bauer ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
  • Seven Shen ( @lingtongshen ) z zespołu badawczego TrendMicro ds. zagrożeń mobilnych: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
  • Tim Becker: CVE-2017-0546
  • Uma Sankar Pradhan ( @umasankar_iitd ): CVE-2017-0560
  • VEO ( @VYSEa ) z zespołu reagowania na zagrożenia mobilne , Trend Micro : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
  • Weichao Sun ( @sunblate ) z Alibaba Inc: CVE-2017-0549
  • Wenlin Yang ( @wenlin_yang ), Guang Gong ( @oldfresher ) i Hao Chen z Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
  • Zinuo Han z Centrum reagowania na bezpieczeństwo w Chengdu firmy Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
  • Zubin Mitra z Google: CVE-2017-0462

Poziom poprawki zabezpieczeń z dnia 2017-04-01 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie do poziomu poprawki 2017-04-01. Znajduje się tam opis problemu, uzasadnienie ważności oraz tabela z CVE, powiązanymi odniesieniami, wagą, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i zgłoszona data. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w Mediaserverze

Luka w zabezpieczeniach programu Mediaserver umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście procesu Mediaservera.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0538 A-33641588 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 13 grudnia 2016 r
CVE-2017-0539 A-33864300 Krytyczny Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 grudnia 2016 r
CVE-2017-0541 A-34031018 Krytyczny Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 1 stycznia 2017 r
CVE-2017-0542 A-33934721 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google
CVE-2017-0543 A-34097866 Krytyczny Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach CameraBase

Luka w zabezpieczeniach CameraBase umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu. Ten problem ma ocenę Wysoki, ponieważ jest to lokalne wykonanie dowolnego kodu w uprzywilejowanym procesie.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0544 A-31992879 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 października 2016 r

Podniesienie luki w uprawnieniach w Audioserverze

Luka w zabezpieczeniach Audioservera umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0545 A-32591350 Wysoki Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 31 października 2016 r

Podniesienie luki w zabezpieczeniach w SurfaceFlinger

Luka w zabezpieczeniach SurfaceFlinger umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem ma ocenę Wysoki, ponieważ można go wykorzystać do uzyskania lokalnego dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0546 A-32628763 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 listopada 2016 r

Luka umożliwiająca ujawnienie informacji w Mediaserverze

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ stanowi ogólne obejście zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0547 A-33861560 Wysoki Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 22 grudnia 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w libskia

Luka w zabezpieczeniach libskia umożliwiająca zdalną odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został sklasyfikowany jako bardzo poważny ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0548 A-33251605 Wysoki Wszystko 7.0, 7.1.1 29 listopada 2016 r

Luka w zabezpieczeniach typu „odmowa usługi” w serwerze multimediów

Luka w zabezpieczeniach serwera Mediaserver umożliwiająca zdalną odmowę usługi może umożliwić osobie atakującej użycie specjalnie spreparowanego pliku w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem został sklasyfikowany jako bardzo poważny ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0549 A-33818508 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 20 grudnia 2016 r
CVE-2017-0550 A-33933140 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google
CVE-2017-0551 A-34097231 [ 2 ] Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google
CVE-2017-0552 A-34097915 Wysoki Wszystko 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Podniesienie luki w zabezpieczeniach w libnl

Luka w zabezpieczeniach biblioteki libnl umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście usługi Wi-Fi. Ten problem został oceniony jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest ograniczany przez bieżącą konfigurację platformy.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0553 A-32342065 Umiarkowany Wszystko 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 października 2016 r

Zwiększenie luki w zabezpieczeniach w zakresie uprawnień w telefonii

Luka w zabezpieczeniach komponentu Telefonia umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji dostęp do funkcji wykraczających poza jej poziom uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do uzyskania dostępu do zwiększonych możliwości, które zwykle nie są dostępne dla aplikacji innych firm.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0554 A-33815946 [ 2 ] Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 grudnia 2016 r

Luka umożliwiająca ujawnienie informacji w Mediaserverze

Luka w zabezpieczeniach Mediaservera umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0555 A-33551775 Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 12 grudnia 2016 r
CVE-2017-0556 A-34093952 Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 4 stycznia 2017 r
CVE-2017-0557 A-34093073 Umiarkowany Wszystko 6.0, 6.0.1, 7.0, 7.1.1 4 stycznia 2017 r
CVE-2017-0558 A-34056274 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Luka umożliwiająca ujawnienie informacji w libskia

Luka w bibliotece libskia umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem został oceniony jako umiarkowany, ponieważ można go wykorzystać do uzyskania dostępu do danych bez pozwolenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0559 A-33897722 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 grudnia 2016 r

Luka umożliwiająca ujawnienie informacji podczas przywracania ustawień fabrycznych

Luka umożliwiająca ujawnienie informacji w procesie przywracania ustawień fabrycznych może umożliwić lokalnemu złośliwemu atakującemu uzyskanie dostępu do danych poprzedniego właściciela. Ten problem został oceniony jako umiarkowany ze względu na możliwość ominięcia ochrony urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2017-0560 A-30681079 Umiarkowany Wszystko 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Wewnętrzne Google

Poziom poprawki zabezpieczeń z dnia 2017-04-05 — szczegóły dotyczące luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-04-05. Zawiera opis problemu, uzasadnienie wagi oraz tabelę zawierającą CVE, powiązane odniesienia, wagę, zaktualizowane urządzenia Google, zaktualizowane wersje AOSP (w stosownych przypadkach) i datę zgłoszenia. Jeśli będzie to możliwe, połączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Luka w oprogramowaniu sprzętowym Wi-Fi Broadcom umożliwiająca zdalne wykonanie kodu

Luka w oprogramowaniu sprzętowym Broadcom Wi-Fi umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście układu SoC Wi-Fi. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście SoC Wi-Fi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0561 A-34199105*
B-RB#110814
Krytyczny Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 stycznia 2017 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w sterowniku silnika kryptograficznego Qualcomm

Luka w sterowniku silnika kryptograficznego Qualcomm umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście jądra.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10230 A-34389927
QC-CR#1091408
Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 10 stycznia 2017 r

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w podsystemie sieciowym jądra

Luka w podsystemie sieciowym jądra umożliwiająca zdalne wykonanie kodu może umożliwić osobie atakującej zdalne wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość zdalnego wykonania kodu w kontekście jądra.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10229 A-32813456
Jądro nadrzędne
Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego MediaTek

Luka w zabezpieczeniach sterownika ekranu dotykowego MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0562 A-30202425*
M-ALPS02898189
Krytyczny* Nic** 16 lipca 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego HTC

Luka w zabezpieczeniach sterownika ekranu dotykowego HTC umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0563 A-32089409*
Krytyczny Nexusa 9 9 października 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach podsystemu jądra ION

Luka w zabezpieczeniach podsystemu ION jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem został oceniony jako krytyczny ze względu na możliwość trwałego lokalnego naruszenia bezpieczeństwa urządzenia, co może wymagać ponownej aktualizacji systemu operacyjnego w celu naprawy urządzenia.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0564 A-34276203*
Krytyczny Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 12 stycznia 2017 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Luki w komponentach Qualcomm

Luki te dotyczą komponentów Qualcomm i zostały szczegółowo opisane w biuletynie bezpieczeństwa Qualcomm AMSS z października 2016 r.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10237 A-31628601**
QC-CR#1046751
Krytyczny Nic** Wewnętrzne Qualcomma
CVE-2016-10238 A-35358527**
QC-CR#1042558
Krytyczny Nic*** Wewnętrzne Qualcomma
CVE-2016-10239 A-31624618**
QC-CR#1032929
Wysoki Piksel, piksel XL Wewnętrzne Qualcomma

* Stopień ważności tych luk został określony przez dostawcę.

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

*** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka umożliwiająca zdalne wykonanie kodu w wersji 8

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w wersji 8 może umożliwić zdalnym atakującym wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ten problem został oceniony jako wysoki ze względu na możliwość zdalnego wykonywania kodu w witrynach internetowych.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-5129 A-29178923 Wysoki Nic* 6.0, 6.0.1, 7.0 20 lipca 2016 r

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Luka w zabezpieczeniach Freetype umożliwiająca zdalne wykonanie kodu

Luka w zabezpieczeniach Freetype umożliwiająca zdalne wykonanie kodu może umożliwić lokalnej złośliwej aplikacji załadowanie specjalnie spreparowanej czcionki, co powoduje uszkodzenie pamięci w nieuprzywilejowanym procesie. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnego wykonania kodu w aplikacji korzystającej z tej biblioteki.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Zaktualizowane wersje AOSP Data zgłoszona
CVE-2016-10244 A-31470908 Wysoki Nic* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 września 2016 r

* Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach podsystemu dźwiękowego jądra

Luka w zabezpieczeniach podsystemu dźwiękowego jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-4656 A-34464977
Jądro nadrzędne
Wysoki Nexus 6, Nexus Player 26 czerwca 2014

Zwiększenie luki w zabezpieczeniach sterownika kryptograficznego NVIDIA

Luka w zabezpieczeniach sterownika kryptograficznego NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0339 A-27930566*
N-CVE-2017-0339
Wysoki Nexusa 9 29 marca 2016 r
CVE-2017-0332 A-33812508*
N-CVE-2017-0332
Wysoki Nexusa 9 21 grudnia 2016 r
CVE-2017-0327 A-33893669*
N-CVE-2017-0327
Wysoki Nexusa 9 24 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika termicznego MediaTek

Luka w zabezpieczeniach sterownika termicznego MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0565 A-28175904*
M-ALPS02696516
Wysoki Nic** 11 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika aparatu MediaTek

Luka w zabezpieczeniach sterownika aparatu MediaTek umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0566 A-28470975*
M-ALPS02696367
Wysoki Nic** 29 kwietnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika Wi-Fi Broadcom

Luka w zabezpieczeniach sterownika Wi-Fi Broadcom umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0567 A-32125310*
B-RB#112575
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 12 października 2016 r
CVE-2017-0568 A-34197514*
B-RB#112600
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 stycznia 2017 r
CVE-2017-0569 A-34198729*
B-RB#110666
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 stycznia 2017 r
CVE-2017-0570 A-34199963*
B-RB#110688
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 stycznia 2017 r
CVE-2017-0571 A-34203305*
B-RB#111541
Wysoki Nexus 6, Nexus 6P, Pixel C, Nexus Player 9 stycznia 2017 r
CVE-2017-0572 A-34198931*
B-RB#112597
Wysoki Nic** 9 stycznia 2017 r
CVE-2017-0573 A-34469904*
B-RB#91539
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 18 stycznia 2017 r
CVE-2017-0574 A-34624457*
B-RB#113189
Wysoki Nexus 6, Nexus 6P, Nexus 9, Pixel C 22 stycznia 2017 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Wi-Fi

Luka w zabezpieczeniach sterownika Qualcomm Wi-Fi umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0575 A-32658595*
QC-CR#1103099
Wysoki Nexus 5X, Pixel, Pixel XL 3 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika NVIDIA I2C HID

Luka w zabezpieczeniach sterownika NVIDIA I2C HID umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0325 A-33040280*
N-CVE-2017-0325
Wysoki Nexusa 9 i Pixela C 20 listopada 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika audio Qualcomm

Luka w sterowniku audio Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0454 A-33353700
QC-CR#1104067
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 5 grudnia 2016 r

Zwiększenie luki w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm

Luka w zabezpieczeniach sterownika silnika kryptograficznego Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0576 A-33544431
QC-CR#1103089
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 9 grudnia 2016 r

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego HTC

Luka w zabezpieczeniach sterownika ekranu dotykowego HTC umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0577 A-33842951*
Wysoki Nic** 21 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika dźwięku DTS

Luka w zabezpieczeniach sterownika dźwięku DTS umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0578 A-33964406*
Wysoki Nic** 28 grudnia 2016 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika kodeka dźwięku Qualcomm

Luka w zabezpieczeniach sterownika kodeka dźwięku Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10231 A-33966912
QC-CR#1096799
Wysoki Piksel, piksel XL 29 grudnia 2016 r

Zwiększenie luki w zabezpieczeniach sterownika wideo Qualcomm

Luka w sterowniku wideo Qualcomm umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0579 A-34125463*
QC-CR#1115406
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 5 stycznia 2017 r
CVE-2016-10232 A-34386696
QC-CR#1024872 [2]
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 10 stycznia 2017 r
CVE-2016-10233 A-34389926
QC-CR#897452
Wysoki Nic** 10 stycznia 2017 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach uprawnień w sterowniku procesora NVIDIA do rozruchu i zarządzania energią

Luka w zabezpieczeniach sterownika procesora rozruchowego i zarządzania energią NVIDIA umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesora rozruchowego i zarządzania energią. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0329 A-34115304*
N-CVE-2017-0329
Wysoki Piksel C 5 stycznia 2017 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

Zwiększenie luki w zabezpieczeniach sterownika ekranu dotykowego Synaptics

Luka w zabezpieczeniach sterownika Synaptics Touchscreen umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0580 A-34325986*
Wysoki Nic** 16 stycznia 2017 r
CVE-2017-0581 A-34614485*
Wysoki Nic** 22 stycznia 2017 r

* Łatka rozwiązująca ten problem nie jest publicznie dostępna. Aktualizacja zawarta jest w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych na stronie Google Developer .

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Seemp

Luka w zabezpieczeniach sterownika Qualcomm Seemp umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-0462 A-33353601
QC-CR#1102288
Wysoki Piksel, piksel XL Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach sterownika Qualcomm Kyro L2

Luka w zabezpieczeniach sterownika Qualcomm Kyro L2 umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2017-6423 A-32831370
QC-CR#1103158
Wysoki Piksel, piksel XL Wewnętrzne Google

Zwiększenie luki w zabezpieczeniach systemu plików jądra

Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra. Ten problem ma ocenę Wysoki, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-9922 A-32761463
Jądro nadrzędne
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 24 października 2014 r

Luka umożliwiająca ujawnienie informacji w podsystemie pamięci jądra

Luka w podsystemie pamięci jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-0206 A-34465735
Jądro nadrzędne
Wysoki Nexus 6, Nexus Player 6 maja 2014 r

Luka umożliwiająca ujawnienie informacji w podsystemie sieciowym jądra

Luka w podsystemie sieci jądra umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-3145 A-34469585
Jądro nadrzędne [2]
Wysoki Nexus 6, Nexus Player 9 maja 2014 r

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w Qualcomm TrustZone

Luka w zabezpieczeniach Qualcomm TrustZone umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-5349 A-29083830
QC-CR#1021945 [2] [3] [4]
Wysoki Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 1 czerwca 2016 r

Luka umożliwiająca ujawnienie informacji w sterowniku Qualcomm IPA

Luka w sterowniku Qualcomm IPA umożliwiająca ujawnienie informacji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień. Ten problem ma ocenę Wysoki, ponieważ może zostać wykorzystany do uzyskania dostępu do poufnych danych bez wyraźnej zgody użytkownika.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10234 A-34390017
QC-CR#1069060 [2]
Wysoki Nexus 5X, Nexus 6P, Pixel, Pixel XL 10 stycznia 2017 r

Luka w zabezpieczeniach typu „odmowa usługi” w podsystemie sieciowym jądra

Luka w zabezpieczeniach podsystemu sieciowego jądra umożliwiająca odmowę usługi może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pakietu sieciowego w celu spowodowania zawieszenia lub ponownego uruchomienia urządzenia. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2014-2706 A-34160553
Jądro nadrzędne
Wysoki Gracz Nexusa 1 kwietnia 2014 r

Luka w zabezpieczeniach typu „odmowa usługi” w sterowniku Wi-Fi Qualcomm

Luka w zabezpieczeniach sterownika Wi-Fi Qualcomm umożliwiająca odmowę usługi może umożliwić bezpośredniemu atakującemu spowodowanie odmowy usługi w podsystemie Wi-Fi. Ten problem ma ocenę Wysoki ze względu na możliwość zdalnej odmowy usługi.

CVE Bibliografia Powaga Zaktualizowano urządzenia Google Data zgłoszona
CVE-2016-10235 A-34390620
QC-CR#1046409
Wysoki Nic** 10 stycznia 2017 r

** Ta luka nie dotyczy obsługiwanych urządzeń Google z systemem Android 7.0 lub nowszym, na których zainstalowano wszystkie dostępne aktualizacje.

Zwiększenie luki w zabezpieczeniach systemu plików jądra

Luka w systemie plików jądra umożliwiająca podniesienie uprawnień może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu poza jej poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest łagodzony przez obecne konfiguracje platformy.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2016-7097 A-32458736
Jądro nadrzędne
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player 28 sierpnia 2016 r

Wysokość podatności na przywilej w Qualcomm Wi-Fi Driver

Podwyższenie podatności na przywilej w kierowcy Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Problem ten jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i ze względu na szczegóły specyficzne dla podatności, które ograniczają wpływ problemu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-6424 A-32086742
QC-CR#1102648
Umiarkowany Nexus 5X, Pixel, Pixel XL, Android One 9 października 2016 r

Podniesienie podatności na przywilej u sterownika Wi-Fi Broadcom

Podwyższenie podatności na przywilej w sterowniku Wi-Fi Broadcom może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i jest łagodzony przez obecne konfiguracje platformy.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2016-8465 A-32474971*
B-RB#106053
Umiarkowany Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 października 2016

* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .

Wysokość podatności na przywilej w poleceniu HTC OEM Fastboot

Podniesienie podatności na przywilej w poleceniu HTC OEM Fastboot może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście centrum czujnika. Problem ten jest oceniany jako umiarkowany, ponieważ najpierw wymaga wykorzystania odrębnych luk.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-0582 A-33178836*
Umiarkowany Nexus 9 28 listopada 2016 r

* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .

Wysokość podatności na przywilej w Qualcomm CP Access Driver

Podwyższenie podatności na przywilej w sterowniku dostępu Qualcomm CP może umożliwić lokalnej złośliwej aplikacji wykonywanie dowolnego kodu w kontekście jądra. Problem ten jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu i ze względu na szczegóły specyficzne dla podatności, które ograniczają wpływ problemu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-0583 A-32068683
QC-CR#1103788
Umiarkowany Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Google wewnętrzny

Informacje o ujawnianiu informacji w podatności na sterowniku mediów jądra

Podatność na ujawnienie informacji w sterowniku mediów jądra może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2014-1739 A-34460642
Jądro nadrzędne
Umiarkowany Nexus 6, Nexus 9, Nexus Player 15 czerwca 2014

Informacje o ujawnianiu informacji w przypadku kierowcy Qualcomm Wi-Fi

Podatność na ujawnienie informacji u sterownika Qualcomm Wi-Fi może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomem uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-0584 A-32074353*
QC-CR#1104731
Umiarkowany Nexus 5X, piksel, piksel XL 9 października 2016 r

* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .

Informacje o ujawnianiu informacji na temat Broadcom Wi-Fi sterownika

Podatność na ujawnienie informacji u sterownika Wi-Fi Broadcom może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-0585 A-32475556*
B-RB#112953
Umiarkowany Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 października 2016

* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .

Informacje na temat ujawnienia informacji w Driver Qualcomm Avtimer

Podatność na ujawnienie informacji w sterowniku Qualcomm Avtimer może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2016-5346 A-32551280
QC-CR#1097878
Umiarkowany Piksel, piksel XL 29 października 2016

Informacje o ujawnianiu informacji w zakresie sterownika wideo Qualcomm

Podatność na ujawnienie informacji w sterowniku wideo Qualcomm może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-6425 A-32577085
QC-CR#1103689
Umiarkowany Piksel, piksel XL 29 października 2016

Informacje o ujawnianiu informacji w zakresie podatności na sterowniku USB Qualcomm

Podatność na ujawnienie informacji u sterownika USB Qualcomm może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomem uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2016-10236 A-33280689
QC-CR#1102418
Umiarkowany Piksel, piksel XL 30 listopada 2016 r

Informacje o ujawnianiu informacji w przypadku kierowcy dźwięku Qualcomm

Podatność na ujawnienie informacji w sterowniku dźwiękowym Qualcomm może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-0586 A-33649808
QC-CR#1097569
Umiarkowany Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 13 grudnia 2016 r

Informacje o ujawnianiu informacji w przypadku kierowcy Qualcomm SPMI

Podatność na ujawnienie informacji u sterownika Qualcomm SPMI może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-6426 A-33644474
QC-CR#1106842
Umiarkowany Piksel, piksel XL 14 grudnia 2016 r

Informacje o ujawnianiu informacji w Nvidia Crypto Driver

Podatność na ujawnienie informacji w sterowniku NVIDIA Crypto może umożliwić lokalnej złośliwej aplikacji dostępu do danych poza poziomami uprawnień. Ten problem jest oceniany jako umiarkowany, ponieważ najpierw wymaga naruszenia uprzywilejowanego procesu.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2017-0328 A-33898322*
N-CVE-2017-0328
Umiarkowany Nic** 24 grudnia 2016 r
CVE-2017-0330 A-33899858*
N-CVE-2017-0330
Umiarkowany Nic** 24 grudnia 2016 r

* Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .

** Obsługiwane urządzenia Google na Androidzie 7.0 lub nowszych, które zainstalowały wszystkie dostępne aktualizacje, nie ma wpływu na tę podatność.

Luki w komponentach Qualcomm

Te luki wpływające na komponenty Qualcomm zostały zwolnione w ramach Biuletynów bezpieczeństwa Qualcomm AMSS w latach 2014–2016. Są one zawarte w tym biuletynie Security Android, aby powiązać swoje poprawki z poziomem łatki bezpieczeństwa Androida.

CVE Bibliografia Powaga Zaktualizowane urządzenia Google Data zgłoszona
CVE-2014-9931 A-35445101 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2014-9932 A-35434683 ** Krytyczny Piksel, piksel XL Qualcomm wewnętrzny
CVE-2014-9933 A-35442512 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2014-9934 A-35439275 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2014-9935 A-35444951 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2014-9936 A-35442420 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2014-9937 A-35445102 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-8995 A-35445002 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-8996 A-35444658 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-8997 A-35432947 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-8998 A-35441175 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-8999 A-35445401 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-9000 A-35441076 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-9001 A-35445400 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-9002 A-35442421 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2015-9003 A-35440626 ** Krytyczny Nic** Qualcomm wewnętrzny
CVE-2016-10242 A-35434643 ** Krytyczny Nic** Qualcomm wewnętrzny

* Ocena nasilenia tych luk w zabezpieczeniach została określona przez sprzedawcę.

** Łata tego problemu nie jest publicznie dostępna. Aktualizacja jest zawarta w najnowszych sterownikach binarnych urządzeń Nexus dostępnych na stronie Google Developer .

*** Obsługiwane urządzenia Google na Androidzie 7.0 lub nowszych, które zainstalowały wszystkie dostępne aktualizacje, nie ma wpływu na tę podatność.

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

  • Poziomy łatki bezpieczeństwa w dniach 2017-04-01 lub nowszym rozwiązują wszystkie problemy związane z poziomem łatki bezpieczeństwa 2017-04-01.
  • Poziomy łatek bezpieczeństwa 2017-04-05 lub nowszych rozwiązuje wszystkie problemy związane z poziomem łatki bezpieczeństwa 2017-04-05 i wszystkimi poprzednimi poziomami łatek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]: [2017-04-01]
  • [ro.build.version.security_patch]: [2017-04-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poziomu łatki bezpieczeństwa z 1 kwietnia 2017 r. Muszą obejmować wszystkie problemy związane z tym poziomem łatki bezpieczeństwa, a także poprawki dla wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
  • Urządzenia, które wykorzystują poziom łatki bezpieczeństwa z 05 kwietnia 2017 r. Lub nowsze, muszą zawierać wszystkie odpowiednie łatki w tym (i poprzednich) biuletynach bezpieczeństwa.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Jak ustalić, na które urządzenia Google wpływa na każdy problem?

W sekcjach podatności na zabezpieczenia 2017-04-01 i 2017-04-05 , każda tabela ma zaktualizowaną kolumnę Google Devices , która obejmuje zakres dotkniętych urządzeń Google zaktualizowanych dla każdego wydania. Ta kolumna ma kilka opcji:

  • Wszystkie urządzenia Google : jeśli problem wpływa na wszystkie urządzenia i piksel, tabela będzie miała „wszystkie” w zaktualizowanej kolumnie Google Devices . „Wszystkie” zawiera następujące obsługiwane urządzenia : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel i Pixel XL.
  • Niektóre urządzenia Google : jeśli problem nie wpływa na wszystkie urządzenia Google, dotknięte urządzenia Google są wymienione w zaktualizowanej kolumnie Google Devices .
  • Brak urządzeń Google : jeśli problem z Android 7.0 nie ma na Androida .

4. Na co wpisy w kolumnie referencyjnej mapują?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna. Te prefiks mapy w następujący sposób:

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

Wersje

  • 03 kwietnia 2017: Opublikowano Biuletyn.
  • 05 kwietnia 2017: Biuletyn zmienił się w celu zawierania linków AOSP.
  • 21 kwietnia 2017 r.: Przypisanie CVE-2016-10231 i CVE-2017-0586.
  • 27 kwietnia 2017 r.: CVE-2017-0540 usunięte z biuletynu.
  • 17 sierpnia 2017: Biuletyn zmieniony w celu aktualizacji numerów referencyjnych.