بولتن امنیتی اندروید—مه 2017

منتشر شده در 10 اردیبهشت 1396 | به روز شده در 03 اکتبر 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 می 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

در تاریخ 03 آوریل 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌هایی که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/05/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/05/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/05/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2017-05-01 و 2017-05-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) بررسی شده‌اند.
  • دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی OTA با سطح وصله امنیتی 5 می 2017 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با بهبود نسخه های جدیدتر پلت فرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به طور فعال برای سوء استفاده نظارت می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به‌ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع داده و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • ADlab of Venustech: CVE-2017-0630
  • دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-10287
  • Ecular Xu (徐健) از Trend Micro: CVE-2017-0599، CVE-2017-0635
  • En He ( @heeeeen4x ) و بو لیو از تیم MS509 : CVE-2017-0601
  • اتان یونکر از پروژه بازیابی پیروزی تیم : CVE-2017-0493
  • Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd: CVE-2016-10285، CVE-2016-10288، CVE-2016-10290، CVE-2017-06126، CVE-2017-06126، CVE-06124، CVE-2016-10285 -2017-0617، CVE-2016-10294، CVE-2016-10295، CVE-2016-10296
  • godzheng (郑文选@VirtualSeekers ) از Tencent PC Manager: CVE-2017-0602
  • Güliz Seray Tuncay از دانشگاه ایلینوی در Urbana-Champaign : CVE-2017-0593
  • هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd: CVE-2016-10283
  • جوهو نی، یانگ چنگ، نان لی و کیوو هوانگ از شرکت شیائومی: CVE-2016-10276
  • Michał Bednarski : CVE-2017-0598
  • ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا: CVE-2017-0331، CVE-2017-0606
  • Niky1235 ( @jiych_guru ): CVE-2017-0603
  • آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ گروه امنیت موبایل علی بابا: CVE-2016-10281، CVE-2016-10280
  • Roee Hay ( @roeehay ) از Aleph Research : CVE-2016-10277
  • اسکات بائر ( @ScottyBauer1 ): CVE-2016-10274
  • Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2016-10291
  • واسیلی واسیلیف: CVE-2017-0589
  • VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0590، CVE-2017-0587، CVE-2017-0600
  • Xiling Gong از بخش پلت فرم امنیتی Tencent: CVE-2017-0597
  • Xingyuan Lin of 360 Marvel Team: CVE-2017-0627
  • یونگ وانگ (王勇) ( @ThomasKing2014 ) از Alibaba Inc: CVE-2017-0588
  • Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-10289، CVE-2017-0465
  • یو پان تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
  • Yu Pan و Peide Zhang از تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625

سطح وصله امنیتی 01/05/2017-جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی که در سطح وصله ۲۰۱۷-۰۵-۰۱ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را برطرف کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعداد زیر شناسه اشکال مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0587 A-35219737 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 4 ژانویه 2017
CVE-2017-0588 الف-34618607 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 21 ژانویه 2017
CVE-2017-0589 الف-34897036 بحرانی همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 1 فوریه 2017
CVE-2017-0590 A-35039946 بحرانی همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 6 فوریه 2017
CVE-2017-0591 الف-34097672 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 گوگل داخلی
CVE-2017-0592 الف-34970788 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 گوگل داخلی

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب‌پذیری امتیاز در APIهای Framework می‌تواند یک برنامه مخرب محلی را قادر سازد تا به مجوزهای سفارشی دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی می شود زیرا یک دور زدن کلی برای محافظت از سیستم عامل است که داده های برنامه را از سایر برنامه ها جدا می کند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0593 الف-34114230 بالا همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 5 ژانویه 2017

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0594 الف-34617444 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 22 ژانویه 2017
CVE-2017-0595 الف-34705519 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 ژانویه 2017
CVE-2017-0596 الف-34749392 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 ژانویه 2017

افزایش آسیب پذیری امتیاز در Audioserver

افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0597 الف-34749571 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 25 ژانویه 2017

آسیب پذیری افشای اطلاعات در Framework API

یک آسیب‌پذیری افشای اطلاعات در Framework APIها می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عاملی کند که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده هایی استفاده کرد که برنامه به آنها دسترسی ندارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0598 A-34128677 [ 2 ] بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 6 ژانویه 2017

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس از راه دور در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0599 الف-34672748 بالا همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 23 ژانویه 2017
CVE-2017-0600 الف-35269635 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 10 فوریه 2017

افزایش آسیب پذیری امتیاز در بلوتوث

آسیب پذیری Elevation of Privilege در بلوتوث می تواند به طور بالقوه یک برنامه مخرب محلی را قادر سازد تا فایل های مضر اشتراک گذاری شده از طریق بلوتوث را بدون اجازه کاربر بپذیرد. به دلیل دور زدن محلی الزامات تعامل کاربر، این مشکل به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0601 الف-35258579 در حد متوسط همه 7.0، 7.1.1، 7.1.2 9 فوریه 2017

آسیب پذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل

یک آسیب‌پذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل می‌تواند یک مهاجم مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عامل برای صفحه قفل کند. این موضوع به دلیل امکان دور زدن صفحه قفل به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0493 A-32793550 [ 2 ] [ 3 ] در حد متوسط همه 7.0، 7.1.1 9 نوامبر 2016

آسیب پذیری افشای اطلاعات در بلوتوث

یک آسیب‌پذیری افشای اطلاعات در بلوتوث می‌تواند به یک برنامه مخرب محلی اجازه دهد تا از حفاظت‌های سیستم عاملی که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند دور بزند. این موضوع به دلیل جزئیات خاص آسیب‌پذیری، به عنوان متوسط ​​رتبه‌بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0602 الف-34946955 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 5 دسامبر 2016

آسیب پذیری افشای اطلاعات در OpenSSL و BoringSSL

یک آسیب‌پذیری افشای اطلاعات در OpenSSL و BoringSSL می‌تواند مهاجم راه دور را قادر به دسترسی به اطلاعات حساس کند. این موضوع به دلیل جزئیات خاص آسیب‌پذیری، به عنوان متوسط ​​رتبه‌بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-7056 A-33752052 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 19 دسامبر 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0603 الف-35763994 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 23 فوریه 2017

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس از راه دور در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. به دلیل جزئیات خاص آسیب پذیری، این مشکل به عنوان Low رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0635 A-35467107 کم همه 7.0، 7.1.1، 7.1.2 16 فوریه 2017

سطح وصله امنیتی 05/05/2017-جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی مربوط به سطح وصله 05-05-2017 را ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را برطرف کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعداد زیر شناسه اشکال مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در GIFLIB

یک آسیب‌پذیری اجرای کد از راه دور در GIFLIB می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به ایجاد خرابی حافظه در طول فایل رسانه و پردازش داده کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2015-7555 الف-34697653 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 13 آوریل 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی مدیاتک

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10274 A-30202412*
M-ALPS02897901
بحرانی هیچ یک** 16 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10275 الف-34514954
QC-CR#1009111
بحرانی Nexus 5X، Nexus 6، Pixel، Pixel XL، Android One 13 سپتامبر 2016
CVE-2016-10276 الف-32952839
QC-CR#1094105
بحرانی Nexus 5X، Nexus 6P، Pixel، Pixel XL 16 نوامبر 2016

افزایش آسیب پذیری امتیاز در زیرسیستم صدای کرنل

افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-9794 الف-34068036
هسته بالادست
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player 3 دسامبر 2016

افزایش آسیب پذیری امتیاز در بوت لودر موتورولا

افزایش آسیب پذیری امتیاز در بوت لودر موتورولا می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه بوت لودر اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10277 A-33840490*
بحرانی Nexus 6 21 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
بحرانی Nexus 9 4 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور برق کوالکام

افزایش آسیب پذیری امتیاز در درایور قدرت هسته Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2017-0604 الف-35392981
QC-CR#826589
بحرانی هیچ یک* 15 فوریه 2017

* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا جدیدتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری در اجزای کوالکام

این آسیب‌پذیری‌ها بر اجزای Qualcomm تأثیر می‌گذارند و در بولتن‌های امنیتی Qualcomm AMSS در آگوست، سپتامبر، اکتبر و دسامبر 2016 با جزئیات بیشتر توضیح داده شده‌اند.

CVE منابع شدت * دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10240 A-32578446**
QC-CR#955710
بحرانی Nexus 6P کوالکام داخلی
CVE-2016-10241 A-35436149**
QC-CR#1068577
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL کوالکام داخلی
CVE-2016-10278 A-31624008**
QC-CR#1043004
بالا پیکسل، پیکسل XL کوالکام داخلی
CVE-2016-10279 A-31624421**
QC-CR#1031821
بالا پیکسل، پیکسل XL کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری اجرای کد از راه دور در libxml2

یک آسیب‌پذیری اجرای کد از راه دور در libxml2 می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته شده ویژه برای اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز استفاده کند. به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، این موضوع به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شد نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-5131 A-32956747* بالا هیچ یک** 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 23 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور حرارتی مدیاتک

افزایش آسیب پذیری امتیاز در درایور حرارتی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10280 A-28175767*
M-ALPS02696445
بالا هیچ یک** 11 آوریل 2016
CVE-2016-10281 A-28175647*
M-ALPS02696475
بالا هیچ یک** 11 آوریل 2016
CVE-2016-10282 A-33939045*
M-ALPS03149189
بالا هیچ یک** 27 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور وای فای کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10283 الف-32094986
QC-CR#2002052
بالا Nexus 5X، Pixel، Pixel XL، Android One 11 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور ویدئویی کوالکام

افزایش آسیب‌پذیری امتیاز در درایور ویدیوی Qualcomm می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10284 A-32402303*
QC-CR#2000664
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 24 اکتبر 2016
CVE-2016-10285 الف-33752702
QC-CR#1104899
بالا پیکسل، پیکسل XL 19 دسامبر 2016
CVE-2016-10286 A-35400904
QC-CR#1090237
بالا پیکسل، پیکسل XL 15 فوریه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2015-9004 الف-34515362
هسته بالادست
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player 23 نوامبر 2016

افزایش آسیب پذیری امتیاز در درایور صدای کوالکام

افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10287 الف-33784446
QC-CR#1112751
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 20 دسامبر 2016
CVE-2017-0606 الف-34088848
QC-CR#1116015
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 3 ژانویه 2017
CVE-2016-5860 الف-34623424
QC-CR#1100682
بالا پیکسل، پیکسل XL 22 ژانویه 2017
CVE-2016-5867 A-35400602
QC-CR#1095947
بالا هیچ یک* 15 فوریه 2017
CVE-2017-0607 الف-35400551
QC-CR#1085928
بالا پیکسل، پیکسل XL 15 فوریه 2017
CVE-2017-0608 الف-35400458
QC-CR#1098363
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2017-0609 A-35399801
QC-CR#1090482
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2016-5859 الف-35399758
QC-CR#1096672
بالا هیچ یک* 15 فوریه 2017
CVE-2017-0610 الف-35399404
QC-CR#1094852
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2017-0611 الف-35393841
QC-CR#1084210
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2016-5853 A-35392629
QC-CR#1102987
بالا هیچ یک* 15 فوریه 2017

* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا جدیدتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور LED Qualcomm

افزایش آسیب پذیری امتیاز در درایور LED Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10288 الف-33863909
QC-CR#1109763
بالا پیکسل، پیکسل XL 23 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور کریپتو کوالکام

افزایش آسیب پذیری امتیاز در درایور رمزارز کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10289 A-33899710
QC-CR#1116295
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 24 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام

افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10290 الف-33898330
QC-CR#1109782
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL 24 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus

افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-10291 الف-34030871
QC-CR#986837
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 31 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC

افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0465 الف-34112914
QC-CR#1110747
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 5 ژانویه 2017

افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator

افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0612 الف-34389303
QC-CR#1061845
بالا پیکسل، پیکسل XL 10 ژانویه 2017
CVE-2017-0613 الف-35400457
QC-CR#1086140
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2017-0614 الف-35399405
QC-CR#1080290
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور قدرت مدیاتک

افزایش آسیب پذیری امتیاز در درایور قدرت MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0615 A-34259126*
M-ALPS03150278
بالا هیچ یک** 12 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم مدیاتک

افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0616 A-34470286*
M-ALPS03149160
بالا هیچ یک** 19 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور ویدیوی مدیاتک

افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0617 A-34471002*
M-ALPS03149173
بالا هیچ یک** 19 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور صف فرمان مدیاتک

افزایش آسیب پذیری امتیاز در درایور صف فرمان MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0618 A-35100728*
M-ALPS03161536
بالا هیچ یک** 7 فوریه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور کنترلر پین کوالکام

افزایش آسیب پذیری امتیاز در درایور کنترلر پین کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2017-0619 الف-35401152
QC-CR#826566
بالا Nexus 6، Android One 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور مدیریت کانال امن کوالکام

افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Channel Manager می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0620 الف-35401052
QC-CR#1081711
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور کدک صدا کوالکام

افزایش آسیب‌پذیری امتیاز در درایور کدک صدای Qualcomm می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-5862 A-35399803
QC-CR#1099607
بالا پیکسل، پیکسل XL 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته

افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2014-9940 الف-35399757
هسته بالادست
بالا Nexus 6، Nexus 9، Pixel C، Android One، Nexus Player 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2017-0621 A-35399703
QC-CR#831322
بالا اندروید وان 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام

افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شد تاریخ گزارش شده
CVE-2016-5868 الف-35392791
QC-CR#1104431
بالا Nexus 5X، Pixel، Pixel XL 15 فوریه 2017

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-7184 الف-36565222
هسته بالادست [2]
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Android One Mar 23, 2017

Elevation of privilege vulnerability in Goodix touchscreen driver

An elevation of privilege vulnerability in the Goodix touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0622 A-32749036
QC-CR#1098602
بالا Android One Google internal

Elevation of privilege vulnerability in HTC bootloader

An elevation of privilege vulnerability in the HTC bootloader could enable a local malicious application to execute arbitrary code within the context of the bootloader. This issue is rated as High because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0623 A-32512358*
بالا Pixel, Pixel XL Google Internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm Wi-Fi driver

An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0624 A-34327795*
QC-CR#2005832
بالا Nexus 5X, Pixel, Pixel XL Jan 16, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek command queue driver

An information disclosure vulnerability in the MediaTek command queue driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0625 A-35142799*
M-ALPS03161531
بالا None** Feb 8, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in Qualcomm crypto engine driver

An information disclosure vulnerability in the Qualcomm crypto engine driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0626 A-35393124
QC-CR#1088050
بالا Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Denial of service vulnerability in Qualcomm Wi-Fi driver

A denial of service vulnerability in the Qualcomm Wi-Fi driver could enable a proximate attacker to cause a denial of service in the Wi-Fi subsystem. This issue is rated as High due to the possibility of remote denial of service.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-10292 A-34514463*
QC-CR#1065466
بالا Nexus 5X, Pixel, Pixel XL Dec 16, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel UVC driver

An information disclosure vulnerability in the kernel UVC driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0627 A-33300353*
Moderate Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player Dec 2, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm video driver

An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-10293 A-33352393
QC-CR#1101943
Moderate Nexus 5X, Nexus 6P, Android One Dec 4, 2016

Information disclosure vulnerability in Qualcomm power driver (device specific)

An information disclosure vulnerability in the Qualcomm power driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-10294 A-33621829
QC-CR#1105481
Moderate Nexus 5X, Nexus 6P, Pixel, Pixel XL Dec 14, 2016

Information disclosure vulnerability in Qualcomm LED driver

An information disclosure vulnerability in the Qualcomm LED driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-10295 A-33781694
QC-CR#1109326
Moderate Pixel, Pixel XL Dec 20, 2016

Information disclosure vulnerability in Qualcomm shared memory driver

An information disclosure vulnerability in the Qualcomm shared memory driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-10296 A-33845464
QC-CR#1109782
Moderate Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Dec 22, 2016

Information disclosure vulnerability in Qualcomm camera driver

An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0628 A-34230377
QC-CR#1086833
Moderate Nexus 5X, Nexus 6, Pixel, Pixel XL Jan 10, 2017
CVE-2017-0629 A-35214296
QC-CR#1086833
Moderate Nexus 5X, Nexus 6, Pixel, Pixel XL Feb 8, 2017

Information disclosure vulnerability in kernel trace subsystem

An information disclosure vulnerability in the kernel trace subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0630 A-34277115*
Moderate Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player Jan 11, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound codec driver

An information disclosure vulnerability in the Qualcomm sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
Moderate Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Information disclosure vulnerability in Qualcomm camera driver

An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0631 A-35399756
QC-CR#1093232
Moderate Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-5347 A-35394329
QC-CR#1100878
Moderate Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Information disclosure vulnerability in Qualcomm SPCom driver

An information disclosure vulnerability in the Qualcomm SPCom driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2016-5854 A-35392792
QC-CR#1092683
Moderate None* Feb 15, 2017
CVE-2016-5855 A-35393081
QC-CR#1094143
Moderate None* Feb 15, 2017

* Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in Qualcomm sound codec driver

An information disclosure vulnerability in the Qualcomm sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0632 A-35392586
QC-CR#832915
Moderate Android One Feb 15, 2017

Information disclosure vulnerability in Broadcom Wi-Fi driver

An information disclosure vulnerability in the Broadcom Wi-Fi driver could enable a local malicious component to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0633 A-36000515*
B-RB#117131
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Feb 23, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Synaptics touchscreen driver

An information disclosure vulnerability in the Synaptics touchscreen driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE منابع شدت Updated Google devices Date reported
CVE-2017-0634 A-32511682*
Moderate Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Vulnerabilities in Qualcomm components

These vulnerabilities affecting Qualcomm components were released as part of Qualcomm AMSS security bulletins between 2014–2016. They are included in this Android security bulletin to associate their fixes with an Android security patch level.

CVE منابع Severity* Updated Google devices Date reported
CVE-2014-9923 A-35434045** بحرانی None*** Qualcomm internal
CVE-2014-9924 A-35434631** بحرانی None*** Qualcomm internal
CVE-2014-9925 A-35444657** بحرانی None*** Qualcomm internal
CVE-2014-9926 A-35433784** بحرانی None*** Qualcomm internal
CVE-2014-9927 A-35433785** بحرانی None*** Qualcomm internal
CVE-2014-9928 A-35438623** بحرانی None*** Qualcomm internal
CVE-2014-9929 A-35443954**
QC-CR#644783
بحرانی None*** Qualcomm internal
CVE-2014-9930 A-35432946** بحرانی None*** Qualcomm internal
CVE-2015-9005 A-36393500** بحرانی None*** Qualcomm internal
CVE-2015-9006 A-36393450** بحرانی None*** Qualcomm internal
CVE-2015-9007 A-36393700** بحرانی None*** Qualcomm internal
CVE-2016-10297 A-36393451** بحرانی None*** Qualcomm internal
CVE-2014-9941 A-36385125** بالا None*** Qualcomm internal
CVE-2014-9942 A-36385319** بالا None*** Qualcomm internal
CVE-2014-9943 A-36385219** بالا None*** Qualcomm internal
CVE-2014-9944 A-36384534** بالا None*** Qualcomm internal
CVE-2014-9945 A-36386912** بالا None*** Qualcomm internal
CVE-2014-9946 A-36385281** بالا None*** Qualcomm internal
CVE-2014-9947 A-36392400** بالا None*** Qualcomm internal
CVE-2014-9948 A-36385126** بالا None*** Qualcomm internal
CVE-2014-9949 A-36390608** بالا None*** Qualcomm internal
CVE-2014-9950 A-36385321** بالا None*** Qualcomm internal
CVE-2014-9951 A-36389161** بالا None*** Qualcomm internal
CVE-2014-9952 A-36387019** بالا None*** Qualcomm internal

* The severity rating for these vulnerabilities was determined by the vendor.

** The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

*** Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.

Common Questions and Answers

این بخش به سوالات رایجی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2017-05-01 or later address all issues associated with the 2017-05-01 security patch level.
  • Security patch levels of 2017-05-05 or later address all issues associated with the 2017-05-05 security patch level and all previous patch levels.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]:[2017-05-01]
  • [ro.build.version.security_patch]:[2017-05-05]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا همه مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • Devices that use the May 01, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of May 05, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. How do I determine which Google devices are affected by each issue?

In the 2017-05-01 and 2017-05-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. These prefixes map as follows:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

Revisions

  • May 01, 2017: Bulletin published.
  • May 02, 2017: Bulletin revised to include AOSP links.
  • August 10, 2017: Bulletin revised to include additional AOSP link for CVE-2017-0493.
  • August 17, 2017: Bulletin revised to update reference numbers.
  • October 03, 2017: Bulletin revised to remove CVE-2017-0605.