Бюллетень по безопасности Android – май 2017 г.

Опубликован 1 мая 2017 г. | Обновлен 3 октября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили беспроводное обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 мая 2017 года или более новом. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.

Мы сообщили партнерам об уязвимостях 3 апреля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них, а также на исправления вне AOSP есть в этом бюллетене.

Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на пораженном устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете и работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность успешного использования уязвимостей Android.

Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Объявления

  • Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-05-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-05-01 и более ранние.
    • 2017-05-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-05-01 и 2017-05-05, а также более ранние.
  • На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 мая 2017 года.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, с помощью Проверки приложений и SafetyNet активно отслеживает случаи злоупотребления. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. Хотя в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
  • Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

Описание уязвимостей (обновление системы безопасности 2017-05-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-05-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0587 A-35219737 Критический Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 4 января 2017 г.
CVE-2017-0588 A-34618607 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 21 января 2017 г.
CVE-2017-0589 A-34897036 Критический Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 1 февраля 2017 г.
CVE-2017-0590 A-35039946 Критический Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 февраля 2017 г.
CVE-2017-0591 A-34097672 Критический Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Доступно только сотрудникам Google
CVE-2017-0592 A-34970788 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Доступно только сотрудникам Google

Повышение привилегий через Framework API

Уязвимость позволяет локальному вредоносному ПО получать специальные разрешения. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0593 A-34114230 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 января 2017 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0594 A-34617444 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 22 января 2017 г.
CVE-2017-0595 A-34705519 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 января 2017 г.
CVE-2017-0596 A-34749392 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 января 2017 г.

Повышение привилегий через audioserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0597 A-34749571 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 25 января 2017 г.

Раскрытие информации через Framework API

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0598 A-34128677 [2] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 января 2017 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0599 A-34672748 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 января 2017 г.
CVE-2017-0600 A-35269635 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 10 февраля 2017 г.

Повышение привилегий через Bluetooth

Уязвимость потенциально позволяет локальному вредоносному ПО принимать вредоносные файлы через Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0601 A-35258579 Средний Все 7.0, 7.1.1, 7.1.2 9 февраля 2017 г.

Раскрытие информации через шифрование файлов

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту ОС для заблокированного экрана. Из-за этого проблеме присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0493 A-32793550 [2] [3] Средний Все 7.0, 7.1.1 9 ноября 2016 г.

Раскрытие информации через Bluetooth

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Из-за особенностей проблемы ей присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0602 A-34946955 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 декабря 2016 г.

Раскрытие информации через OpenSSL и BoringSSL

Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации. Из-за особенностей проблемы ей присвоен средний уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-7056 A-33752052 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 19 декабря 2016 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0603 A-35763994 Средний Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 февраля 2017 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Из-за особенностей проблемы ей присвоен низкий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2017-0635 A-35467107 Низкий Все 7.0, 7.1.1, 7.1.2 16 февраля 2017 г.

Описание уязвимостей (обновление системы безопасности 2017-05-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-05-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через GIFLIB

Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2015-7555 A-34697653 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 13 апреля 2016 г.

Повышение привилегий через драйвер сенсорного экрана MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10274 A-30202412*
M-ALPS02897901
Критический Нет** 16 июля 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через загрузчик Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10275 A-34514954
QC-CR#1009111
Критический Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One 13 сентября 2016 г.
CVE-2016-10276 A-32952839
QC-CR#1094105
Критический Nexus 5X, Nexus 6P, Pixel, Pixel XL 16 ноября 2016 г.

Повышение привилегий через звуковую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-9794 A-34068036
Upstream kernel
Критический Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 3 декабря 2016 г.

Повышение привилегий через загрузчик Motorola

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10277 A-33840490*
Критический Nexus 6 21 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через видеодрайвер NVIDIA

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
Критический Nexus 9 4 января 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через драйвер питания Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0604 A-35392981
QC-CR#826589
Критический Нет* 15 февраля 2017 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Уязвимости в компонентах Qualcomm

Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 года.

CVE Ссылки Уровень серьезности* Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10240 A-32578446**
QC-CR#955710
Критический Nexus 6P Доступно только сотрудникам Qualcomm
CVE-2016-10241 A-35436149**
QC-CR#1068577
Критический Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Доступно только сотрудникам Qualcomm
CVE-2016-10278 A-31624008**
QC-CR#1043004
Высокий Pixel, Pixel XL Доступно только сотрудникам Qualcomm
CVE-2016-10279 A-31624421**
QC-CR#1031821
Высокий Pixel, Pixel XL Доступно только сотрудникам Qualcomm

*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Удаленное выполнение кода через libxml2

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE Ссылки Уровень серьезности Обновленные устройства Google Обновленные версии AOSP Дата сообщения об ошибке
CVE-2016-5131 A-32956747* Высокий Нет** 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 июля 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через драйвер температурного датчика MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10280 A-28175767*
M-ALPS02696445
Высокий Нет** 11 апреля 2016 г.
CVE-2016-10281 A-28175647*
M-ALPS02696475
Высокий Нет** 11 апреля 2016 г.
CVE-2016-10282 A-33939045*
M-ALPS03149189
Высокий Нет** 27 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10283 A-32094986
QC-CR#2002052
Высокий Nexus 5X, Pixel, Pixel XL, Android One 11 октября 2016 г.

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10284 A-32402303*
QC-CR#2000664
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 24 октября 2016 г.
CVE-2016-10285 A-33752702
QC-CR#1104899
Высокий Pixel, Pixel XL 19 декабря 2016 г.
CVE-2016-10286 A-35400904
QC-CR#1090237
Высокий Pixel, Pixel XL 15 февраля 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Повышение привилегий через подсистему производительности ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2015-9004 A-34515362
Upstream kernel
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 23 ноября 2016 г.

Повышение привилегий через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10287 A-33784446
QC-CR#1112751
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 20 декабря 2016 г.
CVE-2017-0606 A-34088848
QC-CR#1116015
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 3 января 2017 г.
CVE-2016-5860 A-34623424
QC-CR#1100682
Высокий Pixel, Pixel XL 22 января 2017 г.
CVE-2016-5867 A-35400602
QC-CR#1095947
Высокий Нет* 15 февраля 2017 г.
CVE-2017-0607 A-35400551
QC-CR#1085928
Высокий Pixel, Pixel XL 15 февраля 2017 г.
CVE-2017-0608 A-35400458
QC-CR#1098363
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2017-0609 A-35399801
QC-CR#1090482
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2016-5859 A-35399758
QC-CR#1096672
Высокий Нет* 15 февраля 2017 г.
CVE-2017-0610 A-35399404
QC-CR#1094852
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2017-0611 A-35393841
QC-CR#1084210
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2016-5853 A-35392629
QC-CR#1102987
Высокий Нет* 15 февраля 2017 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Повышение привилегий через LED-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10288 A-33863909
QC-CR#1109763
Высокий Pixel, Pixel XL 23 декабря 2016 г.

Повышение привилегий через драйвер шифрования Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10289 A-33899710
QC-CR#1116295
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 24 декабря 2016 г.

Повышение привилегий через драйвер общей памяти Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10290 A-33898330
QC-CR#1109782
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 24 декабря 2016 г.

Повышение привилегий через Slimbus-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10291 A-34030871
QC-CR#986837
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One 31 декабря 2016 г.

Повышение привилегий через ADSPRPC-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0465 A-34112914
QC-CR#1110747
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 5 января 2017 г.

Повышение привилегий через драйвер Qualcomm для QSEE Communicator

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0612 A-34389303
QC-CR#1061845
Высокий Pixel, Pixel XL 10 января 2017 г.
CVE-2017-0613 A-35400457
QC-CR#1086140
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2017-0614 A-35399405
QC-CR#1080290
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Повышение привилегий через драйвер питания MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0615 A-34259126*
M-ALPS03150278
Высокий Нет** 12 января 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через драйвер прерываний системного управления MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0616 A-34470286*
M-ALPS03149160
Высокий Нет** 19 января 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через видеодрайвер MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0617 A-34471002*
M-ALPS03149173
Высокий Нет** 19 января 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через драйвер очереди команд MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0618 A-35100728*
M-ALPS03161536
Высокий Нет** 7 февраля 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Повышение привилегий через драйвер контроллера контактов Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0619 A-35401152
QC-CR#826566
Высокий Nexus 6, Android One 15 февраля 2017 г.

Повышение привилегий через драйвер управления защищенным каналом Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0620 A-35401052
QC-CR#1081711
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Повышение привилегий через аудиодрайвер кодеков Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5862 A-35399803
QC-CR#1099607
Высокий Pixel, Pixel XL 15 февраля 2017 г.

Повышение привилегий через драйвер регулятора напряжения ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-9940 A-35399757
Upstream kernel
Высокий Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player 15 февраля 2017 г.

Повышение привилегий через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0621 A-35399703
QC-CR#831322
Высокий Android One 15 февраля 2017 г.

Повышение привилегий через сетевой драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5868 A-35392791
QC-CR#1104431
Высокий Nexus 5X, Pixel, Pixel XL 15 февраля 2017 г.

Повышение привилегий через сетевую подсистему ядра

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-7184 A-36565222
Upstream kernel [2]
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One 23 марта 2017 г.

Повышение привилегий через драйвер сенсорного экрана Goodix

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0622 A-32749036
QC-CR#1098602
Высокий Android One Доступно только сотрудникам Google

Повышение привилегий через загрузчик HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0623 A-32512358*
Высокий Pixel, Pixel XL Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0624 A-34327795*
QC-CR#2005832
Высокий Nexus 5X, Pixel, Pixel XL 16 января 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через драйвер очереди команд MediaTek

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0625 A-35142799*
M-ALPS03161531
Высокий Нет** 8 февраля 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.

Раскрытие информации через драйвер Qualcomm для шифрования

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0626 A-35393124
QC-CR#1088050
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Отказ в обслуживании в Wi-Fi-драйвере Qualcomm

Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10292 A-34514463*
QC-CR#1065466
Высокий Nexus 5X, Pixel, Pixel XL 16 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через UVC-драйвер ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0627 A-33300353*
Средний Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player 2 декабря 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через видеодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10293 A-33352393
QC-CR#1101943
Средний Nexus 5X, Nexus 6P, Android One 4 декабря 2016 г.

Раскрытие информации через драйвер питания Qualcomm (только на некоторых устройствах)

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10294 A-33621829
QC-CR#1105481
Средний Nexus 5X, Nexus 6P, Pixel, Pixel XL 14 декабря 2016 г.

Раскрытие информации через LED-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10295 A-33781694
QC-CR#1109326
Средний Pixel, Pixel XL 20 декабря 2016 г.

Раскрытие информации через драйвер общей памяти Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-10296 A-33845464
QC-CR#1109782
Средний Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 22 декабря 2016 г.

Раскрытие информации через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0628 A-34230377
QC-CR#1086833
Средний Nexus 5X, Nexus 6, Pixel, Pixel XL 10 января 2017 г.
CVE-2017-0629 A-35214296
QC-CR#1086833
Средний Nexus 5X, Nexus 6, Pixel, Pixel XL 8 февраля 2017 г.

Раскрытие информации через подсистему трассировки ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0630 A-34277115*
Средний Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 11 января 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через аудиодрайвер кодеков Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
Средний Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Раскрытие информации через драйвер Qualcomm для камеры

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0631 A-35399756
QC-CR#1093232
Средний Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Раскрытие информации через аудиодрайвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5347 A-35394329
QC-CR#1100878
Средний Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Раскрытие информации через SPCom-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2016-5854 A-35392792
QC-CR#1092683
Средний Нет* 15 февраля 2017 г.
CVE-2016-5855 A-35393081
QC-CR#1094143
Средний Нет* 15 февраля 2017 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Раскрытие информации через аудиодрайвер кодеков Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0632 A-35392586
QC-CR#832915
Средний Android One 15 февраля 2017 г.

Раскрытие информации через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному компоненту получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0633 A-36000515*
B-RB#117131
Средний Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 23 февраля 2017 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Раскрытие информации через драйвер сенсорного экрана Synaptics

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE Ссылки Уровень серьезности Обновленные устройства Google Дата сообщения об ошибке
CVE-2017-0634 A-32511682*
Средний Pixel, Pixel XL Доступно только сотрудникам Google

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Уязвимости в компонентах Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 годы. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности.

CVE Ссылки Уровень серьезности* Обновленные устройства Google Дата сообщения об ошибке
CVE-2014-9923 A-35434045** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9924 A-35434631** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9925 A-35444657** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9926 A-35433784** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9927 A-35433785** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9928 A-35438623** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9929 A-35443954**
QC-CR#644783
Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9930 A-35432946** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2015-9005 A-36393500** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2015-9006 A-36393450** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2015-9007 A-36393700** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2016-10297 A-36393451** Критический Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9941 A-36385125** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9942 A-36385319** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9943 A-36385219** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9944 A-36384534** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9945 A-36386912** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9946 A-36385281** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9947 A-36392400** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9948 A-36385126** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9949 A-36390608** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9950 A-36385321** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9951 A-36389161** Высокий Нет*** Доступно только сотрудникам Qualcomm
CVE-2014-9952 A-36387019** Высокий Нет*** Доступно только сотрудникам Qualcomm

*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные уязвимости?

Проверьте версию системы безопасности, следуя инструкциям из статьи о сроках обновления ПО для телефонов Pixel и Nexus.

  • В исправлении от 1 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-01.
  • В исправлении от 5 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-05.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

  • [ro.build.version.security_patch]:[2017-05-01]
  • [ro.build.version.security_patch]:[2017-05-05]

2. Почему в этом бюллетене говорится о двух исправлениях для системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением от 1 мая 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
  • На устройствах с установленным обновлением от 5 мая 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Как определить, на каких устройствах Google присутствует уязвимость?

В каждой таблице разделов с описанием уязвимостей 2017-05-01 и 2017-05-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.

  • Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
  • Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.

4. На что указывают записи в столбце "Ссылки"?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

Версии

  • 1 мая 2017 года. Бюллетень опубликован.
  • 2 мая 2017 года. Добавлены ссылки на AOSP.
  • 10 августа 2017 года. Добавлена дополнительная ссылка на AOSP для CVE-2017-0493.
  • 17 августа 2017 года. Обновлены ссылочные номера.
  • 3 октября 2017 года. Удалена информация об уязвимости CVE-2017-0605.