Бюллетень по безопасности Android – июнь 2017 г.

Опубликовано 5 июня 2017 г. | Обновлено 17 августа 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июня 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей будут доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android.

Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Примечание. Информация о последних автоматических обновлениях (OTA) и образах прошивок для устройств Google находится в разделе Обновления устройств Google.

Объявления

  • Мы изменили структуру ежемесячного бюллетеня по безопасности, чтобы сделать его более удобочитаемым. Теперь информация об уязвимостях сгруппирована более удобно. Кроме того, сведения об обновлениях устройств Google находятся в специальном разделе.
  • Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-06-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-06-01 и более ранние.
    • 2017-06-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-06-01 и 2017-06-05, а также более ранние.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.

  • Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита включена по умолчанию на всех устройствах с сервисами Google для мобильных устройств. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.

Описание уязвимостей (обновление системы безопасности 2017-06-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-06-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведено описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Bluetooth

Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0639 A-35310991 РИ Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0645 A-35385327 ПП Средний 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0646 A-33899337 РИ Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Библиотеки

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2015-8871 A-35443562* УВК Высокий 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-8332 A-37761553* УВК Высокий 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-5131 A-36554209 УВК Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-4658 A-36554207 УВК Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0663 A-37104170 УВК Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7376 A-36555370 УВК Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-5056 A-36809819 УВК Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7375 A-36556310 УВК Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0647 A-36392138 РИ Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-1839 A-36553781 ОО Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Media framework

Самая серьезная уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0637 A-34064500 УВК Критический 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0391 A-32322258 ОО Высокий 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0640 A-33129467* ОО Высокий 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0641 A-34360591 ОО Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0642 A-34819017 ОО Высокий 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0643 A-35645051* ОО Высокий 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0644 A-35472997* ОО Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

Интерфейс системы

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0638 A-36368305 УВК Высокий 7.1.1, 7.1.2

Описание уязвимостей (обновление системы безопасности 2017-06-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-06-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Компоненты ядра

Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0648 A-36101220* ПП Высокий Отладчик FIQ
CVE-2017-0651 A-35644815* РИ Низкий Подсистема ION

Библиотеки

Самая серьезная уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2015-7995 A-36810065* РИ Средний 4.4.4

Компоненты MediaTek

Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0636 A-35310230*
M-ALPS03162263
ПП Высокий Драйвер очереди команд
CVE-2017-0649 A-34468195*
M-ALPS03162283
ПП Средний Аудиодрайвер

Компоненты NVIDIA

Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6247 A-34386301*
N-CVE-2017-6247
ПП Высокий Аудиодрайвер
CVE-2017-6248 A-34372667*
N-CVE-2017-6248
ПП Средний Аудиодрайвер
CVE-2017-6249 A-34373711*
N-CVE-2017-6249
ПП Средний Аудиодрайвер

Компоненты Qualcomm

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-7371 A-36250786
QC-CR#1101054
УВК Критический Драйвер Bluetooth
CVE-2017-7365 A-32449913
QC-CR#1017009
ПП Высокий Загрузчик
CVE-2017-7366 A-36252171
QC-CR#1036161 [2]
ПП Высокий Драйвер графического процессора
CVE-2017-7367 A-34514708
QC-CR#1008421
ОО Высокий Загрузчик
CVE-2016-5861 A-36251375
QC-CR#1103510
ПП Средний Видеодрайвер
CVE-2016-5864 A-36251231
QC-CR#1105441
ПП Средний Аудиодрайвер
CVE-2017-6421 A-36251986
QC-CR#1110563
ПП Средний Драйвер сенсорного экрана MStar
CVE-2017-7364 A-36252179
QC-CR#1113926
ПП Средний Видеодрайвер
CVE-2017-7368 A-33452365
QC-CR#1103085
ПП Средний Аудиодрайвер
CVE-2017-7369 A-33751424
QC-CR#2009216 [2]
ПП Средний Аудиодрайвер
CVE-2017-7370 A-34328139
QC-CR#2006159
ПП Средний Видеодрайвер
CVE-2017-7372 A-36251497
QC-CR#1110068
ПП Средний Видеодрайвер
CVE-2017-7373 A-36251984
QC-CR#1090244
ПП Средний Видеодрайвер
CVE-2017-8233 A-34621613
QC-CR#2004036
ПП Средний Драйвер камеры
CVE-2017-8234 A-36252121
QC-CR#832920
ПП Средний Драйвер камеры
CVE-2017-8235 A-36252376
QC-CR#1083323
ПП Средний Драйвер камеры
CVE-2017-8236 A-35047217
QC-CR#2009606
ПП Средний Драйвер усилителя
CVE-2017-8237 A-36252377
QC-CR#1110522
ПП Средний Сетевой драйвер
CVE-2017-8242 A-34327981
QC-CR#2009231
ПП Средний Драйвер QSEE Communicator
CVE-2017-8239 A-36251230
QC-CR#1091603
РИ Средний Драйвер камеры
CVE-2017-8240 A-36251985
QC-CR#856379
РИ Средний Драйвер контроллера контактов
CVE-2017-8241 A-34203184
QC-CR#1069175
РИ Низкий Драйвер Wi-Fi

Компоненты Synaptics

Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0650 A-35472278* ПП Низкий Драйвер сенсорного экрана

Закрытые компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности. Сами исправления доступны напрямую у Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2014-9960 A-37280308* Н/Д Критический Закрытый компонент
CVE-2014-9961 A-37279724* Н/Д Критический Закрытый компонент
CVE-2014-9953 A-36714770* Н/Д Критический Закрытый компонент
CVE-2014-9967 A-37281466* Н/Д Критический Закрытый компонент
CVE-2015-9026 A-37277231* Н/Д Критический Закрытый компонент
CVE-2015-9027 A-37279124* Н/Д Критический Закрытый компонент
CVE-2015-9008 A-36384689* Н/Д Критический Закрытый компонент
CVE-2015-9009 A-36393600* Н/Д Критический Закрытый компонент
CVE-2015-9010 A-36393101* Н/Д Критический Закрытый компонент
CVE-2015-9011 A-36714882* Н/Д Критический Закрытый компонент
CVE-2015-9024 A-37265657* Н/Д Критический Закрытый компонент
CVE-2015-9012 A-36384691* Н/Д Критический Закрытый компонент
CVE-2015-9013 A-36393251* Н/Д Критический Закрытый компонент
CVE-2015-9014 A-36393750* Н/Д Критический Закрытый компонент
CVE-2015-9015 A-36714120* Н/Д Критический Закрытый компонент
CVE-2015-9029 A-37276981* Н/Д Критический Закрытый компонент
CVE-2016-10338 A-37277738* Н/Д Критический Закрытый компонент
CVE-2016-10336 A-37278436* Н/Д Критический Закрытый компонент
CVE-2016-10333 A-37280574* Н/Д Критический Закрытый компонент
CVE-2016-10341 A-37281667* Н/Д Критический Закрытый компонент
CVE-2016-10335 A-37282802* Н/Д Критический Закрытый компонент
CVE-2016-10340 A-37280614* Н/Д Критический Закрытый компонент
CVE-2016-10334 A-37280664* Н/Д Критический Закрытый компонент
CVE-2016-10339 A-37280575* Н/Д Критический Закрытый компонент
CVE-2016-10298 A-36393252* Н/Д Критический Закрытый компонент
CVE-2016-10299 A-32577244* Н/Д Критический Закрытый компонент
CVE-2014-9954 A-36388559* Н/Д Высокий Закрытый компонент
CVE-2014-9955 A-36384686* Н/Д Высокий Закрытый компонент
CVE-2014-9956 A-36389611* Н/Д Высокий Закрытый компонент
CVE-2014-9957 A-36387564* Н/Д Высокий Закрытый компонент
CVE-2014-9958 A-36384774* Н/Д Высокий Закрытый компонент
CVE-2014-9962 A-37275888* Н/Д Высокий Закрытый компонент
CVE-2014-9963 A-37276741* Н/Д Высокий Закрытый компонент
CVE-2014-9959 A-36383694* Н/Д Высокий Закрытый компонент
CVE-2014-9964 A-37280321* Н/Д Высокий Закрытый компонент
CVE-2014-9965 A-37278233* Н/Д Высокий Закрытый компонент
CVE-2014-9966 A-37282854* Н/Д Высокий Закрытый компонент
CVE-2015-9023 A-37276138* Н/Д Высокий Закрытый компонент
CVE-2015-9020 A-37276742* Н/Д Высокий Закрытый компонент
CVE-2015-9021 A-37276743* Н/Д Высокий Закрытый компонент
CVE-2015-9025 A-37276744* Н/Д Высокий Закрытый компонент
CVE-2015-9022 A-37280226* Н/Д Высокий Закрытый компонент
CVE-2015-9028 A-37277982* Н/Д Высокий Закрытый компонент
CVE-2015-9031 A-37275889* Н/Д Высокий Закрытый компонент
CVE-2015-9032 A-37279125* Н/Д Высокий Закрытый компонент
CVE-2015-9033 A-37276139* Н/Д Высокий Закрытый компонент
CVE-2015-9030 A-37282907* Н/Д Высокий Закрытый компонент
CVE-2016-10332 A-37282801* Н/Д Высокий Закрытый компонент
CVE-2016-10337 A-37280665* Н/Д Высокий Закрытый компонент
CVE-2016-10342 A-37281763* Н/Д Высокий Закрытый компонент

Обновления устройств Google

В таблице указаны обновление системы безопасности, которые находится в последнем автоматическом обновлении (OTA) и образах прошивок для устройств Google.

Устройство Обновление системы безопасности
Pixel/Pixel XL 5 июня 2017 г.
Nexus 5X 5 июня 2017 г.
Nexus 6 5 июня 2017 г.
Nexus 6P 5 июня 2017 г.
Nexus 9 5 июня 2017 г.
Nexus Player 5 июня 2017 г.
Pixel С 5 июня 2017 г.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

CVE Специалисты
CVE-2017-0643, CVE-2017-0641 Экулар Сюй (徐健) из Trend Micro
CVE-2017-0645, CVE-2017-0639 Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team
CVE-2017-0649 Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0646 Godzhen (郑文选 @VirtualSeekers) из Tencent PC Manager
CVE-2017-0636 Джейк Корина и Ник Стивенс из Shellphish Grill Team
CVE-2017-8233 Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360
CVE-2017-7368 Лубо Чжан (zlbzlb815@163.com), Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team
CVE-2017-8242 Нейтан Крэнделл (@natecray) из Tesla's Product Security Team
CVE-2017-0650 Омер Шварц, Амир Коэн, доктор Асаф Шабтай и доктор Йосси Орен из лаборатории кибербезопасности Университета имени Бен-Гуриона
CVE-2017-0648 Рои Хэй (@roeehay) из Aleph Research, HCL Technologies
CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 Севен Шэнь (@lingtongshen) из TrendMicro
CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 Василий Васильев
CVE-2017-0640 V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro
CVE-2017-8236 Силин Гун из отдела безопасности платформы Tencent
CVE-2017-0647 Янкан (@dnpushme) и Лиядон из Qex Team, Qihoo 360
CVE-2017-7370 Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0651 Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team
CVE-2017-8241 Зубин Митра из Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

  • В исправлении от 1 июня 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-06-01.
  • В исправлении от 5 июня 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-06-05.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

  • [ro.build.version.security_patch]:[2017-06-01]
  • [ro.build.version.security_patch]:[2017-06-05]

2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением от 1 июня 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
  • На устройствах с установленным обновлением от 5 июня 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

4. На что указывают записи в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

6. Что означает значок * рядом с идентификатором ошибки Android в столбце Ссылки?

Значок * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Версии

Версия Дата Примечания
1.0 5 июня 2017 г. Бюллетень опубликован.
1.1 7 июня 2017 г. Добавлены ссылки на AOSP.
1.2 11 июля 2017 г. Добавлена информация об уязвимости CVE-2017-6249.
1.3 17 августа 2017 г. Обновлены ссылочные номера.