Опубликовано 5 июля 2017 г. | Обновлено 26 сентября 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июля 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В бюллетене также приведены ссылки на исправления вне AOSP.
Самая серьезная из проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Примечание. Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google находится в разделе Обновления устройств Google.
Объявления
- Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-07-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-07-01 и более ранние.
- 2017-07-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-07-01 и 2017-07-05, а также более ранние.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита включена по умолчанию на всех устройствах с сервисами Google для мобильных устройств. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.
Описание уязвимостей (обновление системы безопасности 2017-07-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-07-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Runtime
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | УВК | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Framework
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте приложения, использующего библиотеку, с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | ПП | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | ПП | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | ПП | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | ПП | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | РИ | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | РИ | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | ОО | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Библиотеки
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте приложения, которое использует библиотеку, с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762* | УВК | Высокий | 4.4.4 |
| CVE-2016-2109 | A-35443725 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-34778578 | ОО | Высокий | 7.0, 7.1.1, 7.1.2 |
Media Framework
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | УВК | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [2] | УВК | Критический | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | УВК | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | УВК | Критический | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | УВК | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422* | УВК | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008* | УВК | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | ПП | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | ОО | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | ОО | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | ОО | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Интерфейс системы
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | УВК | Высокий | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [2] | УВК | Высокий | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | УВК | Высокий | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | ПП | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | ПП | Средний | 7.1.1, 7.1.2 |
Описание уязвимостей (обновление системы безопасности 2017-07-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-07-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Компоненты Broadcom
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027* B-RB#123023 |
УВК | Критический | Драйвер Wi-Fi |
| CVE-2017-0705 | A-34973477* B-RB#119898 |
ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-0706 | A-35195787* B-RB#120532 |
ПП | Средний | Драйвер Wi-Fi |
Компоненты HTC
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467* | ПП | Средний | LED-драйвер |
| CVE-2017-0708 | A-35384879* | РИ | Средний | Аудиодрайвер |
| CVE-2017-0709 | A-35468048* | РИ | Низкий | Драйвер контроллера датчиков |
Компоненты ядра
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 Upstream kernel |
ПП | Высокий | Сетевая подсистема |
| CVE-2017-5970 | A-35805460 Upstream kernel |
ОО | Высокий | Сетевая подсистема |
| CVE-2015-5707 | A-35841297 Upstream kernel [2] |
ПП | Средний | SCSI-драйвер |
| CVE-2017-7308 | A-36725304 Upstream kernel [2] [3] |
ПП | Средний | Сетевой драйвер |
| CVE-2014-9731 | A-35841292 Upstream kernel |
РИ | Средний | Файловая система |
Компоненты MediaTek
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953* M-ALPS03206781 |
ПП | Высокий | Сетевой драйвер |
Компоненты NVIDIA
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204* N-CVE-2017-0340 |
ПП | Высокий | Libnvparser |
| CVE-2017-0326 | A-33718700* N-CVE-2017-0326 |
РИ | Средний | Видеодрайвер |
Компоненты Qualcomm
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 |
ПП | Высокий | Загрузчик |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 |
ПП | Высокий | Загрузчик |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 |
ПП | Высокий | Драйвер камеры |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 |
ПП | Высокий | Драйвер графического процессора |
| CVE-2017-8263 | A-34126808* QC-CR#1107034 |
ПП | Высокий | Подсистема анонимной совместно используемой памяти |
| CVE-2017-8267 | A-34173755* QC-CR#2001129 |
ПП | Высокий | Подсистема анонимной совместно используемой памяти |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [2] |
ПП | Высокий | Загрузчик |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 |
ПП | Средний | USB HID-драйвер |
| CVE-2017-8243 | A-34112490* QC-CR#2001803 |
ПП | Средний | Драйвер процессора |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 |
ПП | Средний | Аудиодрайвер |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 |
ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 |
ПП | Средний | Драйвер процессора |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8264 | A-33299365* QC-CR#1107702 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8268 | A-34620535* QC-CR#2002207 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8270 | A-35468665* QC-CR#2021363 |
ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-8271 | A-35950388* QC-CR#2028681 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8272 | A-35950805* QC-CR#2028702 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8254 | A-36252027 QC-CR#832914 |
РИ | Средний | Аудиодрайвер |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 |
РИ | Средний | Драйвер камеры |
| CVE-2017-8269 | A-33967002* QC-CR#2013145 |
РИ | Средний | Драйвер IPA |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 годы. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности. Сами исправления доступны напрямую у Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2014-9968 | A-37304413* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2014-9973 | A-37470982* | Н/Д | Высокий | Закрытый компонент |
| CVE-2014-9974 | A-37471979* | Н/Д | Высокий | Закрытый компонент |
| CVE-2014-9975 | A-37471230* | Н/Д | Высокий | Закрытый компонент |
| CVE-2014-9977 | A-37471087* | Н/Д | Высокий | Закрытый компонент |
| CVE-2014-9978 | A-37468982* | Н/Д | Высокий | Закрытый компонент |
| CVE-2014-9979 | A-37471088* | Н/Д | Высокий | Закрытый компонент |
| CVE-2014-9980 | A-37471029* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-0575 | A-37296999* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-8592 | A-37470090* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-8595 | A-37472411* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-8596 | A-37472806* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9034 | A-37305706* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9035 | A-37303626* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9036 | A-37303519* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9037 | A-37304366* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9038 | A-37303027* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9039 | A-37302628* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9040 | A-37303625* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9041 | A-37303518* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9042 | A-37301248* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9043 | A-37305954* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9044 | A-37303520* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9045 | A-37302136* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9046 | A-37301486* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9047 | A-37304367* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9048 | A-37305707* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9049 | A-37301488* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9050 | A-37302137* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9051 | A-37300737* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9052 | A-37304217* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9053 | A-37301249* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9054 | A-37303177* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9055 | A-37472412* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9060 | A-37472807* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9061 | A-37470436* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9062 | A-37472808* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9067 | A-37474000* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9068 | A-37470144* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9069 | A-37470777* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9070 | A-37474001* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2015-9071 | A-37471819* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9072 | A-37474002* | Н/Д | Высокий | Закрытый компонент |
| CVE-2015-9073 | A-37473407* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2016-10343 | A-32580186* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2016-10344 | A-32583954* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2016-10346 | A-37473408* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2016-10347 | A-37471089* | Н/Д | Высокий | Закрытый компонент |
| CVE-2016-10382 | A-28823584* | Н/Д | Высокий | Закрытый компонент |
| CVE-2016-10383 | A-28822389* | Н/Д | Высокий | Закрытый компонент |
| CVE-2016-10388 | A-32580294* | Н/Д | Высокий | Закрытый компонент |
| CVE-2016-10391 | A-32583804* | Н/Д | Высокий | Закрытый компонент |
| CVE-2016-5871 | A-37473055* | Н/Д | Высокий | Закрытый компонент |
| CVE-2016-5872 | A-37472809* | Н/Д | Высокий | Закрытый компонент |
Обновления устройств Google
В таблице указано обновление системы безопасности, которое находится в последнем автоматическом обновлении (OTA) и в образах встроенного ПО для устройств Google.
| Устройство | Обновление системы безопасности |
|---|---|
| Pixel и Pixel XL | 5 июля 2017 г. |
| Nexus 5X | 5 июля 2017 г. |
| Nexus 6 | 5 июля 2017 г. |
| Nexus 6P | 5 июля 2017 г. |
| Nexus 9 | 5 июля 2017 г. |
| Nexus Player | 5 июля 2017 г. |
| Pixel C | 5 июля 2017 г. |
В обновления устройств Google также включены исправления для следующих уязвимостей системы безопасности (если применимо):
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864* | ПП | Средний | ДВБ |
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
| CVE | Специалисты |
|---|---|
| CVE-2017-8263 | Билли Лау из Google |
| CVE-2017-0711 | Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group |
| CVE-2017-0681 | Чи Чжан, Ханьсян Вэнь, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0706 | Дасин Го (@freener0) из Xuanwu Lab, Tencent |
| CVE-2017-8260 | Derrek (@derrekr6) и Скотт Бауэр |
| CVE-2017-8265 | Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent |
| CVE-2017-0703 | Дзмитрий Лукьяненка |
| CVE-2017-0692, CVE-2017-0694 | Elphet и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665 | Чи Чжан, Ханьсян Вэнь, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-8268, CVE-2017-8261 | Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360 |
| CVE-2017-0698 | Джоуи Брэнд из Census Consulting Inc. |
| CVE-2017-0666, CVE-2017-0684 | Минцзянь Чжоу (@Mingjian_Zhou), Чи Чжан и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 (@jiych_guru) |
| CVE-2017-9417 | Нитай Артенштейн из Exodus Intelligence |
| CVE-2017-0705, CVE-2017-8259 | Скотт Бауэр |
| CVE-2017-0667 | Тимоти Беккер из CSS Inc. |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | Василий Васильев |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE-2017-0674, CVE-2017-0677 | V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro |
| CVE-2017-0708 | Силин Гун из отдела безопасности платформы Tencent |
| CVE-2017-0690 | Янкан (@dnpushme) и Лиядун из Qex Team, Qihoo 360 |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0704, CVE-2017-0669 | Юйсян Ли (@Xbalien29) из отдела безопасности платформы Tencent |
| CVE-2017-0710 | Зак Риггл (@ebeip90) из команды безопасности Android |
| CVE-2017-0678 | Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691, CVE-2017-0700 | Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd., и Ао Ван (@ArayzSegment) из Pangu Team |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
- В исправлении от 1 июля 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-07-01.
- В исправлении от 5 июля 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-07-05.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
- На устройствах с установленным обновлением от 1 июля 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
- На устройствах с установленным обновлением от 5 июля 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. На что указывают записи в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 июля 2017 г. | Бюллетень опубликован. |
| 1.1 | 6 июля 2017 г. | Добавлены ссылки на AOSP. |
| 1.2 | 11 июля 2017 г. | Обновлен раздел благодарностей. |
| 1.3 | 17 августа 2017 г. | Обновлены ссылочные номера. |
| 1.4 | 19 сентября 2017 г. | Добавлена благодарность обнаружившим уязвимость CVE-2017-0710. |
| 1.5 | 26 сентября 2017 г. | Добавлена благодарность обнаружившим уязвимость CVE-2017-0681. |