Бюллетень по безопасности Android – сентябрь 2017 г.

Опубликован 5 сентября 2017 г. | Обновлен 5 октября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все проблемы, перечисленные здесь, устранены в исправлении от 5 сентября 2017 года или более новом. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.

Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.

У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android.

Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.

Примечание. Информация о последних беспроводных обновлениях и образах встроенного ПО для устройств Google содержится в разделе Обновления устройств Google.

Объявления

  • Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
    • 2017-09-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-09-01 и более ранние.
    • 2017-09-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-09-01 и 2017-09-05, а также более ранние.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.

Описание уязвимостей (исправление системы безопасности 2017-09-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-09-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

Самая серьезная уязвимость позволяет локальному вредоносному приложению обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0752 A-62196835 [2] EoP Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Библиотеки

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0753 A-62218744 RCE Высокий 7.1.1, 7.1.2, 8.0
CVE-2017-6983 A-63852675 RCE Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0755 A-32178311 EoP Высокий 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Media Framework

Самая серьезная уязвимость в этом разделе позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0756 A-34621073 RCE Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0757 A-36006815 RCE Критический 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0758 A-36492741 RCE Критический 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0759 A-36715268 RCE Критический 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0760 A-37237396 RCE Критический 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0761 A-38448381 RCE Критический 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0762 A-62214264 RCE Критический 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0763 A-62534693 RCE Критический 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0764 A-62872015 RCE Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0765 A-62872863 RCE Критический 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0766 A-37776688 RCE Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0767 A-37536407 [2] EoP Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0768 A-62019992 EoP Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0769 A-37662122 EoP Высокий 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0770 A-38234812 EoP Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0771 A-37624243 DoS Высокий 7.0, 7.1.1, 7.1.2
CVE-2017-0772 A-38115076 DoS Высокий 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0773 A-37615911 DoS Высокий 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0774 A-62673844 [2] DoS Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0775 A-62673179 DoS Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0776 A-38496660 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 6.0.1
CVE-2017-0777 A-38342499 ID Средний 7.0, 7.1.1, 7.1.2
DoS Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0778 A-62133227 ID Средний 7.0, 7.1.1, 7.1.2
DoS Высокий 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0779 A-38340117 [2] ID Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Runtime

Самая серьезная уязвимость позволяет злоумышленнику вызывать зависание приложения с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0780 A-37742976 DoS Высокий 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Система

Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0781 A-63146105 [2] RCE Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0782 A-63146237 [2] [3] RCE Критический 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0783 A-63145701 ID Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0784 A-37287958 EoP Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0785 A-63146698 ID Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Описание уязвимостей (исправление системы безопасности 2017-09-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-09-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, в которой указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также, если применимо, компонент и версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Компоненты Broadcom

Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11120 A-62575409*
B-V2017061204
RCE Критический Драйвер Wi-Fi
CVE-2017-11121 A-62576413*
B-V2017061205
RCE Критический Драйвер Wi-Fi
CVE-2017-7065 A-62575138*
B-V2017061202
RCE Критический Драйвер Wi-Fi
CVE-2017-0786 A-37351060*
B-V2017060101
EoP Высокий Драйвер Wi-Fi
CVE-2017-0787 A-37722970*
B-V2017053104
EoP Средний Драйвер Wi-Fi
CVE-2017-0788 A-37722328*
B-V2017053103
EoP Средний Драйвер Wi-Fi
CVE-2017-0789 A-37685267*
B-V2017053102
EoP Средний Драйвер Wi-Fi
CVE-2017-0790 A-37357704*
B-V2017053101
EoP Средний Драйвер Wi-Fi
CVE-2017-0791 A-37306719*
B-V2017052302
EoP Средний Драйвер Wi-Fi
CVE-2017-0792 A-37305578*
B-V2017052301
ID Средний Драйвер Wi-Fi

Компоненты Imgtk

Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0793 A-35764946* ID Высокий Подсистема памяти

Компоненты ядра

Самая серьезная уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-8890 A-38413975
Upstream kernel
RCE Критический Сетевая подсистема
CVE-2017-9076 A-62299478
Upstream kernel
EoP Высокий Сетевая подсистема
CVE-2017-9150 A-62199770
Upstream kernel
ID Высокий Ядро Linux
CVE-2017-7487 A-62070688
Upstream kernel
EoP Высокий IPX-драйвер
CVE-2017-6214 A-37901268
Upstream kernel
DoS Высокий Сетевая подсистема
CVE-2017-6346 A-37897645
Upstream kernel
EoP Высокий Ядро Linux
CVE-2017-5897 A-37871211
Upstream kernel
ID Высокий Сетевая подсистема
CVE-2017-7495 A-62198330
Upstream kernel
ID Высокий Файловая система
CVE-2017-7616 A-37751399
Upstream kernel
ID Средний Ядро Linux
CVE-2017-12146 A-35676417
Upstream kernel
EoP Средний Ядро Linux
CVE-2017-0794 A-35644812* EoP Средний SCSI-драйвер

Компоненты MediaTek

Самая серьезная уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0795 A-36198473*
M-ALPS03361480
EoP Высокий Драйвер Accessory detector
CVE-2017-0796 A-62458865*
M-ALPS03353884
M-ALPS03353886
M-ALPS03353887
EoP Высокий Драйвер AUXADC
CVE-2017-0797 A-62459766*
M-ALPS03353854
EoP Высокий Драйвер Accessory detector
CVE-2017-0798 A-36100671*
M-ALPS03365532
EoP Высокий Ядро
CVE-2017-0799 A-36731602*
M-ALPS03342072
EoP Высокий Lastbus
CVE-2017-0800 A-37683975*
M-ALPS03302988
EoP Высокий TEEI
CVE-2017-0801 A-38447970*
M-ALPS03337980
EoP Высокий LibMtkOmxVdec
CVE-2017-0802 A-36232120*
M-ALPS03384818
EoP Средний Ядро
CVE-2017-0803 A-36136137*
M-ALPS03361477
EoP Средний Драйвер Accessory detector
CVE-2017-0804 A-36274676*
M-ALPS03361487
EoP Средний Драйвер MMC

Компоненты Qualcomm

Самая серьезная уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11041 A-36130225*
QC-CR#2053101
RCE Критический LibOmxVenc
CVE-2017-10996 A-38198574
QC-CR#901529
ID Высокий Ядро Linux
CVE-2017-9725 A-38195738
QC-CR#896659
EoP Высокий Подсистема памяти
CVE-2017-9724 A-38196929
QC-CR#863303
EoP Высокий Ядро Linux
CVE-2017-8278 A-62379474
QC-CR#2013236
EoP Высокий Аудиодрайвер
CVE-2017-10999 A-36490777*
QC-CR#2010713
EoP Средний Драйвер IPA
CVE-2017-11001 A-36815555*
QC-CR#2051433
ID Средний Драйвер Wi-Fi
CVE-2017-11002 A-37712167*
QC-CR#2058452 QC-CR#2054690 QC-CR#2058455
ID Средний Драйвер Wi-Fi
CVE-2017-8250 A-62379051
QC-CR#2003924
EoP Средний Драйвер графического процессора
CVE-2017-9677 A-62379475
QC-CR#2022953
EoP Средний Аудиодрайвер
CVE-2017-10998 A-38195131
QC-CR#108461
EoP Средний Аудиодрайвер
CVE-2017-9676 A-62378596
QC-CR#2016517
ID Средний Файловая система
CVE-2017-8280 A-62377236
QC-CR#2015858
EoP Средний Драйвер WLAN
CVE-2017-8251 A-62379525
QC-CR#2006015
EoP Средний Драйвер камеры
CVE-2017-10997 A-33039685*
QC-CR#1103077
EoP Средний Драйвер PCI
CVE-2017-11000 A-36136563*
QC-CR#2031677
EoP Средний Драйвер камеры
CVE-2017-8247 A-62378684
QC-CR#2023513
EoP Средний Драйвер камеры
CVE-2017-9720 A-36264696*
QC-CR#2041066
EoP Средний Драйвер камеры
CVE-2017-8277 A-62378788
QC-CR#2009047
EoP Средний Видеодрайвер
CVE-2017-8281 A-62378232
QC-CR#2015892
ID Средний Автомобильная мультимедиасистема
CVE-2017-11040 A-37567102*
QC-CR#2038166
ID Средний Видеодрайвер

Обновления устройств Google

В таблице указано исправление системы безопасности, которое находится в последнем беспроводном обновлении (OTA) и в образах встроенного ПО для устройств Google. Беспроводные обновления также могут содержать дополнительные обновления.

Устройство Исправление системы безопасности
Pixel и Pixel XL 2017-09-05
Nexus 5X 2017-09-05
Nexus 6 2017-09-05
Nexus 6P 2017-09-05
Nexus 9 2017-09-05
Nexus Player 2017-09-05
Pixel C 2017-09-05

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

CVE Специалисты
CVE-2017-11000 Баоцзэн Дин (@sploving), Чэнмин Ян и Ян Сун из Alibaba Mobile Security Group
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 Бен Сери и Грегори Вишнепольски из Armis, Inc. (https://armis.com)
CVE-2017-0800, CVE-2017-0798 Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group
CVE-2017-0765 Чи Чжан, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team
CVE-2017-0758 Чун Ван и 金哲 (Чжэ Цзинь) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 Цун Чжэн (@shellcong), Вэньцзюнь Ху, Сяо Чжан и Чжи Сюй из Palo Alto Networks
CVE-2017-0801 Дачэн Шао, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team
CVE-2017-0755 Давэй Пэн из Alibaba Mobile Security Team (weibo: Vinc3nt4H)
CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 Elphet и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team
CVE-2017-10997 Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 Джейк Корина (@JakeCorina) из команды Shellphish Grill
CVE-2017-0780 Джейсон Гу и Севен Шэнь из Trend Micro
CVE-2017-0769 Минцзянь Чжоу (@Mingjian_Zhou), Дачэн Шао и Сюйсянь Цзян из C0RE Team
CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室)
CVE-2017-0772 Севен Шэнь из Trend Micro
CVE-2017-0757 Василий Васильев
CVE-2017-0768, CVE-2017-0779 Вэнькэ Доу, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team
CVE-2017-0759 Вэйчао Сунь из Alibaba Inc.
CVE-2017-0796 Сянцянь Чжан, Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group
CVE-2017-0753 Янкан (@dnpushme) и hujianfei из Qihoo 360 Qex Team
CVE-2017-12146 Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Юнкэ Ван и Юэбинь Сунь из Tencent's Xuanwu Lab
CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 Юй Пань и Ян Дай из Vulpecker Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0760 Цзыно Хань и 金哲 (Чжэ Цзинь) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.

  • В исправлении 2017-09-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-09-01.
  • В исправлении 2017-09-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-09-05 и всем предыдущим исправлениям.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее исправление системы безопасности.

  • На устройствах с установленным исправлением 2017-09-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
  • На устройствах с установленным обновлением 2017-09-05 или более новым должны быть решены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

4. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

Версии

Версия Дата Примечания
1.0 5 сентября 2017 г. Бюллетень опубликован.
1.1 12 сентября 2017 г. Добавлены сведения об уязвимостях CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 и CVE-2017-0785 в рамках согласованного раскрытия информации внутри отрасли.
1.2 13 сентября 2017 г. Добавлены ссылки на AOSP.
1.3 25 сентября 2017 г. Добавлены сведения об уязвимостях CVE-2017-11120 и CVE-2017-11121 в рамках согласованного раскрытия информации внутри отрасли.
1.4 28 сентября 2017 г. Обновлена ссылка на поставщика для уязвимости CVE-2017-11001.