Бюллетень по безопасности Android — май 2017 г.

Опубликовано 1 мая 2017 г. | Обновлено 3 октября 2017 г.

Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, затрагивающих устройства Android. Одновременно с этим бюллетенем мы выпустили обновление безопасности для устройств Nexus посредством беспроводного обновления (OTA). Образы прошивки устройства Google также были размещены на сайте разработчиков Google . Уровни исправлений безопасности от 5 мая 2017 г. или более поздние устраняют все эти проблемы. Ознакомьтесь с расписанием обновлений Pixel и Nexus , чтобы узнать, как проверить уровень исправлений безопасности устройства.

Партнеры были уведомлены о проблемах, описанных в бюллетене, 3 апреля 2017 года или ранее. Исправления исходного кода для устранения этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и ссылки на них можно найти в этом бюллетене. Этот бюллетень также содержит ссылки на исправления, не входящие в AOSP.

Наиболее серьезной из этих проблем является критическая уязвимость безопасности, которая может сделать возможным удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов. Оценка серьезности основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и службы отключены в целях разработки или в случае успешного обхода.

У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы безопасности Android и службах защиты, таких как SafetyNet , которые повышают безопасность платформы Android, см. в разделе «Средства снижения рисков для Android и служб Google».

Мы рекомендуем всем клиентам принять эти обновления на свои устройства.

Объявления

  • В этом бюллетене есть две строки уровня исправлений безопасности, которые предоставляют партнерам Android возможность более быстро устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Дополнительные сведения см. в разделе «Общие вопросы и ответы» :
    • 01.05.2017 : Строка уровня частичного исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01 мая 2017 г. (и все предыдущие строки уровня исправления безопасности), устранены.
    • 05.05.2017 : Полная строка уровня исправления безопасности. Эта строка уровня исправления безопасности указывает, что все проблемы, связанные с 01.05.2017 и 05.05.2017 (и все предыдущие строки уровня исправления безопасности), устранены.
  • Поддерживаемые устройства Google получат одно OTA-обновление с уровнем исправления безопасности от 5 мая 2017 года.

Меры по смягчению последствий для Android и сервисов Google

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как SafetyNet. Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

  • Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet , которые предназначены для предупреждения пользователей о потенциально вредных приложениях . Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования — независимо от того, откуда оно получено. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
  • При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически в такие процессы, как Mediaserver.

Благодарности

Мы хотели бы поблагодарить этих исследователей за их вклад:

Уровень исправления безопасности от 01 мая 2017 г. — Подробности об уязвимости

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-05-01. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в Mediaserver

Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки мультимедийных файлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0587 А-35219737 Критический Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 4 января 2017 г.
CVE-2017-0588 А-34618607 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 21 января 2017 г.
CVE-2017-0589 А-34897036 Критический Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 1 февраля 2017 г.
CVE-2017-0590 А-35039946 Критический Все 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 февраля 2017 г.
CVE-2017-0591 А-34097672 Критический Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Внутренний Google
CVE-2017-0592 А-34970788 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Внутренний Google

Повышение привилегий через API Framework

Уязвимость, связанная с несанкционированным повышением привилегий в API-интерфейсах Framework, может позволить локальному вредоносному приложению получить доступ к настраиваемым разрешениям. Этой проблеме присвоен высокий уровень, поскольку это общий обход средств защиты операционной системы, которые изолируют данные приложений от других приложений.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0593 А-34114230 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 января 2017 г.

Повышение привилегий через уязвимость в Mediaserver

Уязвимость, связанная с повышением привилегий в Mediaserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0594 А-34617444 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 22 января 2017 г.
CVE-2017-0595 А-34705519 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 января 2017 г.
CVE-2017-0596 А-34749392 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 января 2017 г.

Повышение привилегий через уязвимость в Audioserver

Уязвимость, связанная с повышением привилегий в Audioserver, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения локального доступа к расширенным возможностям, которые обычно недоступны сторонним приложениям.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0597 А-34749571 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 25 января 2017 г.

Уязвимость раскрытия информации в API Framework

Уязвимость раскрытия информации в API-интерфейсах Framework может позволить локальному вредоносному приложению обойти средства защиты операционной системы, изолирующие данные приложения от других приложений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для получения доступа к данным, к которым приложение не имеет доступа.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0598 А-34128677 [ 2 ] Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 января 2017 г.

Уязвимость отказа в обслуживании в Mediaserver

Уязвимость удаленного отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен высокий уровень серьезности из-за возможности удаленного отказа в обслуживании.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0599 А-34672748 Высокий Все 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 января 2017 г.
CVE-2017-0600 А-35269635 Высокий Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 10 февраля 2017 г.

Повышение привилегий через Bluetooth

Уязвимость, связанная с несанкционированным повышением привилегий в Bluetooth, потенциально может позволить локальному вредоносному приложению принимать вредоносные файлы, передаваемые через Bluetooth, без разрешения пользователя. Этой проблеме присвоен средний уровень серьезности из-за локального обхода требований взаимодействия с пользователем.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0601 А-35258579 Умеренный Все 7.0, 7.1.1, 7.1.2 9 февраля 2017 г.

Уязвимость раскрытия информации при файловом шифровании

Уязвимость раскрытия информации в файловом шифровании может позволить локальному злоумышленнику обойти защиту операционной системы для экрана блокировки. Проблеме присвоен средний уровень серьезности из-за возможности обхода экрана блокировки.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0493 А-32793550 [ 2 ] [ 3 ] Умеренный Все 7.0, 7.1.1 9 ноября 2016 г.

Уязвимость раскрытия информации в Bluetooth

Уязвимость раскрытия информации в Bluetooth может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений. Этой проблеме присвоен средний уровень серьезности из-за подробностей, касающихся уязвимости.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0602 А-34946955 Умеренный Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 декабря 2016 г.

Уязвимость раскрытия информации в OpenSSL и BoringSSL

Уязвимость раскрытия информации в OpenSSL и BoringSSL может позволить удаленному злоумышленнику получить доступ к конфиденциальной информации. Этой проблеме присвоен средний уровень серьезности из-за подробностей, касающихся уязвимости.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2016-7056 А-33752052 Умеренный Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 19 декабря 2016 г.

Уязвимость отказа в обслуживании в Mediaserver

Уязвимость отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен средний уровень серьезности, поскольку она требует необычной конфигурации устройства.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0603 А-35763994 Умеренный Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 февраля 2017 г.

Уязвимость отказа в обслуживании в Mediaserver

Уязвимость удаленного отказа в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства. Этой проблеме присвоен низкий уровень из-за подробностей, касающихся уязвимости.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2017-0635 А-35467107 Низкий Все 7.0, 7.1.1, 7.1.2 16 февраля 2017 г.

Уровень исправления безопасности от 05 мая 2017 г. — Подробности об уязвимости

В разделах ниже мы приводим подробную информацию о каждой уязвимости безопасности, применимой к уровню исправления от 2017-05-05. Приведено описание проблемы, обоснование серьезности и таблица с CVE, связанными ссылками, серьезностью, обновленными устройствами Google, обновленными версиями AOSP (где применимо) и датой сообщения. Когда это будет доступно, мы свяжем общедоступное изменение, направленное на устранение проблемы, с идентификатором ошибки, например, со списком изменений AOSP. Если несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Уязвимость удаленного выполнения кода в GIFLIB

Уязвимость удаленного выполнения кода в GIFLIB может позволить злоумышленнику, используя специально созданный файл, вызвать повреждение памяти во время обработки медиафайлов и данных. Проблеме присвоен уровень Критический из-за возможности удаленного выполнения кода в контексте процесса Mediaserver.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2015-7555 А-34697653 Критический Все 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 13 апреля 2016 г.

Повышение привилегий через драйвер сенсорного экрана MediaTek

Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10274 А-30202412*
М-ALPS02897901
Критический Никто** 16 июля 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через загрузчик Qualcomm

Уязвимость, связанная с несанкционированным повышением привилегий в загрузчике Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10275 А-34514954
КК-CR#1009111
Критический Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One 13 сентября 2016 г.
CVE-2016-10276 А-32952839
КК-CR#1094105
Критический Nexus 5X, Nexus 6P, Pixel, Pixel XL 16 ноября 2016 г.

Повышение привилегий через звуковую подсистему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в звуковой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-9794 А-34068036
Вышестоящее ядро
Критический Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 3 декабря 2016 г.

Повышение привилегий через загрузчик Motorola

Уязвимость, связанная с несанкционированным повышением привилегий в загрузчике Motorola, может позволить локальному вредоносному приложению выполнить произвольный код в контексте загрузчика. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10277 А-33840490*
Критический Нексус 6 21 декабря 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через видеодрайвер NVIDIA

Уязвимость, связанная с повышением привилегий в видеодрайвере NVIDIA, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0331 А-34113000*
Н-CVE-2017-0331
Критический Нексус 9 4 января 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через драйвер питания Qualcomm

Уязвимость, связанная с повышением привилегий в драйвере питания Qualcomm ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен критический уровень из-за возможности локальной постоянной компрометации устройства, что может потребовать перепрошивки операционной системы для восстановления устройства.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0604 А-35392981
КК-CR#826589
Критический Никто* 15 февраля 2017 г.

* Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Уязвимости в компонентах Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и более подробно описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 г.

CVE Рекомендации Строгость* Обновленные устройства Google Дата сообщения
CVE-2016-10240 А-32578446**
КК-CR#955710
Критический Нексус 6П Внутренний Qualcomm
CVE-2016-10241 А-35436149**
КК-CR#1068577
Критический Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Внутренний Qualcomm
CVE-2016-10278 А-31624008**
КК-CR#1043004
Высокий Пиксель, Пиксель XL Внутренний Qualcomm
CVE-2016-10279 А-31624421**
КК-CR#1031821
Высокий Пиксель, Пиксель XL Внутренний Qualcomm

* Уровень серьезности этих уязвимостей определен поставщиком.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость удаленного выполнения кода в libxml2

Уязвимость удаленного выполнения кода в libxml2 может позволить злоумышленнику использовать специально созданный файл для выполнения произвольного кода в контексте непривилегированного процесса. Проблеме присвоен высокий уровень из-за возможности удаленного выполнения кода в приложении, использующем эту библиотеку.

CVE Рекомендации Строгость Обновленные устройства Google Обновленные версии AOSP Дата сообщения
CVE-2016-5131 А-32956747* Высокий Никто** 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 июля 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через термодрайвер MediaTek

Уязвимость, связанная с повышением привилегий в тепловом драйвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10280 А-28175767*
М-АЛПС02696445
Высокий Никто** 11 апреля 2016 г.
CVE-2016-10281 А-28175647*
М-АЛПС02696475
Высокий Никто** 11 апреля 2016 г.
CVE-2016-10282 А-33939045*
М-ALPS03149189
Высокий Никто** 27 декабря 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер Qualcomm Wi-Fi

Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Wi-Fi, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10283 А-32094986
КК-CR#2002052
Высокий Nexus 5X, Pixel, Pixel XL, Android One 11 октября 2016 г.

Повышение привилегий через видеодрайвер Qualcomm

Уязвимость, связанная с повышением привилегий в видеодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10284 А-32402303*
КК-CR#2000664
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 24 октября 2016 г.
CVE-2016-10285 А-33752702
КК-CR#1104899
Высокий Пиксель, Пиксель XL 19 декабря 2016 г.
CVE-2016-10286 А-35400904
КК-CR#1090237
Высокий Пиксель, Пиксель XL 15 февраля 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Повышение привилегий через подсистему производительности ядра

Уязвимость, связанная с несанкционированным повышением привилегий в подсистеме производительности ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2015-9004 А-34515362
Вышестоящее ядро
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 23 ноября 2016 г.

Повышение привилегий через звуковой драйвер Qualcomm

Уязвимость, связанная с повышением привилегий в звуковом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10287 А-33784446
КК-CR#1112751
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 20 декабря 2016 г.
CVE-2017-0606 А-34088848
КК-CR#1116015
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 3 января 2017 г.
CVE-2016-5860 А-34623424
КК-CR#1100682
Высокий Пиксель, Пиксель XL 22 января 2017 г.
CVE-2016-5867 А-35400602
КК-CR#1095947
Высокий Никто* 15 февраля 2017 г.
CVE-2017-0607 А-35400551
КК-CR#1085928
Высокий Пиксель, Пиксель XL 15 февраля 2017 г.
CVE-2017-0608 А-35400458
КК-CR#1098363
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2017-0609 А-35399801
КК-CR#1090482
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2016-5859 А-35399758
КК-CR#1096672
Высокий Никто* 15 февраля 2017 г.
CVE-2017-0610 А-35399404
КК-CR#1094852
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2017-0611 А-35393841
КК-CR#1084210
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2016-5853 А-35392629
КК-CR#1102987
Высокий Никто* 15 февраля 2017 г.

* Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер Qualcomm LED

Уязвимость, связанная с повышением привилегий в драйвере светодиода Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10288 А-33863909
КК-CR#1109763
Высокий Пиксель, Пиксель XL 23 декабря 2016 г.

Повышение привилегий через криптодрайвер Qualcomm

Уязвимость, связанная с повышением привилегий в криптодрайвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10289 А-33899710
КК-CR#1116295
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 24 декабря 2016 г.

Повышение привилегий через драйвер общей памяти Qualcomm

Уязвимость, связанная с несанкционированным повышением привилегий в драйвере общей памяти Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10290 А-33898330
КК-CR#1109782
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL 24 декабря 2016 г.

Повышение привилегий через драйвер Qualcomm Slimbus

Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm Slimbus, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10291 А-34030871
КК-CR#986837
Высокий Nexus 5X, Nexus 6, Nexus 6P, Android One 31 декабря 2016 г.

Повышение привилегий через драйвер Qualcomm ADSPRPC

Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm ADSPRPC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0465 А-34112914
КК-CR#1110747
Высокий Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 5 января 2017 г.

Повышение привилегий через драйвер Qualcomm Secure Execution Environment Communicator

Уязвимость, связанная с несанкционированным повышением привилегий в драйвере Qualcomm Secure Execution Environment Communicator, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0612 А-34389303
КК-CR#1061845
Высокий Пиксель, Пиксель XL 10 января 2017 г.
CVE-2017-0613 А-35400457
КК-CR#1086140
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.
CVE-2017-0614 А-35399405
КК-CR#1080290
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Повышение привилегий через драйвер питания MediaTek

Уязвимость, связанная с повышением привилегий в драйвере питания MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0615 А-34259126*
М-ALPS03150278
Высокий Никто** 12 января 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер прерывания управления системой MediaTek

Уязвимость, связанная с повышением привилегий в драйвере прерывания управления системой MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0616 А-34470286*
М-ALPS03149160
Высокий Никто** 19 января 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через видеодрайвер MediaTek

Уязвимость, связанная с повышением привилегий в видеодрайвере MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0617 А-34471002*
М-ALPS03149173
Высокий Никто** 19 января 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер очереди команд MediaTek

Уязвимость, связанная с повышением привилегий в драйвере очереди команд MediaTek, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0618 А-35100728*
М-ALPS03161536
Высокий Никто** 7 февраля 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Повышение привилегий через драйвер контроллера контактов Qualcomm

Уязвимость, связанная с повышением привилегий в драйвере контроллера контактов Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0619 А-35401152
КК-CR#826566
Высокий Нексус 6, Android One 15 февраля 2017 г.

Повышение привилегий через драйвер Qualcomm Secure Channel Manager

Уязвимость, связанная с повышением привилегий в драйвере Qualcomm Secure Channel Manager, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0620 А-35401052
КК-CR#1081711
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Повышение привилегий через драйвер звукового кодека Qualcomm

Уязвимость, связанная с повышением привилегий в драйвере звукового кодека Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-5862 А-35399803
КК-CR#1099607
Высокий Пиксель, Пиксель XL 15 февраля 2017 г.

Повышение привилегий через драйвер регулятора напряжения ядра

Уязвимость, связанная с повышением привилегий в драйвере регулятора напряжения ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2014-9940 А-35399757
Вышестоящее ядро
Высокий Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player 15 февраля 2017 г.

Повышение привилегий через драйвер камеры Qualcomm

Уязвимость, связанная с повышением привилегий в драйвере камеры Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0621 А-35399703
КК-CR#831322
Высокий Андроид Один 15 февраля 2017 г.

Повышение привилегий через сетевой драйвер Qualcomm

Уязвимость, связанная с несанкционированным повышением привилегий в сетевом драйвере Qualcomm, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-5868 А-35392791
КК-CR#1104431
Высокий Нексус 5X, Пиксель, Пиксель XL 15 февраля 2017 г.

Повышение привилегий через сетевую подсистему ядра

Уязвимость, связанная с несанкционированным повышением привилегий в сетевой подсистеме ядра, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-7184 А-36565222
Вышестоящее ядро ​​[2]
Высокий Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One 23 марта 2017 г.

Повышение привилегий через драйвер сенсорного экрана Goodix

Уязвимость, связанная с повышением привилегий в драйвере сенсорного экрана Goodix, может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0622 А-32749036
КК-CR#1098602
Высокий Андроид Один Внутренний Google

Повышение привилегий через загрузчик HTC

Уязвимость, связанная с несанкционированным повышением привилегий в загрузчике HTC, может позволить локальному вредоносному приложению выполнить произвольный код в контексте загрузчика. Этой проблеме присвоен высокий уровень, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0623 А-32512358*
Высокий Пиксель, Пиксель XL Внутренний Google

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi

Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0624 А-34327795*
КК-CR#2005832
Высокий Нексус 5X, Пиксель, Пиксель XL 16 января 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в драйвере очереди команд MediaTek

Уязвимость раскрытия информации в драйвере очереди команд MediaTek может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0625 А-35142799*
М-ALPS03161531
Высокий Никто** 8 февраля 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Уязвимость раскрытия информации в драйвере криптографического движка Qualcomm

Уязвимость раскрытия информации в драйвере криптографического механизма Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен высокий уровень, поскольку ее можно использовать для доступа к конфиденциальным данным без явного разрешения пользователя.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0626 А-35393124
КК-CR#1088050
Высокий Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi

Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi может позволить злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень из-за возможности удаленного отказа в обслуживании.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10292 А-34514463*
КК-CR#1065466
Высокий Нексус 5X, Пиксель, Пиксель XL 16 декабря 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в драйвере UVC ядра

Уязвимость раскрытия информации в драйвере UVC ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0627 А-33300353*
Умеренный Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player 2 декабря 2016 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в видеодрайвере Qualcomm

Уязвимость раскрытия информации в видеодрайвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10293 А-33352393
КК-CR#1101943
Умеренный Nexus 5X, Nexus 6P, Android One 4 декабря 2016 г.

Уязвимость раскрытия информации в драйвере питания Qualcomm (зависит от устройства)

Уязвимость раскрытия информации в драйвере питания Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10294 А-33621829
КК-CR#1105481
Умеренный Nexus 5X, Nexus 6P, Pixel, Pixel XL 14 декабря 2016 г.

Уязвимость раскрытия информации в светодиодном драйвере Qualcomm

Уязвимость раскрытия информации в светодиодном драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10295 А-33781694
КК-CR#1109326
Умеренный Пиксель, Пиксель XL 20 декабря 2016 г.

Уязвимость раскрытия информации в драйвере общей памяти Qualcomm

Уязвимость раскрытия информации в драйвере общей памяти Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-10296 А-33845464
КК-CR#1109782
Умеренный Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 22 декабря 2016 г.

Уязвимость раскрытия информации в драйвере камеры Qualcomm

Уязвимость раскрытия информации в драйвере камеры Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0628 А-34230377
КК-CR#1086833
Умеренный Nexus 5X, Nexus 6, Pixel, Pixel XL 10 января 2017 г.
CVE-2017-0629 А-35214296
КК-CR#1086833
Умеренный Nexus 5X, Nexus 6, Pixel, Pixel XL 8 февраля 2017 г.

Уязвимость раскрытия информации в подсистеме трассировки ядра

Уязвимость раскрытия информации в подсистеме трассировки ядра может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0630 А-34277115*
Умеренный Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 11 января 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm

Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-5858 А-35400153
КК-CR#1096799 [2]
Умеренный Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Уязвимость раскрытия информации в драйвере камеры Qualcomm

Уязвимость раскрытия информации в драйвере камеры Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0631 А-35399756
КК-CR#1093232
Умеренный Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Уязвимость раскрытия информации в звуковом драйвере Qualcomm

Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-5347 А-35394329
КК-CR#1100878
Умеренный Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 февраля 2017 г.

Уязвимость раскрытия информации в драйвере Qualcomm SPCom

Уязвимость раскрытия информации в драйвере Qualcomm SPCom может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2016-5854 А-35392792
КК-CR#1092683
Умеренный Никто* 15 февраля 2017 г.
CVE-2016-5855 А-35393081
КК-CR#1094143
Умеренный Никто* 15 февраля 2017 г.

* Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm

Уязвимость раскрытия информации в драйвере звукового кодека Qualcomm может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0632 А-35392586
КК-CR#832915
Умеренный Андроид Один 15 февраля 2017 г.

Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi

Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi может позволить локальному вредоносному компоненту получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0633 А-36000515*
Б-РБ#117131
Умеренный Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 23 февраля 2017 г.

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимость раскрытия информации в драйвере сенсорного экрана Synaptics

Уязвимость раскрытия информации в драйвере сенсорного экрана Synaptics может позволить локальному вредоносному приложению получить доступ к данным за пределами его уровней разрешений. Этой проблеме присвоен средний уровень серьезности, поскольку сначала она требует взлома привилегированного процесса.

CVE Рекомендации Строгость Обновленные устройства Google Дата сообщения
CVE-2017-0634 А-32511682*
Умеренный Пиксель, Пиксель XL Внутренний Google

* Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

Уязвимости в компонентах Qualcomm

Эти уязвимости, затрагивающие компоненты Qualcomm, были опубликованы в рамках бюллетеней безопасности Qualcomm AMSS в период с 2014 по 2016 год. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с уровнем исправлений безопасности Android.

CVE Рекомендации Строгость* Обновленные устройства Google Дата сообщения
CVE-2014-9923 А-35434045** Критический Никто*** Внутренний Qualcomm
CVE-2014-9924 А-35434631** Критический Никто*** Внутренний Qualcomm
CVE-2014-9925 А-35444657** Критический Никто*** Внутренний Qualcomm
CVE-2014-9926 А-35433784** Критический Никто*** Внутренний Qualcomm
CVE-2014-9927 А-35433785** Критический Никто*** Внутренний Qualcomm
CVE-2014-9928 А-35438623** Критический Никто*** Внутренний Qualcomm
CVE-2014-9929 А-35443954**
КК-CR#644783
Критический Никто*** Внутренний Qualcomm
CVE-2014-9930 А-35432946** Критический Никто*** Внутренний Qualcomm
CVE-2015-9005 А-36393500** Критический Никто*** Внутренний Qualcomm
CVE-2015-9006 А-36393450** Критический Никто*** Внутренний Qualcomm
CVE-2015-9007 А-36393700** Критический Никто*** Внутренний Qualcomm
CVE-2016-10297 А-36393451** Критический Никто*** Внутренний Qualcomm
CVE-2014-9941 А-36385125** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9942 А-36385319** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9943 А-36385219** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9944 А-36384534** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9945 А-36386912** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9946 А-36385281** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9947 А-36392400** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9948 А-36385126** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9949 А-36390608** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9950 А-36385321** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9951 А-36389161** Высокий Никто*** Внутренний Qualcomm
CVE-2014-9952 А-36387019** Высокий Никто*** Внутренний Qualcomm

* Уровень серьезности этих уязвимостей определен поставщиком.

** Исправление этой проблемы не является общедоступным. Обновление содержится в последних бинарных драйверах для устройств Nexus, доступных на сайте разработчиков Google .

*** Поддерживаемые устройства Google на базе Android 7.1.1 или более поздней версии, на которых установлены все доступные обновления, не подвержены этой уязвимости.

Общие вопросы и ответы

В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для устранения этих проблем?

Чтобы узнать, как проверить уровень обновлений безопасности устройства, прочтите инструкции в расписании обновлений Pixel и Nexus .

  • Уровни исправлений безопасности от 01 мая 2017 г. или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 01 мая 2017 г.
  • Уровни исправлений безопасности от 05.05.2017 или более поздние устраняют все проблемы, связанные с уровнем исправлений безопасности от 05.05.2017 и всеми предыдущими уровнями исправлений.

Производители устройств, включающие эти обновления, должны установить уровень строки исправления следующим образом:

  • [ro.build.version.security_patch]:[2017-05-01]
  • [ro.build.version.security_patch]:[2017-05-05]

2. Почему в этом бюллетене указаны два уровня исправлений безопасности?

В этом бюллетене есть два уровня исправлений безопасности, поэтому партнеры Android имеют возможность быстрее устранять подмножество уязвимостей, которые одинаковы на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать последнюю версию исправлений безопасности.

  • Устройства, использующие уровень исправлений безопасности от 1 мая 2017 г., должны включать все проблемы, связанные с этим уровнем исправлений безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
  • Устройства, на которых используются исправления безопасности от 5 мая 2017 года или более поздние, должны включать все применимые исправления, указанные в этом (и предыдущих) бюллетенях по безопасности.

Партнерам рекомендуется объединить исправления всех проблем, которые они решают, в одно обновление.

3. Как определить, на каких устройствах Google возникает та или иная проблема?

В разделах сведений об уязвимостях безопасности за 2017-05-01 и 2017-05-05 в каждой таблице есть столбец «Обновленные устройства Google» , в котором указан диапазон затронутых устройств Google, обновленных для каждой проблемы. В этом столбце есть несколько вариантов:

  • Все устройства Google . Если проблема затрагивает устройства «Все» и «Pixel», в столбце «Обновленные устройства Google » в таблице будет указано «Все». «Все» подразумевает следующие поддерживаемые устройства : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
  • Некоторые устройства Google . Если проблема не затрагивает все устройства Google, затронутые устройства Google перечислены в столбце «Обновленные устройства Google» .
  • Нет устройств Google . Если проблема не затронула ни одно устройство Google под управлением Android 7.0, в столбце «Обновленные устройства Google » в таблице будет указано «Нет».

4. Чему соответствуют записи в столбце «Ссылки»?

Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение. Эти префиксы отображаются следующим образом:

Префикс Ссылка
А- Идентификатор ошибки Android
КК- Справочный номер Qualcomm
М- Справочный номер MediaTek
Н- Справочный номер NVIDIA
Б- Справочный номер Broadcom

Редакции

  • 1 мая 2017 г.: Бюллетень опубликован.
  • 2 мая 2017 г.: в бюллетень добавлены ссылки на AOSP.
  • 10 августа 2017 г.: в бюллетень добавлена ​​дополнительная ссылка AOSP для CVE-2017-0493.
  • 17 августа 2017 г.: в бюллетень внесены обновления справочных номеров.
  • 3 октября 2017 г.: в бюллетень удалена CVE-2017-0605.