| <html devsite><head> |
| <title>Бюллетень по безопасности Android – март 2017 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>Опубликовано 6 марта 2017 г. | Обновлено 7 марта 2017 г.</em></p> |
| <p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 марта 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| <p>Мы сообщили партнерам об уязвимостях 6 февраля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). |
| В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| <p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p> |
| <p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p> |
| <p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p> |
| <h2 id="announcements">Объявления</h2> |
| <ul> |
| <li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| <ul> |
| <li><strong>2017-03-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-03-01 и более ранние.</li> |
| <li><strong>2017-03-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-03-01 и 2017-03-05, а также более ранние.</li> |
| </ul> |
| </li> |
| <li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 марта 2017 года.</li> |
| </ul> |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p> |
| <ul> |
| <li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> |
| <li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> |
| </ul> |
| <h2 id="acknowledgements">Благодарности</h2> |
| <p>Благодарим всех, кто помог обнаружить уязвимости:</p> |
| <ul> |
| <li>Александр Потапенко из команды Google Dynamic Tools: CVE-2017-0537 |
| </li><li>Баоцзэн Дин, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0506 |
| </li><li>Баоцзэн Дин, Нин Ю, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0463 |
| </li><li>Билли Лау из команды безопасности Android: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460 |
| </li><li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531. |
| </li><li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>) и <a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0521. |
| </li><li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525. |
| </li><li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0490. |
| </li><li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536. |
| </li><li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464 |
| </li><li>Хироки Ямамото и Фан Чэнь из Sony Mobile Communications Inc.: CVE-2017-0481 |
| </li><li>Саги Кедми и Рои Хэй из IBM Security X-Force: CVE-2017-0510 |
| </li><li>Цзяньцзюнь Дай (<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>) из <a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a>: CVE-2017-0478. |
| </li><li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534. |
| </li><li><a href="mailto:zlbzlb815@163.com">Лубо Чжан</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8479. |
| </li><li>Макото Онуки из Google: CVE-2017-0491 |
| </li><li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), <a href="mailto:arnow117@gmail.com">Ханьсян Вэнь</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0479, CVE-2017-0480. |
| </li><li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0535 |
| </li><li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla Motors Product Security Team: CVE-2017-0306 |
| </li><li>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-8417 |
| </li><li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) из KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476 |
| </li><li>Цин Чжан из Qihoo 360 и Гуандун Бай из Технологического института Сингапура (SIT): CVE-2017-0496 |
| </li><li>Цюйхэ и ваньчоучоу из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522 |
| </li><li><a href="mailto:keun-o.park@darkmatter.ae">Sahara</a> из Secure Communications в DarkMatter: CVE-2017-0528 |
| </li><li>salls (<a href="https://twitter.com/chris_salls">@chris_salls</a>) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2017-0505 |
| </li><li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0504, CVE-2017-0516. |
| </li><li>Шон Бопре (beaups): CVE-2017-0455 |
| </li><li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из Trend Micro: CVE-2017-0452 |
| </li><li>Шиничи Мацумото из Fujitsu: CVE-2017-0498 |
| </li><li><a href="mailto:smarques84@gmail.com">Стефан Марк</a> из <a href="http://www.byterev.com">ByteRev</a>: CVE-2017-0489. |
| </li><li>Светослав Ганов из Google: CVE-2017-0492 |
| </li><li><a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0333. |
| </li><li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495. |
| </li><li>Виш У (吴潍浠 此彼) (<a href="https://twitter.com/wish_wu">@wish_wu</a>) из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477 |
| </li><li>Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532 |
| </li><li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0526, CVE-2017-0527. |
| </li><li>Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>), <a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:shaodacheng2016@gmail.com">Дачэн Шао</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0483.</li> |
| <li>Цзыно Хань (<a href="https://weibo.com/ele7enxxh">weibo.com/ele7enxxh</a>) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497. |
| </li></ul> |
| |
| <h2 id="2017-03-01-details">Описание уязвимостей (обновление системы безопасности 2017-03-01)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="rce-in-openssl-&-boringssl">Удаленное выполнение кода через OpenSSL и BoringSSL</h3> |
| <p>Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке файлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2182</td> |
| <td><a href="https://android.googlesource.com/platform/external/boringssl/+/54bf62a81586d99d0a951ca3342d569b59e69b80"> |
| A-32096880</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>5 августа 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="rce-in-mediaserver-">Удаленное выполнение кода через mediaserver |
| </h3> |
| <p>Уязвимость позволяет злоумышленнику нарушить целостность информации |
| в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0466</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">A-33139050</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/ec9ab83ac437d31f484a86643e2cc66db8efae4c">2</a>] |
| </td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>25 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0467</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">A-33250932</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">2</a>] |
| </td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>30 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0468</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/0e8b1dff88e08b9d738d2360f05b96108e190995">A-33351708</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">2</a>] |
| </td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>5 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0469</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/21851eaecc814be709cb0c20f732cb858cfe1440"> |
| A-33450635</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>8 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0470</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/6aac82003d665708b4e21e9b91693b642e2fa64f"> |
| A-33818500</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>21 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0471</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/4a61d15e7b0ab979ba7e80db8ddbde025c1ce6cc"> |
| A-33816782</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>21 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0472</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/dfa7251ff270ae7e12a019e6735542e36b2a47e0"> |
| A-33862021</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>23 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0473</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/0a4463e2beddb8290e05ad552e48b17686f854ce"> |
| A-33982658</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>30 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0474</td> |
| <td><a href="https://android.googlesource.com/platform/external/libvpx/+/6f5927de29337fa532c64d0ef8c7cb68f7c89889"> |
| A-32589224</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-recovery-verifier">Повышение привилегий через верификатор восстановления</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0475</td> |
| <td><a href="https://android.googlesource.com/platform/bootable/recovery/+/2c6c23f651abb3d215134dfba463eb72a5e9f8eb"> |
| A-31914369</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>2 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="rce-in-aosp-messaging">Удаленное выполнение кода через клиент для обмена сообщениями AOSP</h3> |
| <p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте непривилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0476</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/8ba22b48ebff50311d7eaa8d512f9d507f0bdd0d"> |
| A-33388925</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>6 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="rce-in-libgdx">Удаленное выполнение кода через libgdx</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0477</td> |
| <td><a href="https://android.googlesource.com/platform/external/libgdx/+/fba04a52f43315cdb7dd38766822af0324eab7c5"> |
| A-33621647</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>7.1.1</td> |
| <td>14 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="rce-in-framesequence-library">Удаленное выполнение кода через библиотеку Framesequence</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0478</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/ex/+/7c824f17b3eea976ca58be7ea097cb807126f73b"> |
| A-33718716</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>16 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-nfc">Повышение привилегий через NFC</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса. |
| Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0481</td> |
| <td><a href="https://android.googlesource.com/platform/external/libnfc-nci/+/c67cc6ad2addddcb7185a33b08d27290ce54e350"> |
| A-33434992</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>6 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0479</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">A-32707507</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/8415635765380be496da9b4578d8f134a527d86b">2</a>] |
| </td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>7 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0480</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">A-32705429</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/8415635765380be496da9b4578d8f134a527d86b">2</a>] |
| </td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>7 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0482</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/ec9ab83ac437d31f484a86643e2cc66db8efae4c">A-33090864</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/0e8b1dff88e08b9d738d2360f05b96108e190995">2</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/a467b1fb2956fdcee5636ab63573a4bca8150dbe">3</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/3695b6bdaa183bb2852da06b63ebd5b9c2cace36">4</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">5</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">6</a>]</td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>22 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0483</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/bc62c086e9ba7530723dc8874b83159f4d77d976">A-33137046</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/5cabe32a59f9be1e913b6a07a23d4cfa55e3fb2f">2</a>]</td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>24 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0484</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">A-33298089</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/a467b1fb2956fdcee5636ab63573a4bca8150dbe">2</a>]</td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>1 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0485</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/3695b6bdaa183bb2852da06b63ebd5b9c2cace36"> |
| A-33387820</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>6 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0486</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/19814b7ad4ea6f0cc4cab34e50ebab2e180fc269"> |
| A-33621215</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>14 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0487</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/aa78b96e842fc1fb70a18acff22be35c7a715b23"> |
| A-33751193</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>19 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0488</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/0340381cd8c220311fd4fe2e8b23e1534657e399"> |
| A-34097213</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-location-manager">Повышение привилегий через диспетчер местоположения</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС для данных о местоположении. Проблеме присвоен средний уровень серьезности, поскольку она может использоваться для генерации неправильных данных.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0489</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d22261fef84481651e12995062105239d551cbc6"> |
| A-33091107</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>20 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-wi-fi">Повышение привилегий через Wi-Fi</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО удалять пользовательские данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем). </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0490</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/1166ca8adba9b49c9185dad11b28b02e72124d95">A-33178389</a> [<a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/1ad3b1e3256a226be362de1a4959f2a642d349b7">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/opt/net/wifi/+/41c42f5bb544acf8bede2d05c6325657d92bd83c">3</a>] |
| </td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>25 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-package-manager">Повышение привилегий через диспетчер пакетов</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО блокировать удаление приложений или разрешений пользователями. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0491</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/PackageInstaller/+/5c49b6bf732c88481466dea341917b8604ce53fa"> |
| A-32553261</a> |
| </td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-system-ui">Повышение привилегий через System UI</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО создать наложение интерфейса на весь экран. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0492</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/f4bed684c939b0f8809ef404b8609fe4ef849263"> |
| A-30150688</a> |
| </td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-aosp-messaging">Раскрытие информации через клиент для обмена сообщениями AOSP</h3> |
| <p>Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0494</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/3f9821128abd66c4cd2f040d8243efb334bfad2d"> |
| A-32764144</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>9 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0495</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/85c0ec4106659a11c220cd1210f8d76c33d9e2ae"> |
| A-33552073</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>11 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-setup-wizard">Отказ в обслуживании в мастере настройки</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО временно заблокировать доступ к пораженному устройству. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0496</td> |
| <td>A-31554152*</td> |
| <td>Средний</td> |
| <td>Нет**</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>14 сентября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="dos-in-mediaserver-2">Отказ в обслуживании в mediaserver</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0497</td> |
| <td><a href="https://android.googlesource.com/platform/external/skia/+/8888cbf8e74671d44e9ff92ec3847cd647b8cdfb"> |
| A-33300701</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>7.0, 7.1.1</td> |
| <td>2 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-setup-wizard-2">Отказ в обслуживании в мастере настройки</h3> |
| <p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, запросить вход в аккаунт Google после сброса настроек. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства. </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0498</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/1c4d535d0806dbeb6d2fa5cea0373cbd9ab6d33b">A-30352311</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/5f621b5b1549e8379aee05807652d5111382ccc6">2</a>] |
| </td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-audioserver">Отказ в обслуживании в audioserver</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0499</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0"> |
| A-32095713</a></td> |
| <td>Низкий приоритет</td> |
| <td>Все</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>11 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2017-03-05-details">Описание уязвимостей (обновление системы безопасности 2017-03-05)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="eop-in-mediatek-components">Повышение привилегий через компоненты MediaTek</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0500</td> |
| <td>A-28429685*<br /> |
| M-ALPS02710006</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>27 апреля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0501</td> |
| <td>A-28430015*<br /> |
| M-ALPS02708983</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>27 апреля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0502</td> |
| <td>A-28430164*<br /> |
| M-ALPS02710027</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>27 апреля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0503</td> |
| <td>A-28449045*<br /> |
| M-ALPS02710075</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>28 апреля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0504</td> |
| <td>A-30074628*<br /> |
| M-ALPS02829371</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>9 июля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0505</td> |
| <td>A-31822282*<br /> |
| M-ALPS02992041</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>28 сентября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0506</td> |
| <td>A-32276718*<br /> |
| M-ALPS03006904</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>18 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0337</td> |
| <td>A-31992762*<br /> |
| N-CVE-2017-0337</td> |
| <td>Критический</td> |
| <td>Pixel С</td> |
| <td>6 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0338</td> |
| <td>A-33057977*<br /> |
| N-CVE-2017-0338</td> |
| <td>Критический</td> |
| <td>Pixel С</td> |
| <td>21 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0333</td> |
| <td>A-33899363*<br /> |
| N-CVE-2017-0333</td> |
| <td>Критический</td> |
| <td>Pixel С</td> |
| <td>25 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0306</td> |
| <td>A-34132950*<br /> |
| N-CVE-2017-0306</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>6 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0335</td> |
| <td>A-33043375*<br /> |
| N-CVE-2017-0335</td> |
| <td>Критический</td> |
| <td>Pixel С</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-kernel-ion-subsystem">Повышение привилегий через подсистему ION ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0507</td> |
| <td>A-31992382*</td> |
| <td>Критический</td> |
| <td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td> |
| <td>6 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0508</td> |
| <td>A-33940449*</td> |
| <td>Критический</td> |
| <td>Pixel С</td> |
| <td>28 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0509</td> |
| <td>A-32124445*<br /> |
| B-RB#110688</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>12 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-kernel-fiq-debugger">Повышение привилегий через FIQ-отладчик ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0510</td> |
| <td>A-32402555*</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>25 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-gpu-driver">Повышение привилегий через драйвер Qualcomm для графического процессора</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8479</td> |
| <td>A-31824853*<br /> |
| QC-CR#1093687</td> |
| <td>Критический</td> |
| <td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td> |
| <td>29 сентября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-9806</td> |
| <td>A-33393474<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=92964c79b357efd980812c4de5c1fd2ec8bb5520"> |
| Upstream kernel</a></td> |
| <td>Критический</td> |
| <td>Pixel C, Pixel, Pixel XL</td> |
| <td>4 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10200</td> |
| <td>A-33753815<br /> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=32c231164b762dddefa13af5a0101032c70b50ef"> |
| Upstream kernel</a></td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>19 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3> |
| <p>Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8484</td> |
| <td>A-28823575**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8485</td> |
| <td>A-28823681**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8486</td> |
| <td>A-28823691**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8487</td> |
| <td>A-28823724**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8488</td> |
| <td>A-31625756**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| </tbody></table> |
| <p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| <p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-kernel-networking-subsystem-2">Повышение привилегий через сетевую подсистему ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8655</td> |
| <td>A-33358926<br /> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td> |
| <td>12 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-9793</td> |
| <td>A-33363517<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=b98b0bc8c431e3ceb4b26b0dfc8db509518fb290"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td> |
| <td>2 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-input-hardware-driver">Повышение привилегий через драйвер устройств ввода Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0516</td> |
| <td>A-32341680*<br /> |
| QC-CR#1096301</td> |
| <td>Высокий</td> |
| <td>Android One, Pixel, Pixel XL</td> |
| <td>21 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-mediatek-hardware-sensor-driver">Повышение привилегий через драйвер MediaTek для аппаратного датчика</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку |
| уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0517</td> |
| <td>A-32372051*<br /> |
| M-ALPS02973195</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>22 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-adsprpc-driver">Повышение привилегий через ADSPRPC-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0457</td> |
| <td>A-31695439*<br /> |
| QC-CR#1086123<br /> |
| QC-CR#1100695</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>22 сентября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-fingerprint-sensor-driver">Повышение привилегий через драйвер сканера отпечатков пальцев Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0518</td> |
| <td>A-32370896*<br /> |
| QC-CR#1086530</td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>24 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0519</td> |
| <td>A-32372915*<br /> |
| QC-CR#1086530</td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>24 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-crypto-engine-driver">Повышение привилегий через драйвер Qualcomm для шифрования</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0520</td> |
| <td>A-31750232<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=eb2aad752c43f57e88ab9b0c3c5ee7b976ee31dd"> |
| QC-CR#1082636</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>24 сентября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0458</td> |
| <td>A-32588962<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=eba46cb98431ba1d7a6bd859f26f6ad03f1bf4d4"> |
| QC-CR#1089433</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>31 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0521</td> |
| <td>A-32919951<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=dbe4f26f200db10deaf38676b96d8738afcc10c8"> |
| QC-CR#1097709</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>15 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-mediatek-apk">Повышение привилегий через APK MediaTek</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0522</td> |
| <td>A-32916158*<br /> |
| M-ALPS02708925</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>15 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0449S</td> |
| <td>A-32940193<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=051597a4fe19fd1292fb7ea2e627d12d1fd2934f"> |
| QC-CR#1102593</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Pixel, Pixel XL</td> |
| <td>15 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0453</td> |
| <td>A-33979145<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=05af1f34723939f477cb7d25adb320d016d68513"> |
| QC-CR#1105085</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Android One</td> |
| <td>30 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0523</td> |
| <td>A-32835279<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=5bb646471da76d3d5cd02cf3da7a03ce6e3cb582"> |
| QC-CR#1096945</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0524</td> |
| <td>A-33002026</td> |
| <td>Высокий</td> |
| <td>Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL</td> |
| <td>18 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-ipa-driver">Повышение привилегий через драйвер усилителя Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный |
| код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0456</td> |
| <td>A-33106520*<br /> |
| QC-CR#1099598</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>23 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0525</td> |
| <td>A-33139056*<br /> |
| QC-CR#1097714</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>25 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-htc-sensor-hub-driver">Повышение привилегий через драйвер контроллера датчиков HTC</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0526</td> |
| <td>A-33897738*</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>25 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0527</td> |
| <td>A-33899318*</td> |
| <td>Высокий</td> |
| <td>Nexus 9, Pixel, Pixel XL</td> |
| <td>25 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-nvidia-gpu-driver-2">Повышение привилегий через драйвер NVIDIA для графического процессора</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0307</td> |
| <td>A-33177895*<br /> |
| N-CVE-2017-0307</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>28 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-networking-driver">Повышение привилегий через сетевой драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0463</td> |
| <td>A-33277611<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=955bd7e7ac097bdffbadafab90e5378038fefeb2"> |
| QC-CR#1101792</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>30 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0460 </td> |
| <td>A-31252965*<br /> |
| QC-CR#1098801</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-kernel-security-subsystem">Повышение привилегий через подсистему безопасности ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня ядра и аналогичные технологии защиты.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0528</td> |
| <td>A-33351919*</td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>4 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-spcom-driver">Повышение привилегий через SPCom-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5856</td> |
| <td>A-32610665<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=0c0622914ba53cdcb6e79e85f64bfdf7762c0368"> |
| QC-CR#1094078</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5857</td> |
| <td>A-34386529<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=d9d2c405d46ca27b25ed55a8dbd02bd1e633e2d5"> |
| QC-CR#1094140</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="id-in-kernel-networking-subsystem">Раскрытие информации через сетевую подсистему ядра</h3> |
| <p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-8709</td> |
| <td>A-34077221<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=338f977f4eb441e69bb9a46eaa0ac715c931a67f"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus Player</td> |
| <td>9 ноября 2014 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-mediatek-driver">Раскрытие информации через драйвер MediaTek</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0529</td> |
| <td>A-28449427*<br /> |
| M-ALPS02710042</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>27 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="id-in-qualcomm-bootloader">Раскрытие информации через загрузчик Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня загрузчика и аналогичные технологии защиты.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0455</td> |
| <td>A-32370952<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=2c00928b4884fdb0b1661bcc530d7e68c9561a2f"> |
| QC-CR#1082755</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>21 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-power-driver">Раскрытие информации через драйвер питания Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8483</td> |
| <td>A-33745862<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6997dcb7ade1315474855821e64782205cb0b53a"> |
| QC-CR#1035099</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P</td> |
| <td>19 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-nvidia-gpu-driver">Раскрытие информации через драйвер NVIDIA для графического процессора</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0334</td> |
| <td>A-33245849*<br /> |
| N-CVE-2017-0334</td> |
| <td>Высокий</td> |
| <td>Pixel С</td> |
| <td>30 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0336</td> |
| <td>A-33042679*<br /> |
| N-CVE-2017-0336</td> |
| <td>Высокий</td> |
| <td>Pixel С</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="dos-in-kernel-cryptographic-subsystem">Отказ в обслуживании в криптографической подсистеме ядра</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8650</td> |
| <td>A-33401771<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f5527fffff3f002b0a6b376163613b82f69de073"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>12 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-camera-driver-(device-specific)">Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства)</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8417</td> |
| <td>A-32342399<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=01dcc0a7cc23f23a89adf72393d5a27c6d576cd0"> |
| QC-CR#1088824</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>21 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0461</td> |
| <td>A-32073794<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=ce5d6f84420a2e6ca6aad6b866992970dd313a65"> |
| QC-CR#1100132</a></td> |
| <td>Средний</td> |
| <td>Android One, Nexus 5X, Pixel, Pixel XL</td> |
| <td>9 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0459</td> |
| <td>A-32644895<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?h=rel/msm-3.18&id=ffacf6e2dc41b6063c3564791ed7a2f903e7e3b7"> |
| QC-CR#1091939</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>3 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0531</td> |
| <td>A-32877245<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=530f3a0fd837ed105eddaf99810bc13d97dc4302"> |
| QC-CR#1087469</a></td> |
| <td>Средний</td> |
| <td>Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>13 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-mediatek-video-codec-driver">Раскрытие информации через драйвер видеокодека MediaTek</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0532</td> |
| <td>A-32370398*<br /> |
| M-ALPS03069985</td> |
| <td>Средний</td> |
| <td>Нет**</td> |
| <td>22 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0533</td> |
| <td>A-32509422<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> |
| QC-CR#1088206</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>27 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0534</td> |
| <td>A-32508732<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> |
| QC-CR#1088206</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>28 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8416</td> |
| <td>A-32510746<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> |
| QC-CR#1088206</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>28 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8478</td> |
| <td>A-32511270<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> |
| QC-CR#1088206</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>28 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-camera-driver">Раскрытие информации через драйвер Qualcomm для камеры</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8413</td> |
| <td>A-32709702<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=bc77232707df371ff6bab9350ae39676535c0e9d"> |
| QC-CR#518731</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>4 ноября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8477</td> |
| <td>A-32720522<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=33c9042e38506b04461fa99e304482bc20923508">QC-CR#1090007</a> [<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=96145eb5f0631f0e105d47abebc8f940f7621eeb">2</a>]</td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td> |
| <td>7 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-htc-sound-codec-driver">Раскрытие информации через аудиодрайвер кодеков HTC</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0535</td> |
| <td>A-33547247*</td> |
| <td>Средний</td> |
| <td>Nexus 9</td> |
| <td>11 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-synaptics-touchscreen-driver">Раскрытие информации через драйвер сенсорного экрана Synaptics</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0536</td> |
| <td>A-33555878*</td> |
| <td>Средний</td> |
| <td>Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL</td> |
| <td>12 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-kernel-usb-gadget-driver">Раскрытие информации через USB-драйвер ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0537</td> |
| <td>A-31614969*</td> |
| <td>Средний</td> |
| <td>Pixel С</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-qualcomm-camera-driver-2">Раскрытие информации через драйвер Qualcomm для камеры</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен низкий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0452</td> |
| <td>A-32873615*<br /> |
| QC-CR#1093693</td> |
| <td>Низкий приоритет</td> |
| <td>Nexus 5X, Nexus 6P, Android One</td> |
| <td>10 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть |
| после прочтения бюллетеня.</p> |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong></p> |
| <p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| <ul> |
| <li>В исправлении от 1 марта 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-03-01.</li> |
| <li>В исправлении от 5 марта 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-03-05. |
| </li> |
| </ul> |
| <p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2017-03-01]</li> |
| <li>[ro.build.version.security_patch]:[2017-03-05]</li> |
| </ul> |
| <p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> |
| <p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> |
| <ul> |
| <li>На устройствах с установленным обновлением от 1 марта 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением от 5 марта 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p> |
| <p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p> |
| <p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-03-01-details">2017-03-01</a> и <a href="#2017-03-05-details">2017-03-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p> |
| <ul> |
| <li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li> |
| <li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> |
| <li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li> |
| </ul> |
| <p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p> |
| <p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p> |
| <table> |
| <tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <h2 id="revisions">Версии</h2> |
| <ul> |
| <li>6 марта 2017 года. Бюллетень опубликован.</li> |
| <li>7 марта 2017 года. Добавлены ссылки на AOSP.</li> |
| </ul> |
| |
| </body></html> |