Google Git
Sign in
android / platform / docs / source.android.com / 08f4f1a3b11912f54ae9bf6c7acd904bfe21de3e / . / ru / security / bulletin / 2017-03-01.html
blob: 8e2667d54481eeb043c0d1f36dfc0f4de0a8fc97 [file] [log] [blame]
<html devsite><head>
<title>Бюллетень по безопасности Android – март 2017 г.</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 6 марта 2017 г. | Обновлено 7 марта 2017 г.</em></p>
<p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 марта 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
<p>Мы сообщили партнерам об уязвимостях 6 февраля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).
В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p>
<p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
<ul>
<li><strong>2017-03-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-03-01 и более ранние.</li>
<li><strong>2017-03-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-03-01 и 2017-03-05, а также более ранние.</li>
</ul>
</li>
<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 марта 2017 года.</li>
</ul>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li>
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li>
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li>Александр Потапенко из команды Google Dynamic Tools: CVE-2017-0537
</li><li>Баоцзэн Дин, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0506
</li><li>Баоцзэн Дин, Нин Ю, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0463
</li><li>Билли Лау из команды безопасности Android: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
</li><li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531.
</li><li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>) и <a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0521.
</li><li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525.
</li><li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0490.
</li><li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536.
</li><li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
</li><li>Хироки Ямамото и Фан Чэнь из Sony Mobile Communications Inc.: CVE-2017-0481
</li><li>Саги Кедми и Рои Хэй из IBM Security X-Force: CVE-2017-0510
</li><li>Цзяньцзюнь Дай (<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>) из <a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a>: CVE-2017-0478.
</li><li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534.
</li><li><a href="mailto:zlbzlb815@163.com">Лубо Чжан</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8479.
</li><li>Макото Онуки из Google: CVE-2017-0491
</li><li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), <a href="mailto:arnow117@gmail.com">Ханьсян Вэнь</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0479, CVE-2017-0480.
</li><li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0535
</li><li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla Motors Product Security Team: CVE-2017-0306
</li><li>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-8417
</li><li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) из KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
</li><li>Цин Чжан из Qihoo 360 и Гуандун Бай из Технологического института Сингапура (SIT): CVE-2017-0496
</li><li>Цюйхэ и ваньчоучоу из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
</li><li><a href="mailto:keun-o.park@darkmatter.ae">Sahara</a> из Secure Communications в DarkMatter: CVE-2017-0528
</li><li>salls (<a href="https://twitter.com/chris_salls">@chris_salls</a>) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2017-0505
</li><li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0504, CVE-2017-0516.
</li><li>Шон Бопре (beaups): CVE-2017-0455
</li><li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из Trend Micro: CVE-2017-0452
</li><li>Шиничи Мацумото из Fujitsu: CVE-2017-0498
</li><li><a href="mailto:smarques84@gmail.com">Стефан Марк</a> из <a href="http://www.byterev.com">ByteRev</a>: CVE-2017-0489.
</li><li>Светослав Ганов из Google: CVE-2017-0492
</li><li><a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0333.
</li><li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495.
</li><li>Виш У (吴潍浠 此彼) (<a href="https://twitter.com/wish_wu">@wish_wu</a>) из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
</li><li>Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
</li><li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0526, CVE-2017-0527.
</li><li>Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>), <a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:shaodacheng2016@gmail.com">Дачэн Шао</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0483.</li>
<li>Цзыно Хань (<a href="https://weibo.com/ele7enxxh">weibo.com/ele7enxxh</a>) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497.
</li></ul>
<h2 id="2017-03-01-details">Описание уязвимостей (обновление системы безопасности 2017-03-01)</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="rce-in-openssl-&-boringssl">Удаленное выполнение кода через OpenSSL и BoringSSL</h3>
<p>Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке файлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте привилегированного процесса.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2182</td>
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/54bf62a81586d99d0a951ca3342d569b59e69b80">
A-32096880</a></td>
<td>Критический</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>5 августа 2016 г.</td>
</tr>
</tbody></table>
<h3 id="rce-in-mediaserver-">Удаленное выполнение кода через mediaserver
</h3>
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации
в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0466</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">A-33139050</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/ec9ab83ac437d31f484a86643e2cc66db8efae4c">2</a>]
</td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0467</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">A-33250932</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">2</a>]
</td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>30 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0468</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/0e8b1dff88e08b9d738d2360f05b96108e190995">A-33351708</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">2</a>]
</td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>5 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0469</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/21851eaecc814be709cb0c20f732cb858cfe1440">
A-33450635</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>8 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0470</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/6aac82003d665708b4e21e9b91693b642e2fa64f">
A-33818500</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>21 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0471</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/4a61d15e7b0ab979ba7e80db8ddbde025c1ce6cc">
A-33816782</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>21 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0472</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/dfa7251ff270ae7e12a019e6735542e36b2a47e0">
A-33862021</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>23 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0473</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/0a4463e2beddb8290e05ad552e48b17686f854ce">
A-33982658</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>30 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0474</td>
<td><a href="https://android.googlesource.com/platform/external/libvpx/+/6f5927de29337fa532c64d0ef8c7cb68f7c89889">
A-32589224</a></td>
<td>Критический</td>
<td>Все</td>
<td>7.0, 7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="eop-in-recovery-verifier">Повышение привилегий через верификатор восстановления</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0475</td>
<td><a href="https://android.googlesource.com/platform/bootable/recovery/+/2c6c23f651abb3d215134dfba463eb72a5e9f8eb">
A-31914369</a></td>
<td>Критический</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>2 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="rce-in-aosp-messaging">Удаленное выполнение кода через клиент для обмена сообщениями AOSP</h3>
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте непривилегированного процесса.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0476</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/8ba22b48ebff50311d7eaa8d512f9d507f0bdd0d">
A-33388925</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>6 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="rce-in-libgdx">Удаленное выполнение кода через libgdx</h3>
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0477</td>
<td><a href="https://android.googlesource.com/platform/external/libgdx/+/fba04a52f43315cdb7dd38766822af0324eab7c5">
A-33621647</a></td>
<td>Высокий</td>
<td>Все</td>
<td>7.1.1</td>
<td>14 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="rce-in-framesequence-library">Удаленное выполнение кода через библиотеку Framesequence</h3>
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0478</td>
<td><a href="https://android.googlesource.com/platform/frameworks/ex/+/7c824f17b3eea976ca58be7ea097cb807126f73b">
A-33718716</a></td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>16 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-nfc">Повышение привилегий через NFC</h3>
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса.
Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0481</td>
<td><a href="https://android.googlesource.com/platform/external/libnfc-nci/+/c67cc6ad2addddcb7185a33b08d27290ce54e350">
A-33434992</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>6 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0479</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">A-32707507</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/8415635765380be496da9b4578d8f134a527d86b">2</a>]
</td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>7 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0480</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">A-32705429</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/8415635765380be496da9b4578d8f134a527d86b">2</a>]
</td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>7 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0482</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/ec9ab83ac437d31f484a86643e2cc66db8efae4c">A-33090864</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/0e8b1dff88e08b9d738d2360f05b96108e190995">2</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/a467b1fb2956fdcee5636ab63573a4bca8150dbe">3</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/3695b6bdaa183bb2852da06b63ebd5b9c2cace36">4</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">5</a>] [<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">6</a>]</td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>22 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0483</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/bc62c086e9ba7530723dc8874b83159f4d77d976">A-33137046</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/5cabe32a59f9be1e913b6a07a23d4cfa55e3fb2f">2</a>]</td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>24 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0484</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">A-33298089</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/a467b1fb2956fdcee5636ab63573a4bca8150dbe">2</a>]</td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>1 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0485</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/3695b6bdaa183bb2852da06b63ebd5b9c2cace36">
A-33387820</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>6 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0486</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/19814b7ad4ea6f0cc4cab34e50ebab2e180fc269">
A-33621215</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>14 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0487</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/aa78b96e842fc1fb70a18acff22be35c7a715b23">
A-33751193</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>19 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0488</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/0340381cd8c220311fd4fe2e8b23e1534657e399">
A-34097213</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="eop-in-location-manager">Повышение привилегий через диспетчер местоположения</h3>
<p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС для данных о местоположении. Проблеме присвоен средний уровень серьезности, поскольку она может использоваться для генерации неправильных данных.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0489</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/d22261fef84481651e12995062105239d551cbc6">
A-33091107</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>20 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-wi-fi">Повышение привилегий через Wi-Fi</h3>
<p>Уязвимость позволяет локальному вредоносному ПО удалять пользовательские данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем). </p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0490</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/1166ca8adba9b49c9185dad11b28b02e72124d95">A-33178389</a> [<a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/1ad3b1e3256a226be362de1a4959f2a642d349b7">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/opt/net/wifi/+/41c42f5bb544acf8bede2d05c6325657d92bd83c">3</a>]
</td>
<td>Средний</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-package-manager">Повышение привилегий через диспетчер пакетов</h3>
<p>Уязвимость позволяет локальному вредоносному ПО блокировать удаление приложений или разрешений пользователями. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0491</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/PackageInstaller/+/5c49b6bf732c88481466dea341917b8604ce53fa">
A-32553261</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="eop-in-system-ui">Повышение привилегий через System UI</h3>
<p>Уязвимость позволяет локальному вредоносному ПО создать наложение интерфейса на весь экран. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0492</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/f4bed684c939b0f8809ef404b8609fe4ef849263">
A-30150688</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="id-in-aosp-messaging">Раскрытие информации через клиент для обмена сообщениями AOSP</h3>
<p>Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Из-за этого проблеме присвоен средний уровень серьезности.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0494</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/3f9821128abd66c4cd2f040d8243efb334bfad2d">
A-32764144</a></td>
<td>Средний</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>9 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0495</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/85c0ec4106659a11c220cd1210f8d76c33d9e2ae">
A-33552073</a></td>
<td>Средний</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>11 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-setup-wizard">Отказ в обслуживании в мастере настройки</h3>
<p>Уязвимость позволяет локальному вредоносному ПО временно заблокировать доступ к пораженному устройству. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0496</td>
<td>A-31554152*</td>
<td>Средний</td>
<td>Нет**</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>14 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="dos-in-mediaserver-2">Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0497</td>
<td><a href="https://android.googlesource.com/platform/external/skia/+/8888cbf8e74671d44e9ff92ec3847cd647b8cdfb">
A-33300701</a></td>
<td>Средний</td>
<td>Все</td>
<td>7.0, 7.1.1</td>
<td>2 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-setup-wizard-2">Отказ в обслуживании в мастере настройки</h3>
<p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, запросить вход в аккаунт Google после сброса настроек. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства. </p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0498</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/1c4d535d0806dbeb6d2fa5cea0373cbd9ab6d33b">A-30352311</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/5f621b5b1549e8379aee05807652d5111382ccc6">2</a>]
</td>
<td>Средний</td>
<td>Все</td>
<td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="dos-in-audioserver">Отказ в обслуживании в audioserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0499</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">
A-32095713</a></td>
<td>Низкий приоритет</td>
<td>Все</td>
<td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>11 октября 2016 г.</td>
</tr>
</tbody></table>
<h2 id="2017-03-05-details">Описание уязвимостей (обновление системы безопасности 2017-03-05)</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-03-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="eop-in-mediatek-components">Повышение привилегий через компоненты MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0500</td>
<td>A-28429685*<br />
M-ALPS02710006</td>
<td>Критический</td>
<td>Нет**</td>
<td>27 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0501</td>
<td>A-28430015*<br />
M-ALPS02708983</td>
<td>Критический</td>
<td>Нет**</td>
<td>27 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0502</td>
<td>A-28430164*<br />
M-ALPS02710027</td>
<td>Критический</td>
<td>Нет**</td>
<td>27 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0503</td>
<td>A-28449045*<br />
M-ALPS02710075</td>
<td>Критический</td>
<td>Нет**</td>
<td>28 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0504</td>
<td>A-30074628*<br />
M-ALPS02829371</td>
<td>Критический</td>
<td>Нет**</td>
<td>9 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0505</td>
<td>A-31822282*<br />
M-ALPS02992041</td>
<td>Критический</td>
<td>Нет**</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0506</td>
<td>A-32276718*<br />
M-ALPS03006904</td>
<td>Критический</td>
<td>Нет**</td>
<td>18 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0337</td>
<td>A-31992762*<br />
N-CVE-2017-0337</td>
<td>Критический</td>
<td>Pixel С</td>
<td>6 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0338</td>
<td>A-33057977*<br />
N-CVE-2017-0338</td>
<td>Критический</td>
<td>Pixel С</td>
<td>21 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0333</td>
<td>A-33899363*<br />
N-CVE-2017-0333</td>
<td>Критический</td>
<td>Pixel С</td>
<td>25 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0306</td>
<td>A-34132950*<br />
N-CVE-2017-0306</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>6 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0335</td>
<td>A-33043375*<br />
N-CVE-2017-0335</td>
<td>Критический</td>
<td>Pixel С</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-kernel-ion-subsystem">Повышение привилегий через подсистему ION ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0507</td>
<td>A-31992382*</td>
<td>Критический</td>
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td>
<td>6 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0508</td>
<td>A-33940449*</td>
<td>Критический</td>
<td>Pixel С</td>
<td>28 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0509</td>
<td>A-32124445*<br />
B-RB#110688</td>
<td>Критический</td>
<td>Нет**</td>
<td>12 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-kernel-fiq-debugger">Повышение привилегий через FIQ-отладчик ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0510</td>
<td>A-32402555*</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>25 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-qualcomm-gpu-driver">Повышение привилегий через драйвер Qualcomm для графического процессора</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8479</td>
<td>A-31824853*<br />
QC-CR#1093687</td>
<td>Критический</td>
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td>
<td>29 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-9806</td>
<td>A-33393474<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=92964c79b357efd980812c4de5c1fd2ec8bb5520">
Upstream kernel</a></td>
<td>Критический</td>
<td>Pixel C, Pixel, Pixel XL</td>
<td>4 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-10200</td>
<td>A-33753815<br />
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=32c231164b762dddefa13af5a0101032c70b50ef">
Upstream kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>19 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3>
<p>Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8484</td>
<td>A-28823575**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8485</td>
<td>A-28823681**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8486</td>
<td>A-28823691**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8487</td>
<td>A-28823724**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8488</td>
<td>A-31625756**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
</tbody></table>
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
<p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-kernel-networking-subsystem-2">Повышение привилегий через сетевую подсистему ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8655</td>
<td>A-33358926<br />
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td>
<td>12 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-9793</td>
<td>A-33363517<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=b98b0bc8c431e3ceb4b26b0dfc8db509518fb290">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td>
<td>2 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-input-hardware-driver">Повышение привилегий через драйвер устройств ввода Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0516</td>
<td>A-32341680*<br />
QC-CR#1096301</td>
<td>Высокий</td>
<td>Android One, Pixel, Pixel XL</td>
<td>21 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-mediatek-hardware-sensor-driver">Повышение привилегий через драйвер MediaTek для аппаратного датчика</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0517</td>
<td>A-32372051*<br />
M-ALPS02973195</td>
<td>Высокий</td>
<td>Нет**</td>
<td>22 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-adsprpc-driver">Повышение привилегий через ADSPRPC-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0457</td>
<td>A-31695439*<br />
QC-CR#1086123<br />
QC-CR#1100695</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>22 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-qualcomm-fingerprint-sensor-driver">Повышение привилегий через драйвер сканера отпечатков пальцев Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0518</td>
<td>A-32370896*<br />
QC-CR#1086530</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>24 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0519</td>
<td>A-32372915*<br />
QC-CR#1086530</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>24 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-qualcomm-crypto-engine-driver">Повышение привилегий через драйвер Qualcomm для шифрования</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0520</td>
<td>A-31750232<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=eb2aad752c43f57e88ab9b0c3c5ee7b976ee31dd">
QC-CR#1082636</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>24 сентября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0458</td>
<td>A-32588962<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=eba46cb98431ba1d7a6bd859f26f6ad03f1bf4d4">
QC-CR#1089433</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>31 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0521</td>
<td>A-32919951<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=dbe4f26f200db10deaf38676b96d8738afcc10c8">
QC-CR#1097709</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>15 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediatek-apk">Повышение привилегий через APK MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0522</td>
<td>A-32916158*<br />
M-ALPS02708925</td>
<td>Высокий</td>
<td>Нет**</td>
<td>15 ноября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0449S</td>
<td>A-32940193<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=051597a4fe19fd1292fb7ea2e627d12d1fd2934f">
QC-CR#1102593</a></td>
<td>Высокий</td>
<td>Nexus 5X, Pixel, Pixel XL</td>
<td>15 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0453</td>
<td>A-33979145<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=05af1f34723939f477cb7d25adb320d016d68513">
QC-CR#1105085</a></td>
<td>Высокий</td>
<td>Nexus 5X, Android One</td>
<td>30 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0523</td>
<td>A-32835279<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=5bb646471da76d3d5cd02cf3da7a03ce6e3cb582">
QC-CR#1096945</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0524</td>
<td>A-33002026</td>
<td>Высокий</td>
<td>Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL</td>
<td>18 ноября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-qualcomm-ipa-driver">Повышение привилегий через драйвер усилителя Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0456</td>
<td>A-33106520*<br />
QC-CR#1099598</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>23 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0525</td>
<td>A-33139056*<br />
QC-CR#1097714</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>25 ноября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-htc-sensor-hub-driver">Повышение привилегий через драйвер контроллера датчиков HTC</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0526</td>
<td>A-33897738*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>25 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0527</td>
<td>A-33899318*</td>
<td>Высокий</td>
<td>Nexus 9, Pixel, Pixel XL</td>
<td>25 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-nvidia-gpu-driver-2">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0307</td>
<td>A-33177895*<br />
N-CVE-2017-0307</td>
<td>Высокий</td>
<td>Нет**</td>
<td>28 ноября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-networking-driver">Повышение привилегий через сетевой драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0463</td>
<td>A-33277611<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=955bd7e7ac097bdffbadafab90e5378038fefeb2">
QC-CR#1101792</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>30 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0460 </td>
<td>A-31252965*<br />
QC-CR#1098801</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-kernel-security-subsystem">Повышение привилегий через подсистему безопасности ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня ядра и аналогичные технологии защиты.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0528</td>
<td>A-33351919*</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>4 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-qualcomm-spcom-driver">Повышение привилегий через SPCom-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5856</td>
<td>A-32610665<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=0c0622914ba53cdcb6e79e85f64bfdf7762c0368">
QC-CR#1094078</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-5857</td>
<td>A-34386529<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=d9d2c405d46ca27b25ed55a8dbd02bd1e633e2d5">
QC-CR#1094140</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="id-in-kernel-networking-subsystem">Раскрытие информации через сетевую подсистему ядра</h3>
<p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-8709</td>
<td>A-34077221<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=338f977f4eb441e69bb9a46eaa0ac715c931a67f">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus Player</td>
<td>9 ноября 2014 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-mediatek-driver">Раскрытие информации через драйвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0529</td>
<td>A-28449427*<br />
M-ALPS02710042</td>
<td>Высокий</td>
<td>Нет**</td>
<td>27 апреля 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="id-in-qualcomm-bootloader">Раскрытие информации через загрузчик Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня загрузчика и аналогичные технологии защиты.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0455</td>
<td>A-32370952<br />
<a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=2c00928b4884fdb0b1661bcc530d7e68c9561a2f">
QC-CR#1082755</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>21 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-power-driver">Раскрытие информации через драйвер питания Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8483</td>
<td>A-33745862<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6997dcb7ade1315474855821e64782205cb0b53a">
QC-CR#1035099</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P</td>
<td>19 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-nvidia-gpu-driver">Раскрытие информации через драйвер NVIDIA для графического процессора</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0334</td>
<td>A-33245849*<br />
N-CVE-2017-0334</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>30 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0336</td>
<td>A-33042679*<br />
N-CVE-2017-0336</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="dos-in-kernel-cryptographic-subsystem">Отказ в обслуживании в криптографической подсистеме ядра</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8650</td>
<td>A-33401771<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f5527fffff3f002b0a6b376163613b82f69de073">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>12 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-camera-driver-(device-specific)">Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства)</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8417</td>
<td>A-32342399<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=01dcc0a7cc23f23a89adf72393d5a27c6d576cd0">
QC-CR#1088824</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>21 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0461</td>
<td>A-32073794<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=ce5d6f84420a2e6ca6aad6b866992970dd313a65">
QC-CR#1100132</a></td>
<td>Средний</td>
<td>Android One, Nexus 5X, Pixel, Pixel XL</td>
<td>9 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0459</td>
<td>A-32644895<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?h=rel/msm-3.18&id=ffacf6e2dc41b6063c3564791ed7a2f903e7e3b7">
QC-CR#1091939</a></td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>3 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0531</td>
<td>A-32877245<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=530f3a0fd837ed105eddaf99810bc13d97dc4302">
QC-CR#1087469</a></td>
<td>Средний</td>
<td>Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>13 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-mediatek-video-codec-driver">Раскрытие информации через драйвер видеокодека MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0532</td>
<td>A-32370398*<br />
M-ALPS03069985</td>
<td>Средний</td>
<td>Нет**</td>
<td>22 октября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0533</td>
<td>A-32509422<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
QC-CR#1088206</a></td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>27 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0534</td>
<td>A-32508732<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
QC-CR#1088206</a></td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>28 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8416</td>
<td>A-32510746<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
QC-CR#1088206</a></td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>28 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8478</td>
<td>A-32511270<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
QC-CR#1088206</a></td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>28 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-camera-driver">Раскрытие информации через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8413</td>
<td>A-32709702<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=bc77232707df371ff6bab9350ae39676535c0e9d">
QC-CR#518731</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>4 ноября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8477</td>
<td>A-32720522<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=33c9042e38506b04461fa99e304482bc20923508">QC-CR#1090007</a> [<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=96145eb5f0631f0e105d47abebc8f940f7621eeb">2</a>]</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>7 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-htc-sound-codec-driver">Раскрытие информации через аудиодрайвер кодеков HTC</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0535</td>
<td>A-33547247*</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>11 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-synaptics-touchscreen-driver">Раскрытие информации через драйвер сенсорного экрана Synaptics</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0536</td>
<td>A-33555878*</td>
<td>Средний</td>
<td>Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL</td>
<td>12 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-kernel-usb-gadget-driver">Раскрытие информации через USB-драйвер ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0537</td>
<td>A-31614969*</td>
<td>Средний</td>
<td>Pixel С</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-qualcomm-camera-driver-2">Раскрытие информации через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен низкий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0452</td>
<td>A-32873615*<br />
QC-CR#1093693</td>
<td>Низкий приоритет</td>
<td>Nexus 5X, Nexus 6P, Android One</td>
<td>10 ноября 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть
после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
</strong></p>
<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
<ul>
<li>В исправлении от 1 марта 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-03-01.</li>
<li>В исправлении от 5 марта 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-03-05.
</li>
</ul>
<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p>
<ul>
<li>[ro.build.version.security_patch]:[2017-03-01]</li>
<li>[ro.build.version.security_patch]:[2017-03-05]</li>
</ul>
<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p>
<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p>
<ul>
<li>На устройствах с установленным обновлением от 1 марта 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li>
<li>На устройствах с установленным обновлением от 5 марта 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
</ul>
<p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p>
<p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p>
<p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-03-01-details">2017-03-01</a> и <a href="#2017-03-05-details">2017-03-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p>
<ul>
<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li>
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li>
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li>
</ul>
<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p>
<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p>
<table>
<tbody><tr>
<th>Префикс</th>
<th>Значение</th>
</tr>
<tr>
<td>A-</td>
<td>Идентификатор ошибки Android</td>
</tr>
<tr>
<td>QC-</td>
<td>Ссылочный номер Qualcomm</td>
</tr>
<tr>
<td>M-</td>
<td>Ссылочный номер MediaTek</td>
</tr>
<tr>
<td>N-</td>
<td>Ссылочный номер NVIDIA</td>
</tr>
<tr>
<td>B-</td>
<td>Ссылочный номер Broadcom</td>
</tr>
</tbody></table>
<h2 id="revisions">Версии</h2>
<ul>
<li>6 марта 2017 года. Бюллетень опубликован.</li>
<li>7 марта 2017 года. Добавлены ссылки на AOSP.</li>
</ul>
</body></html>