| <html devsite><head> |
| <title>Бюллетень по безопасности Android – май 2016 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>Опубликовано 2 мая 2016 г. | Обновлено 4 мая 2016 г.</em></p> |
| |
| <p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>. |
| Перечисленные проблемы устранены в исправлении от 1 мая 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">документации Nexus</a>.</p> |
| |
| <p>Мы сообщили партнерам об уязвимостях 4 апреля 2016 года или ранее. |
| Исправления проблем загружены в хранилище Android Open Source Project (AOSP).</p> |
| |
| <p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. |
| </p> |
| |
| <p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.</p> |
| |
| <p>Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.</p> |
| |
| <h2 id="announcements">Объявления</h2> |
| |
| <ul> |
| <li> Мы переименовали Бюллетень по безопасности Nexus в Бюллетень |
| по безопасности Android. Теперь он содержит информацию об |
| уязвимостях, которые встречаются на всех устройствах Android, |
| а не только на устройствах Nexus.</li> |
| <li> На основании данных, собранных за последние 6 месяцев, мы обновили <a href="/security/overview/updates-resources.html#severity">уровни серьезности</a> уязвимостей. |
| Теперь они лучше отражают реальный риск для безопасности пользователей.</li> |
| </ul> |
| |
| <h2 id="android_and_google_service_mitigations">Предотвращение атак</h2> |
| |
| <p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p> |
| |
| <ul> |
| <li> Использование многих уязвимостей затрудняется в новых версиях Android, |
| поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li> Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> |
| <li> Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> |
| </ul> |
| |
| <h2 id="acknowledgements">Благодарности</h2> |
| |
| <p>Благодарим всех, кто помог обнаружить уязвимости:</p> |
| |
| <ul> |
| <li> Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-2454. |
| </li><li> Энди Тайлер (<a href="https://twitter.com/ticarpi">@ticarpi</a>) из <a href="https://www.e2e-assure.com">e2e-assure</a>: CVE-2016-2457. |
| </li><li> Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-2441, CVE-2016-2442. |
| </li><li> Дзмитрий Лукьяненка (<a href="http://www.linkedin.com/in/dzima">www.linkedin.com/in/dzima</a>): CVE-2016-2458. |
| </li><li> Гэл Бениамини: CVE-2016-2431. |
| </li><li> Хао Чэнь из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456. |
| </li><li> Джейк Валлетта из Mandiant, дочерней компании FireEye: CVE-2016-2060. |
| </li><li> Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446. |
| </li><li> Имре Рад из <a href="http://www.search-lab.hu">Search-Lab Ltd.</a>: CVE-2016-4477. |
| </li><li> Джереми Джослин из Google: CVE-2016-2461. |
| </li><li> Кенни Рут из Google: CVE-2016-2462. |
| </li><li> Марко Грасси (<a href="https://twitter.com/marcograss">@marcograss</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-2443. |
| </li><li> Михал Беднарский (<a href="https://github.com/michalbednarski">https://github.com/michalbednarski</a>): CVE-2016-2440. |
| </li><li> Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452. |
| </li><li> Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend Micro: CVE-2016-2459, CVE-2016-2460. |
| </li><li> Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.: CVE-2016-2428, CVE-2016-2429. |
| </li><li> <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:zlbzlb815@163.com">Лубо Чжан</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-2437. |
| </li><li> Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-2439. |
| </li><li> Зак Риггл (<a href="https://twitter.com/ebeip90">@ebeip90</a>) из команды безопасности Android: CVE-2016-2430. |
| </li></ul> |
| |
| <h2 id="security_vulnerability_details">Описание уязвимостей</h2> |
| |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-05-01: описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии) и датой сообщения об ошибке. |
| Где возможно, мы приведем |
| основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки, |
| и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="remote_code_execution_vulnerability_in_mediaserver"> |
| Удаленное выполнение кода через mediaserver</h3> |
| |
| <p>При обработке медиафайлов и данных в специально созданном файле |
| злоумышленник может нарушать целостность информации в памяти |
| и удаленно выполнять код как процесс mediaserver.</p> |
| |
| <p>Уязвимая функция является основной составляющей ОС. Многие приложения |
| позволяют контенту, особенно MMS-сообщениям и воспроизводимым |
| в браузере медиафайлам, дистанционно обращаться к ней.</p> |
| |
| <p>Уязвимости присвоен критический уровень серьезности из-за возможности |
| удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ |
| к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних |
| приложений.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2428</td> |
| <td><a href="https://android.googlesource.com/platform/external/aac/+/5d4405f601fa11a8955fd7611532c982420e4206"> |
| 26751339</a></td> |
| <td>Критический</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>22 января 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2429</td> |
| <td><a href="https://android.googlesource.com/platform/external/flac/+/b499389da21d89d32deff500376c5ee4f8f0b04c"> |
| 27211885</a></td> |
| <td>Критический</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>16 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_debuggerd"> |
| Повышение привилегий через Debuggerd</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код |
| в контексте отладчика Android. Ей присвоен критический уровень серьезности, |
| поскольку из-за нее нарушается работа системы безопасности. Возможно, |
| для устранения проблемы потребуется переустановить ОС.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2430</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/ad54cfed4516292654c997910839153264ae00a0"> |
| 27299236</a></td> |
| <td>Критический</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>22 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_trustzone"> |
| Повышение привилегий через TrustZone процессора Qualcomm </h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код |
| в контексте ядра TrustZone. Ей присвоен критический уровень серьезности, |
| поскольку из-за нее нарушается работа системы безопасности. Возможно, |
| для устранения проблемы потребуется переустановить ОС.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2431</td> |
| <td>24968809*</td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 6, Nexus 7 (2013), Android One</td> |
| <td>15 октября 2015 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2432</td> |
| <td>25913059*</td> |
| <td>Критический</td> |
| <td>Nexus 6, Android One</td> |
| <td>28 ноября 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_wi-fi_driver"> |
| Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО повышать привилегии |
| пользователя и выполнять произвольный код в контексте ядра. Ей присвоен |
| критический уровень серьезности, поскольку из-за нее нарушается работа |
| системы безопасности. Возможно, для устранения проблемы потребуется |
| переустановить ОС.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-0569</td> |
| <td>26754117*</td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 7 (2013)</td> |
| <td>23 января 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-0570</td> |
| <td>26764809*</td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 7 (2013)</td> |
| <td>25 января 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_nvidia_video_driver"> |
| Повышение привилегий через видеодрайвер NVIDIA</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный |
| код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку |
| из-за нее нарушается работа системы безопасности. Возможно, |
| для устранения проблемы потребуется переустановить ОС.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2434</td> |
| <td>27251090*</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>17 февраля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2435</td> |
| <td>27297988*</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>20 февраля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2436</td> |
| <td>27299111*</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>22 февраля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2437</td> |
| <td>27436822*</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>1 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_kernel"> |
| Повышение привилегий через ядро</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Узнайте больше об этой уязвимости в <a href="/security/advisory/2016-03-18.html">Примечании по безопасности Android</a> от 18 марта 2016 года.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1805</td> |
| <td>27275324*</td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9</td> |
| <td>19 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление опубликовано в AOSP для следующих версий ядра: <a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">3.14</a>, <a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">3.10</a> и <a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">3.4</a>.</p> |
| |
| <h3 id="remote_code_execution_vulnerability_in_kernel"> |
| Удаленное выполнение кода через ядро</h3> |
| |
| <p>Уязвимость в подсистеме аудио позволяет локальному вредоносному ПО выполнять |
| произвольный код в контексте ядра. Как правило, таким ошибкам присваивают |
| критический уровень серьезности, но в этом случае уязвимость требует сначала |
| нарушить защиту привилегированного сервиса, вызывающего подсистему аудио, |
| поэтому уровень был снижен до высокого.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2438</td> |
| <td>26636060*</td> |
| <td>Высокий</td> |
| <td>Nexus 9 </td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление опубликовано в <a href="https://github.com/torvalds/linux/commit/b5a663aa426f4884c71cd8580adae73f33570f0d">сообществе Linux</a>.</p> |
| |
| <h3 id="information_disclosure_vulnerability_in_qualcomm_tethering_controller"> |
| Раскрытие информации через контроллер точек доступа Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный |
| доступ к информации, используя которую можно установить личность пользователя. |
| Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2060</td> |
| <td>27942588*</td> |
| <td>Высокий</td> |
| <td>Нет</td> |
| <td>23 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних драйверах для устройств, на которых присутствует уязвимость.</p> |
| |
| <h3 id="remote_code_execution_vulnerability_in_bluetooth"> |
| Удаленное выполнение кода через Bluetooth</h3> |
| |
| <p>Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код во время подключения устройства Bluetooth. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2439</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/9b534de2aca5d790c2a1c4d76b545f16137d95dd"> |
| 27411268</a></td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>28 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_binder"> |
| Повышение привилегий через Binder</h3> |
| |
| <p>Уязвимость позволяет вредоносному ПО выполнять произвольный код |
| в контексте процесса другого приложения (при очистке памяти). Из-за этого |
| проблеме присвоен высокий уровень серьезности.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2440</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/a59b827869a2ea04022dd225007f29af8d61837a"> |
| 27252896</a></td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>18 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_buspm_driver"> |
| Повышение привилегий через Buspm-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный |
| код в контексте ядра. Как правило, таким ошибкам присваивают критический |
| уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту |
| сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2441</td> |
| <td>26354602*</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P</td> |
| <td>30 декабря 2015 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2442</td> |
| <td>26494907*</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P</td> |
| <td>30 декабря 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_mdp_driver"> |
| Повышение привилегий через MDP-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2443</td> |
| <td>26404525*</td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 7 (2013)</td> |
| <td>5 января 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop_in_qualcomm_wi-fi_driver"> |
| Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять |
| несанкционированные системные вызовы для изменения настроек и |
| работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-0571</td> |
| <td>26763920*</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 7 (2013)</td> |
| <td>25 января 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop_in_nvidia_video_driver"> |
| Повышение привилегий через видеодрайвер NVIDIA</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный |
| код в контексте ядра. Как правило, таким ошибкам присваивают критический |
| уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту |
| высокопривилегированного сервиса, вызывающего драйвер, поэтому уровень |
| был снижен до высокого.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2444</td> |
| <td>27208332*</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>16 февраля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2445</td> |
| <td>27253079*</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>17 февраля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2446</td> |
| <td>27441354*</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>1 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop_in_wi-fi"> |
| Повышение привилегий через Wi-Fi</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p> |
| |
| <p><strong>Примечание.</strong> По запросу компании MITRE идентификатор уязвимости (CVE) был изменен с CVE-2016-2447 на CVE-2016-4477.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-4477</td> |
| <td><a href="https://android.googlesource.com/platform/external/wpa_supplicant_8/+/b79e09574e50e168dd5f19d540ae0b9a05bd1535">27371366</a> [<a href="https://android.googlesource.com/platform/external/wpa_supplicant_8/+/b845b81ec6d724bd359cdb77f515722dd4066cf8">2</a>] |
| </td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>24 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_mediaserver"> |
| Повышение привилегий через mediaserver</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2448</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/a2d1d85726aa2a3126e9c331a8e00a8c319c9e2b"> |
| 27533704</a></td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>7 марта 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2449</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/b04aee833c5cfb6b31b8558350feb14bb1a0f353"> |
| 27568958</a></td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>9 марта 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2450</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/7fd96ebfc4c9da496c59d7c45e1f62be178e626d"> |
| 27569635</a></td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>9 марта 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2451</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f9ed2fe6d61259e779a37d4c2d7edb33a1c1f8ba"> |
| 27597103</a></td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>10 марта 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2452</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/44749eb4f273f0eb681d0fa013e3beef754fa687">27662364</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/65756b4082cd79a2d99b2ccb5b392291fd53703f">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/av/+/daa85dac2055b22dabbb3b4e537597e6ab73a866">3</a>] |
| </td> |
| <td>Высокий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>14 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_mediatek_wi-fi_driver"> |
| Повышение привилегий через Wi-Fi-драйвер MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Как правило, таким ошибкам присваивают критический уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2453</td> |
| <td>27549705*</td> |
| <td>Высокий</td> |
| <td>Android One</td> |
| <td>8 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="remote_denial_of_service_vulnerability_in_qualcomm_hardware_codec"> |
| Отказ в обслуживании в аппаратном кодеке Qualcomm</h3> |
| |
| <p>При обработке медиафайлов и данных в специально созданном файле |
| злоумышленник может блокировать доступ к пораженному устройству, |
| выполняя его перезагрузку. Уязвимости присвоен высокий уровень серьезности, |
| поскольку она приводит к отказу в обслуживании.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2454</td> |
| <td>26221024*</td> |
| <td>Высокий</td> |
| <td>Nexus 5</td> |
| <td>16 декабря 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_conscrypt"> |
| Повышение привилегий через Conscrypt</h3> |
| |
| <p>Уязвимость позволяет подделывать аутентификацию сообщений для локального ПО. |
| Проблеме присвоен средний уровень серьезности, поскольку для ее использования |
| требуются скоординированные действия на нескольких устройствах.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2461</td> |
| <td><a href="https://android.googlesource.com/platform/external/conscrypt/+/50d0447566db4a77d78d592f1c1b5d31096fac8f">27324690</a> [<a href="https://android.googlesource.com/platform/external/conscrypt/+/1638945d4ed9403790962ec7abed1b7a232a9ff8">2</a>] |
| </td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>6.0, 6.0.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2462</td> |
| <td><a href="https://android.googlesource.com/platform/external/conscrypt/+/8bec47d2184fca7e8b7337d2a65b2b75a9bc8f54"> |
| 27371173</a></td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>6.0, 6.0.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_openssl_&_boringssl"> |
| Повышение привилегий через OpenSSL и BoringSSL</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Как правило, таким ошибкам присваивают высокий уровень серьезности, но в этом случае для использования уязвимости требуется редкая конфигурация, установленная вручную. Поэтому уровень был снижен до среднего.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-0705</td> |
| <td><a href="https://android.googlesource.com/platform/external/boringssl/+/591be84e89682622957c8f103ca4be3a5ed0f800"> |
| 27449871</a></td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>7 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop_in_mediatek_wi-fi_driver"> |
| Повышение привилегий через Wi-Fi-драйвер MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО вызвать отказ в обслуживании. |
| Как правило, таким ошибкам присваивают высокий уровень серьезности, |
| но в этом случае уязвимость требует сначала нарушить защиту системного сервиса, |
| поэтому уровень был снижен до среднего.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2456</td> |
| <td>27275187*</td> |
| <td>Средний</td> |
| <td>Android One</td> |
| <td>19 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="elevation_of_privilege_vulnerability_in_wi-fi"> |
| Повышение привилегий через Wi-Fi</h3> |
| |
| <p>Уязвимость позволяет гостевому аккаунту менять настройки Wi-Fi для основного |
| пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">dangerous</a> (опасные).</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2457</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/12332e05f632794e18ea8c4ac52c98e82532e5db"> |
| 27411179</a></td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>29 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_aosp_mail"> |
| Раскрытие информации через почтовый клиент AOSP</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальным данным пользователя. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2458</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/UnifiedEmail/+/a55168330d9326ff2120285763c818733590266a">27335139</a> [<a href="https://android.googlesource.com/platform/packages/apps/Email/+/2791f0b33b610247ef87278862e66c6045f89693">2</a>] |
| </td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>23 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="information_disclosure_vulnerability_in_mediaserver"> |
| Раскрытие информации через mediaserver</h3> |
| |
| <p>Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибки Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2459</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/a30d7d90c4f718e46fb41a99b3d52800e1011b73"> |
| 27556038</a></td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>7 марта 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2460</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/a30d7d90c4f718e46fb41a99b3d52800e1011b73"> |
| 27555981</a></td> |
| <td>Средний</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>7 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="denial_of_service_vulnerability_in_kernel"> |
| Отказ в обслуживании в ядре</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку |
| устройства. Ей присвоен низкий уровень серьезности, поскольку она приводит |
| к временному отказу в обслуживании.</p> |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="16%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ошибка Android</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-0774</td> |
| <td>27721803*</td> |
| <td>Низкий</td> |
| <td><a href="#nexus_devices">Все устройства</a></td> |
| <td>17 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление опубликовано в <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/fs/pipe.c?id=b381fbc509052d07ccf8641fd7560a25d46aaf1e">сообществе Linux</a>.</p> |
| |
| <h2 id="common_questions_and_answers">Часто задаваемые вопросы</h2> |
| |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> |
| |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p> |
| |
| <p>Перечисленные проблемы устранены в исправлении от 1 мая 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-05-01].</p> |
| |
| <p id="nexus_devices"><strong>2. Как определить, на каких устройствах Nexus присутствует уязвимость?</strong></p> |
| |
| <p>В каждой таблице из раздела <a href="#security_vulnerability_details">Описание уязвимостей</a> есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.</p> |
| |
| <ul> |
| <li> <strong>Все устройства.</strong> Проблема возникает на<em></em> |
| следующих <a href="https://support.google.com/nexus/answer/4457705#nexus_devices">поддерживаемых устройствах Nexus</a>: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C. |
| </li><li> <strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> |
| <li> <strong>Нет.</strong> Проблема не возникает ни на одном устройстве Nexus.<em></em></li> |
| </ul> |
| |
| <p><strong>3. Почему в этот бюллетень добавлена информация об уязвимости CVE-2015-1805?</strong></p> |
| <p><a href="/security/advisory/2016-03-18.html">Примечание по безопасности Android</a> от 18 марта 2016 года было опубликовано незадолго до выхода апрельского Бюллетеня по безопасности Nexus. Из-за сжатых сроков производители устройств, использующие обновление системы безопасности от 1 апреля 2016 года, могли предоставить исправления для проблем из <a href="2016-04-02.html">указанного бюллетеня</a>, не устраняя уязвимость CVE-2015-1805. |
| Информация о ней была включена в этот бюллетень, поскольку ее необходимо исправить для установки обновления системы безопасности от 1 мая 2016 года.</p> |
| <h2 id="revisions">Версии</h2> |
| |
| <ul> |
| <li> 2 мая 2016 года. Бюллетень опубликован.</li> |
| <li> 4 мая 2016 года. |
| <ul> |
| <li> Добавлены ссылки на AOSP. |
| </li><li> Указано, присутствуют ли уязвимости на устройствах Nexus Player и Pixel C. |
| </li><li> По запросу компании MITRE идентификатор CVE-2016-2447 изменен на CVE-2016-4477. |
| </li></ul> |
| </li> |
| </ul> |
| |
| </body></html> |