| <html devsite><head> |
| <title>Бюллетень по безопасности Android – сентябрь 2016 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>Опубликовано 6 сентября 2016 г. | Обновлено 12 сентября 2016 г.</em> |
| </p> |
| |
| <p> |
| В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы встроенного ПО Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 6 сентября 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705#nexus_devices">Справочном центре</a>. На поддерживаемые устройства Nexus будет установлено единое автоматическое обновление системы безопасности от 6 сентября 2016 года. |
| </p> |
| |
| <p> |
| Мы сообщили партнерам об уязвимостях 5 августа 2016 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP. |
| </p> |
| |
| <p> |
| Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. |
| </p> |
| |
| <p> |
| У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android. |
| </p> |
| |
| <p> |
| Мы рекомендуем всем пользователям установить перечисленные здесь обновления. |
| </p> |
| |
| <h2 id="announcements">Объявления</h2> |
| <ul> |
| <li>Мы включили в этот бюллетень сведения о трех обновлениях, |
| чтобы помочь нашим партнерам как можно скорее устранить |
| уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| <ul> |
| <li><strong>2016-09-01</strong>: частичное обновление системы безопасности, в котором |
| исправлены все уязвимости уровня 2016-09-01 и более ранние.</li> |
| <li><strong>2016-09-05</strong>: частичное обновление системы безопасности, в котором |
| исправлены все уязвимости уровней 2016-09-01 и 2016-09-05, а также более ранние.</li> |
| <li><strong>2016-09-06</strong>: полное обновление системы безопасности (содержит уязвимости, обнаруженные после оповещения партнеров), в котором |
| исправлены все уязвимости уровней 2016-09-01, 2016-09-05 и 2016-09-06, |
| а также более ранние.</li> |
| </ul> |
| </li> |
| <li>На поддерживаемые устройства Nexus будет установлено единое автоматическое обновление системы безопасности от 6 сентября 2016 года.</li> |
| </ul> |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p> |
| Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android. |
| </p> |
| <ul> |
| <li>Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в |
| Google Play инструменты для рутинга запрещены, |
| они могут встречаться в других магазинах. Если пользователь решает |
| установить такое приложение, Проверка предупреждает об этом. |
| Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> |
| <li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> |
| </ul> |
| |
| <h2 id="acknowledgements">Благодарности</h2> |
| <p> |
| Благодарим всех, кто помог обнаружить уязвимости: |
| </p> |
| |
| <ul> |
| <li>Кори Прюс из Университета Карнеги – Меллон: CVE-2016-3897.</li> |
| <li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867.</li> |
| <li>Хао Цинь из Security Research Lab, <a href="http://www.cmcm.com">Cheetah Mobile</a>: CVE-2016-3863.</li> |
| <li>Янн Хорн из Google Project Zero: CVE-2016-3885.</li> |
| <li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2016-3858.</li> |
| <li>Джошуа Дрейк (<a href="https://twitter.com/jduck">@jduck</a>): CVE-2016-3861.</li> |
| <li>Мадху Прия Муруган из Центра информационной безопасности, защиты персональных данных и подотчетности (CISPA), университет земли Саар: CVE-2016-3896.</li> |
| <li>Макото Онуки из Google: CVE-2016-3876.</li> |
| <li>Марк Бренд из Google Project Zero: CVE-2016-3861.</li> |
| <li>Макс Спектор из Android Security: CVE-2016-3888.</li> |
| <li>Макс Спектор и Кван То из Android Security: CVE-2016-3889.</li> |
| <li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-3895.</li> |
| <li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla Motors Product Security Team: обнаружение дополнительных проблем, связанных с CVE-2016-2446.</li> |
| <li>Алексей Вялов из Google: CVE-2016-3890.</li> |
| <li>Оливер Чен из команды безопасности Google Chrome: CVE-2016-3880.</li> |
| <li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-3859.</li> |
| <li>Рональд Л. Лур Варгас (<a href="https://twitter.com/loor_rlv">@loor_rlv</a>) из TEAM Lv51: CVE-2016-3886.</li> |
| <li>Саги Кедми из IBM Security X-Force: CVE-2016-3873.</li> |
| <li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867.</li> |
| <li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из Trend Micro: CVE-2016-3894.</li> |
| <li>Тим Страззере (<a href="https://twitter.com/timstrazz">@timstrazz</a>) из SentinelOne/RedNaga: CVE-2016-3862.</li> |
| <li>trotmaster (<a href="https://twitter.com/trotmaster99">@trotmaster99</a>): CVE-2016-3883.</li> |
| <li>Виктор Чен из Google: CVE-2016-3887.</li> |
| <li>Винеш Венкатасубраманиан из Google: CVE-2016-3881.</li> |
| <li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.: CVE-2016-3878.</li> |
| <li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872.</li> |
| <li>Виш У (<a href="http://weibo.com/wishlinux">吴潍浠</a>) (<a href="https://twitter.com/wish_wu">@wish_wu</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/author/wishwu/">Trend Micro Inc.</a>: CVE-2016-3892.</li> |
| <li>Синюй Хэ (何星宇) (<a href="https://twitter.com/Spid3r_">@Spid3r_</a>) из <a href="http://www.alibaba.com/">Alibaba Inc.</a>: CVE-2016-3879.</li> |
| <li>Яцун Гу из лаборатории TCA Института программного обеспечения Китайской академии наук: |
| CVE-2016-3884.</li> |
| <li><a href="http://yurushao.info">Юйжу Шао</a> из Мичиганского университета (Энн-Арбор): CVE-2016-3898.</li> |
| </ul> |
| |
| <h2 id="2016-09-01-details">Описание уязвимостей (обновление системы безопасности 2016-09-01)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-09-01: |
| описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3>Удаленное выполнение кода через libutils</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3861</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/ecf5fd58a8f50362ce9e8d4245a33d56f29f142b">A-29250543</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/3944c65637dfed14a5a895685edfa4bacaf9f76e">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/base/+/866dc26ad4a98cc835d075b627326e7d7e52ffa1">3</a>] [<a href="https://android.googlesource.com/platform/frameworks/native/+/1f4b49e64adf4623eefda503bca61e253597b9bf">4</a>] |
| </td> |
| <td>Критический</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>9 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Удаленное выполнение кода через mediaserver</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3862</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/e739d9ca5469ed30129d0fa228e3d0f2878671ac"> |
| A-29270469</a></td> |
| <td>Критический</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>10 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Удаленное выполнение кода через mediamuxer</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3863</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/119a012b2a9a186655da4bef3ed4ed8dd9b94c26"> |
| A-29161888</a></td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>6 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через mediaserver</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3870</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/1e9801783770917728b7edbdeff3d0ec09c621ac"> |
| A-29421804</a> |
| </td><td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>15 июня 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3871</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/c2639afac631f5c1ffddf70ee8a6fe943d0bedf9">A-29422022</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/3c4edac2a5b00dec6c8579a0ee658cfb3bb16d94">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/av/+/c17ad2f0c7e00fd1bbf01d0dfed41f72d78267ad">3</a>] |
| </td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>15 июня 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3872</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/630ed150f7201ddadb00b8b8ce0c55c4cc6e8742">A-29421675</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/9f9ba255a0c59544f3555c9c45512c3a2fac5fad">2</a>] |
| </td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>15 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий при загрузке устройства</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику, в руки которого попало устройство, выполнить вход в безопасный режим при загрузке устройства, даже если он отключен в настройках. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно обойти требования к взаимодействию с пользователем и изменению настроек безопасности. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3875</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/69729fa8b13cadbf3173fe1f389fe4f3b7bd0f9c"> |
| A-26251884</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>6.0, 6.0.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Эта уязвимость не затрагивает поддерживаемые устройства Nexus с Android 7.0, на которых установлены все доступные обновления. |
| </p> |
| |
| <h3>Повышение привилегий через приложение "Настройки"</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику, в руки которого попало устройство, выполнить вход в безопасный режим при загрузке устройства, даже если он отключен в настройках. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно обойти требования к взаимодействию с пользователем и изменению настроек безопасности. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3876</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/91fc934bb2e5ea59929bb2f574de6db9b5100745"> |
| A-29900345</a></td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>6.0, 6.0.1, 7.0</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <h3>Отказ в обслуживании в mediaserver</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3899</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/97837bb6cbac21ea679843a0037779d3834bed64"> |
| A-29421811</a></td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>16 июня 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3878</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/7109ce3f8f90a28ca9f0ee6e14f6ac5e414c62cf"> |
| A-29493002</a></td> |
| <td>Высокий</td> |
| <td>Все устройства*</td> |
| <td>6.0, 6.0.1</td> |
| <td>17 июня 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3879</td> |
| <td><a href="https://android.googlesource.com/platform/external/sonivox/+/cadfb7a3c96d4fef06656cf37143e1b3e62cae86"> |
| A-29770686</a></td> |
| <td>Высокий</td> |
| <td>Все устройства*</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>25 июня 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3880</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/68f67ef6cf1f41e77337be3bc4bff91f3a3c6324"> |
| A-25747670</a></td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3881</td> |
| <td><a href="https://android.googlesource.com/platform/external/libvpx/+/4974dcbd0289a2530df2ee2a25b5f92775df80da"> |
| A-30013856</a></td> |
| <td>Высокий</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Эта уязвимость не затрагивает поддерживаемые устройства Nexus с Android 7.0, на которых установлены все доступные обновления. |
| </p> |
| |
| <h3>Повышение привилегий через телефонную связь</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО отправлять несанкционированные SMS на короткие номера. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить дополнительные разрешения на устройстве без явного согласия владельца. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3883</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/opt/telephony/+/b2c89e6f8962dc7aff88cb38aa3ee67d751edda9"> |
| A-28557603</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>3 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через сервис NotificationManager</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти требования к взаимодействию с пользователем (например, связанные с получением доступа к функциям, которые обычно должны быть разрешены или запущены пользователем). |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3884</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/61e9103b5725965568e46657f4781dd8f2e5b623"> |
| A-29421441</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>6.0, 6.0.1, 7.0</td> |
| <td>15 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через Debuggerd</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте отладчика Android. Проблеме присвоен средний уровень серьезности из-за возможности локального выполнения произвольного кода в привилегированном процессе. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3885</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/d7603583f90c2bc6074a4ee2886bd28082d7c65b"> |
| A-29555636</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>21 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через функцию "Настройка интерфейса"</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику, в руки которого попало устройство, изменить защищенные настройки, когда устройство заблокировано. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения без согласия пользователя |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3886</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/6ca6cd5a50311d58a1b7bf8fbef3f9aa29eadcd5"> |
| A-30107438</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>7.0</td> |
| <td>23 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через приложение "Настройки"</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС для настроек VPN. |
| Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить несанкционированный доступ к данным. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="18%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3887</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/335702d106797bce8a88044783fa1fc1d5f751d0"> |
| A-29899712</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>7.0</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через SMS</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику, в руки которого попало устройство, отправлять SMS на короткие номера до инициализации устройства. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти защиту от сброса, которая предотвращает использование устройства до его настройки. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3888</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/opt/telephony/+/b8d1aee993dcc565e6576b2f2439a8f5a507cff6"> |
| A-29420123</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через приложение "Настройки"</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обойти защиту от сброса и удалить все данные с устройства. |
| Из-за этого проблеме присвоен средний уровень серьезности. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="18%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3889</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/e206f02d46ae5e38c74d138b51f6e1637e261abe">A-29194585</a> [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/bd5d5176c74021e8cf4970f93f273ba3023c3d72">2</a>] |
| </td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>6.0, 6.0.1, 7.0</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через Java Debug Wire Protocol</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен средний уровень серьезности, поскольку она возникает на устройствах с нестандартной конфигурацией. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="18%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3890</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/268068f25673242d1d5130d96202d3288c91b700">A-28347842</a> [<a href="https://android.googlesource.com/platform/system/core/+/014b01706cc64dc9c2ad94a96f62e07c058d0b5d">2</a>] |
| </td> |
| <td>Средний</td> |
| <td>Нет*</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Эта уязвимость не затрагивает поддерживаемые устройства Nexus с Android 7.0, на которых установлены все доступные обновления. |
| </p> |
| |
| <h3>Раскрытие информации через mediaserver</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен средний уровень серьезности. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3895</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/363247929c35104b3e5ee9e637e9dcf579080aee"> |
| A-29983260</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>6.0, 6.0.1, 7.0</td> |
| <td>4 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Раскрытие информации через почтовый клиент AOSP</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальным данным пользователя. Из-за этого проблеме присвоен средний уровень серьезности. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3896</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Email/+/cb2dfe43f25cb0c32cc73aa4569c0a5186a4ef43"> |
| A-29767043</a></td> |
| <td>Средний</td> |
| <td>Нет*</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>24 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Эта уязвимость не затрагивает поддерживаемые устройства Nexus с Android 7.0, на которых установлены все доступные обновления. |
| </p> |
| |
| <h3>Раскрытие информации через Wi-Fi</h3> |
| <p> |
| Уязвимость позволяет вредоносному ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3897</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/55271d454881b67ff38485fdd97598c542cc2d55">A-25624963</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/81be4e3aac55305cbb5c9d523cf5c96c66604b39">2</a>] |
| </td> |
| <td>Средний</td> |
| <td>Нет*</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| <td>5 ноября 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Эта уязвимость не затрагивает поддерживаемые устройства Nexus с Android 7.0, на которых установлены все доступные обновления. |
| </p> |
| |
| <h3>Отказ в обслуживании через телефонную связь</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО отключать функцию вызова экстренной службы по номеру 911 в режиме телетайпа с заблокированного экрана. Проблеме присвоен средний уровень серьезности, поскольку она приводит к отказу в обслуживании одной из важнейших функций. |
| </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="17%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3898</td> |
| <td><a href="https://android.googlesource.com/platform/packages/services/Telephony/+/d1d248d10cf03498efb7041f1a8c9c467482a19d"> |
| A-29832693</a></td> |
| <td>Средний</td> |
| <td>Все устройства</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>28 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h2 id="2016-09-05-details">Описание уязвимостей (обновление системы безопасности 2016-09-05)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-09-05: |
| описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3>Повышение привилегий через подсистему безопасности ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-9529</td> |
| <td>A-29510361 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=a3a8784454692dd72e5d5d34dcdab17b4420e74c">Upstream kernel</a></p></td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One</td> |
| <td>6 января 2015 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-4470</td> |
| <td>A-29823941 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=38327424b40bcebe2de92d07312c89360ac9229a">Upstream kernel</a></p></td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player</td> |
| <td>15 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через сетевую подсистему ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2013-7446</td> |
| <td>A-29119002 |
| <p> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/net/unix/af_unix.c?id=7d267278a9ece963d77eefec61630223fce08c6c">Upstream kernel</a></p></td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>18 ноября 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через подсистему сетевой фильтрации ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3134</td> |
| <td>A-28940694 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=54d83fc74aa9ec72794373cb47432c5f7fb1a309">Upstream kernel</a></p></td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>9 марта 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через USB-драйвер ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3951</td> |
| <td>A-28744625 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=4d06dd537f95683aba3651098ae288b7cbff8274">Upstream kernel</a> [<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=1666984c8625b3db19a9abc298931d35ab7bc64b">2</a>]</p></td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>6 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через звуковую подсистему ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-4655</td> |
| <td>A-29916012 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=82262a46627bebb0febcc26664746c25cef08563">Upstream kernel</a></p></td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 6, Nexus 9, Nexus Player</td> |
| <td>26 июня 2014 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через декодер ASN.1 ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2053</td> |
| <td>A-28751627 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=0d62e9dd6da45bbf0f33a8617afc5fe774c8f45f">Upstream kernel</a></p></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P</td> |
| <td>25 января 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через слой радиоинтерфейса Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="25%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3864</td> |
| <td>A-28823714*<br /> |
| QC-CR#913117</td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One</td> |
| <td>29 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через драйвер подсистемы Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3858</td> |
| <td>A-28675151<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=0c148b9a9028c566eac680f19e5d664b483cdee3">QC-CR#1022641</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P</td> |
| <td>9 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через сетевой драйвер ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-4805</td> |
| <td>A-28979703 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=1f461dcdd296eecedaffffc6bae2bfa90bd7eb89">Upstream kernel</a></p></td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9</td> |
| <td>15 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через драйвер сенсорного экрана Synaptics</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3865</td> |
| <td>A-28799389*</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 9</td> |
| <td>16 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через драйвер Qualcomm для камеры</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3859</td> |
| <td>A-28815326*<br /> |
| QC-CR#1034641</td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P</td> |
| <td>17 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через аудиодрайвер Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3866</td> |
| <td>A-28868303*<br /> |
| QC-CR#1032820</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P</td> |
| <td>18 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через IPA-драйвер Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3867</td> |
| <td>A-28919863*<br /> |
| QC-CR#1037897</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P</td> |
| <td>21 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через драйвер питания Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3868</td> |
| <td>A-28967028*<br /> |
| QC-CR#1032875</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P</td> |
| <td>25 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через Wi-Fi-драйвер Broadcom</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3869</td> |
| <td>A-29009982*<br /> |
| B-RB#96070</td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C</td> |
| <td>27 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через файловую систему eCryptfs</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="22%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-1583</td> |
| <td>A-29444228<br /> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=e54ad7f1ee263ffa5a2de9c609d58dfa27b21cd9">Upstream kernel</a> [<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=2f36db71009304b3f0b95afacd8eba1f9f046b87">2</a>] [<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=29d6455178a09e1dc340380c582b13356227e8df">3</a>]</td> |
| <td>Высокий</td> |
| <td>Pixel C</td> |
| <td>1 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через ядро NVIDIA</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3873</td> |
| <td>A-29518457*<br /> |
| N-CVE-2016-3873</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>20 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3874</td> |
| <td>A-29944562<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=50e8f265b3f7926aeb4e49c33f7301ace89faa77">QC-CR#997797</a> [<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=a3974e61c960aadcc147c3c5704a67309171642d">2</a>]</td> |
| <td>Высокий</td> |
| <td>Nexus 5X</td> |
| <td>1 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Отказ в обслуживании в сетевой подсистеме ядра</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к временному отказу в обслуживании. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="18%" /> |
| <col width="10%" /> |
| <col width="25%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-1465</td> |
| <td>A-29506807 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=df4d92549f23e1c037e83323aff58a21b3de7fe0">Upstream kernel</a></p></td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>3 февраля 2015 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-5364</td> |
| <td>A-29507402 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=beb39db59d14990e401e235faf66a6b9b31240b0">Upstream kernel</a></p></td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>30 июня 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Отказ в обслуживании в файловой системе ext4</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику вызывать нарушения в работе системы. Возможно, для ее устранения потребуется переустановить ОС. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="16%" /> |
| <col width="10%" /> |
| <col width="27%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-8839</td> |
| <td>A-28760453*</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>4 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Раскрытие информации через SPMI-драйвер Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3892</td> |
| <td>A-28760543*<br /> |
| QC-CR#1024197</td> |
| <td>Средний</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P</td> |
| <td>13 мая 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Раскрытие информации через аудиокодек Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3893</td> |
| <td>A-29512527<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=a7a6ddc91cce7ad5ad55c9709b24bfc80f5ac873">QC-CR#856400</a></td> |
| <td>Средний</td> |
| <td>Nexus 6P</td> |
| <td>20 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Раскрытие информации через DMA-компонент Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-3894</td> |
| <td>A-29618014*<br /> |
| QC-CR#1042033</td> |
| <td>Средний</td> |
| <td>Nexus 6</td> |
| <td>23 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p> |
| *Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| |
| <h3>Раскрытие информации через сетевую подсистему ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-4998</td> |
| <td>A-29637687<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=bdf533de6968e9686df777dc178486f600c6e617">Upstream kernel</a> [<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6e94e0cfb0887e4013b3b930fa6ab1fe6bb6ba91">2</a>]</td> |
| <td>Средний</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>24 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Отказ в обслуживании в сетевой подсистеме ядра</h3> |
| <p> |
| Уязвимость позволяет злоумышленнику блокировать использование Wi-Fi. Проблеме присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-2922</td> |
| <td>A-29409847 |
| <p> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6fd99094de2b83d1d4c8457f2c83483b2828e75a">Upstream kernel</a></p></td> |
| <td>Средний</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One</td> |
| <td>4 апреля 2015 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Уязвимости в компонентах Qualcomm</h3> |
| <p> |
| В таблице ниже перечислены уязвимости системы безопасности, затрагивающие компоненты Qualcomm, в том числе, возможно, загрузчик, драйвер камеры, символьный драйвер, сеть, аудиодрайвер и видеодрайвер. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2469</td> |
| <td><a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=7eb824e8e1ebbdbfad896b090a9f048ca6e63c9e">QC-CR#997025</a></td> |
| <td>Высокий</td> |
| <td>Нет</td> |
| <td>Июнь 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-2469</td> |
| <td><a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=e7369163162e7773bc887f7a264d6aa46cfcc665">QC-CR#997015</a></td> |
| <td>Средний</td> |
| <td>Нет</td> |
| <td>Июнь 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h2 id="2016-09-06-details">Описание уязвимостей (обновление системы безопасности 2016-09-06)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-09-06: |
| описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3>Повышение привилегий через подсистему совместно используемой памяти ядра</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5340</td> |
| <td>A-30652312<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=06e51489061e5473b4e2035c79dcf7c27a6f75a6">QC-CR#1008948</a></td> |
| <td>Критический</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One</td> |
| <td>26 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h3>Повышение привилегий через сетевой компонент Qualcomm</h3> |
| <p> |
| Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. |
| </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Nexus</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-2059</td> |
| <td>A-27045580<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9e8bdd63f7011dff5523ea435433834b3702398d">QC-CR#974577</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One</td> |
| <td>4 февраля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p> |
| В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня. |
| </p> |
| |
| <p> |
| <strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong> |
| </p> |
| |
| <p> |
| В исправлении от 1 сентября 2016 года устранены все проблемы, связанные с обновлением 2016-09-01. В исправлении от 5 сентября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-09-05. В исправлении от 6 сентября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-09-06. Информацию о том, как узнать дату последнего обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>. Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05] или [ro.build.version.security_patch]:[2016-09-06]. |
| </p> |
| |
| <p> |
| <strong>2. Почему в этом бюллетене говорится о трех обновлениях системы безопасности?</strong> |
| </p> |
| |
| <p> |
| Мы включили в этот бюллетень сведения о трех обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности. |
| </p> |
| |
| <p> |
| На устройствах с установленным обновлением от 6 сентября 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках. Это обновление системы также содержит исправления уязвимостей, которые были обнаружены после оповещения партнеров. |
| </p> |
| |
| <p> |
| На устройствах с установленным обновлением от 5 сентября 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также уязвимости, связанные с обновлением от 1 сентября 2016 года и описанные в предыдущих выпусках. Кроме того, на них также могут быть устранены некоторые уязвимости, исправленные в обновлении от 6 сентября 2016 года. |
| </p> |
| |
| <p> |
| На устройствах с установленным обновлением от 1 сентября 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках. Кроме того, на них также могут быть устранены некоторые уязвимости, исправленные в обновлениях от 5 и 6 сентября 2016 года. |
| </p> |
| |
| <p> |
| <strong>3. Как определить, на каких устройствах Nexus присутствует уязвимость?</strong> |
| </p> |
| |
| <p> |
| В каждой таблице разделов с описанием уязвимостей <a href="#2016-09-01-details">2016-09-01</a>, <a href="#2016-09-05-details">2016-09-05</a> и <a href="#2016-09-06-details">2016-09-06</a> есть столбец <em>Обновленные устройства Nexus</em>. В нем указано, на каких устройствах присутствует уязвимость. |
| </p> |
| |
| <ul> |
| <li><strong>Все устройства.</strong> Проблема возникает на<em></em> |
| следующих <a href="https://support.google.com/nexus/answer/4457705#nexus_devices">поддерживаемых устройствах Nexus</a>: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и Pixel C.</li> |
| <li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> |
| <li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Nexus.<em></em></li> |
| </ul> |
| <p> |
| <strong>4. На что указывают записи в столбце "Ссылки"?</strong> |
| </p> |
| |
| <p> |
| В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно: |
| </p> |
| |
| <table> |
| <tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="revisions">Версии</h2> |
| <ul> |
| <li>6 сентября 2016 года. Бюллетень опубликован.</li> |
| <li>7 сентября 2016 года. Добавлены ссылки на AOSP.</li> |
| <li>12 сентября 2016 года. Атрибуция уязвимостей обновлена для CVE-2016-3861 и удалена для CVE-2016-3877.</li> |
| </ul> |
| |
| </body></html> |