Google Git
Sign in
android / platform / docs / source.android.com / fb789314a92670246a8254d97e62f2a9c61f00ad / . / ru / security / bulletin / 2017-01-01.html
blob: 09ef0023a427a110f7a8b772ccbb783b0a6f945d [file] [log] [blame]
<html devsite><head>
<title>Бюллетень по безопасности Android – январь 2017 г.</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 3 января 2017 г. | Обновлено 2 февраля 2017 г.</em></p>
<p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 января 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
<p>Мы сообщили партнерам об уязвимостях 5 декабря 2016 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).
В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p>
<p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
<ul>
<li><strong>2017-01-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-01-01 и более ранние.</li>
<li><strong>2017-01-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-01-01 и 2017-01-05, а также более ранние.</li>
</ul>
</li>
<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 января 2017 года.</li>
</ul>
<h2 id="security-vulnerability-summary">Перечень уязвимостей</h2>
<p>В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li>Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li>
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li>
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li>Александру Бланда: CVE-2017-0390.</li>
<li>Дэниел Микей из Copperhead Security: CVE-2017-0397.</li>
<li>Дасин Го (<a href="https://twitter.com/freener0">@freener0</a>) из Xuanwu Lab, Tencent: CVE-2017-0386.</li>
<li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>): CVE-2017-0392.</li>
<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403.</li>
<li>donfos (Аравинд Мачири) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472.</li>
<li>Энь Хэ (<a href="http://twitter.com/heeeeen4x">@heeeeen4x</a>) из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0394.</li>
<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464.</li>
<li>Команда Google WebM: CVE-2017-0393.</li>
<li>Гуан Гун (龚广) (<a href="http://twitter.com/oldfresher">@oldfresher</a>) из Alpha Team, <a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a>: CVE-2017-0387.</li>
<li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465.</li>
<li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2016-8475.</li>
<li>Джон Сойер (<a href="http://twitter.com/jcase">@jcase</a>) и Шон Бопре (<a href="https://twitter.com/firewaterdevs">@firewaterdevs</a>): CVE-2016-8462.</li>
<li>Джон Сойер (<a href="http://twitter.com/jcase">@jcase</a>), Шон Бопре (<a href="https://twitter.com/firewaterdevs">@firewaterdevs</a>) и Бен Актис (<a href="https://twitter.com/ben_ra">@Ben_RA</a>): CVE-2016-8461.</li>
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0383.</li>
<li>Монк Авел: CVE-2017-0396, CVE-2017-0399.</li>
<li>Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474.</li>
<li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) из KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382.</li>
<li>Рои Хэй и Майкл Гоберман из IBM Security X-Force: CVE-2016-8467.</li>
<li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-8466.</li>
<li>Стив Морроу: CVE-2017-0389.</li>
<li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из команды по изучению угроз для мобильных устройств, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0381.</li>
<li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.: CVE-2017-0391.</li>
<li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0402, CVE-2017-0398.</li>
<li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:arnow117@gmail.com">Ханьсян Вэнь</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0400.</li>
<li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:hlhan@bupt.edu.cn">Хунли Хань</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0384, CVE-2017-0385.</li>
<li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0401.</li>
<li><a href="mailto:yaojun8558363@gmail.com">Яо Цзюнь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435.</li>
<li>Юн Ван (王勇) (<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>) и Цзюнь Чэн из Alibaba Inc.: CVE-2017-0404.</li>
<li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449.</li>
<li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:bigwyfone@gmail.com">Яньфэн Ван</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8430, CVE-2016-8482.</li>
<li>Юйсян Ли (<a href="https://twitter.com/xbalien29">@Xbalien29</a>) из отдела безопасности платформы Tencent: CVE-2017-0395.</li>
<li>Чжаньпэн Чжао (行之) (<a href="https://twitter.com/0xr0ot">@0xr0ot</a>) из Security Research Lab, <a href="http://www.cmcm.com/">Cheetah Mobile</a>: CVE-2016-8451.</li>
</ul>
<p>Также благодарим всех, кто помог в составлении этого бюллетеня:</p>
<ul>
<li>Баоцзэн Дин, Чэнмин Ян, Пэн Сяо, Нин Ю, Ян Дун, Чао Ян, И Чжан и Ян Сун из Alibaba Mobile Security Group.</li>
<li>Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend Micro.</li>
<li>Зубин Митра из Google.</li>
</ul>
<h2 id="2017-01-01-details">Описание уязвимостей (обновление системы безопасности 2017-01-01)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-01-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="rce-in-c-ares">Удаленное выполнение кода через c-ares</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного запроса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5180</td>
<td><a href="https://android.googlesource.com/platform/external/c-ares/+/f4baf84f285bfbdebb89b2fef8a955720f00c677">
A-32205736</a></td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>29 сентября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="rce-vulnerability-in-framesequence">Удаленное выполнение кода через Framesequence</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0382</td>
<td><a href="https://android.googlesource.com/platform/frameworks/ex/+/7f0e3dab5a892228d8dead7f0221cc9ae82474f7">
A-32338390</a></td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>21 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0383</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/e5753ba087fa59ee02f6026cc13b1ceb42a1f266">
A-31677614</a></td>
<td>Высокий</td>
<td>Все</td>
<td>7.0, 7.1.1</td>
<td>21 сентября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0384</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/321ea5257e37c8edb26e66fe4ee78cca4cd915fe">
A-32095626</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>11 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0385</td>
<td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/ed79f2cc961d7d35fdbbafdd235c1436bcd74358">
A-32585400</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>11 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-libnl">Повышение привилегий через libnl</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0386</td>
<td><a href="https://android.googlesource.com/platform/external/libnl/+/f0b40192efd1af977564ed6335d42a8bbdaf650a">
A-32255299</a></td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>18 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediaserver">Повышение привилегий через mediaserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0387</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/675e212c8c6653825cc3352c603caf2e40b00f9f">
A-32660278</a></td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>4 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-external-storage-provider">Раскрытие информации через External Storage Provider</h3>
<p>
Уязвимость позволяет локальному дополнительному пользователю получить доступ к информации на SD-карте, подключенной основным пользователем. Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0388</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/47e62b7fe6807a274ba760a8fecfd624fe792da9">
A-32523490</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="dos-in-core-networking">Отказ в обслуживании в сетевой части ядра</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0389</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/a014b6be3c7c6fb5cf9352a05baf84fca7a133c7">A-31850211</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/47e81a2596b00ee7aaca58716ff164a1708b0b29">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/base/+/006e0613016c1a0e0627f992f5a93a7b7198edba#">3</a>]</td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>20 июля 2016 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0390</td>
<td><a href="https://android.googlesource.com/platform/external/tremolo/+/5dc99237d49e73c27d3eca54f6ccd97d13f94de0">
A-31647370</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>19 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0391</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/a33f6725d7e9f92330f995ce2dcf4faa33f6433f">
A-32322258</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
<td>20 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0392</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/453b351ac5bd2b6619925dc966da60adf6b3126c">
A-32577290</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>29 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0393</td>
<td><a href="https://android.googlesource.com/platform/external/libvpx/+/6886e8e0a9db2dbad723dc37a548233e004b33bc">
A-30436808</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="dos-in-telephony">Отказ в обслуживании через телефонную связь</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0394</td>
<td><a href="https://android.googlesource.com/platform/packages/services/Telephony/+/1cdced590675ce526c91c6f8983ceabb8038f58d">
A-31752213</a></td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>23 сентября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-contacts">Повышение привилегий через Контакты</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО скрыто добавлять контактную информацию. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0395</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/ContactsCommon/+/d47661ad82d402c1e0c90eb83970687d784add1b">
A-32219099</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>15 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен средний уровень серьезности.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0381</td>
<td><a href="https://android.googlesource.com/platform/external/libopus/+/0d052d64480a30e83fcdda80f4774624e044beb7">
A-31607432</a></td>
<td>Средний</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>18 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0396</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/557bd7bfe6c4895faee09e46fc9b5304a956c8b7">
A-31781965</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>27 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0397</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/7a3246b870ddd11861eda2ab458b11d723c7f62c">
A-32377688</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>21 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-audioserver">Раскрытие информации через audioserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0398</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/26965db50a617f69bdefca0d7533796c80374f2c">
A-32438594</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0398</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/26965db50a617f69bdefca0d7533796c80374f2c">
A-32635664</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0398</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/26965db50a617f69bdefca0d7533796c80374f2c">
A-32624850</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0399</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c66c43ad571ed2590dcd55a762c73c90d9744bac">A-32247948</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/d72ea85c78a1a68bf99fd5804ad9784b4102fe57">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>18 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0400</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c66c43ad571ed2590dcd55a762c73c90d9744bac">A-32584034</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/d72ea85c78a1a68bf99fd5804ad9784b4102fe57">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0401</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/321ea5257e37c8edb26e66fe4ee78cca4cd915fe">
A-32448258</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>26 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0402</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c66c43ad571ed2590dcd55a762c73c90d9744bac">A-32436341</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/d72ea85c78a1a68bf99fd5804ad9784b4102fe57">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
</tbody></table>
<h2 id="2017-01-05-details">Описание уязвимостей (обновление системы безопасности 2017-01-05)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-01-05:
описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="eop-in-kernel-memory-subsystem">Повышение привилегий через подсистему памяти ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-3288</td>
<td>A-32460277<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6b7339f4c31ad69c8e9c0b2859276e22cf72176d">
Upstream kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>9 июля 2015 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-bootloader">Повышение привилегий через загрузчик Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8422</td>
<td>A-31471220<br />
<a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=d6639f0a77f8ebfc1e05f3acdf12d5588e7e6213">
QC-CR#979426</a></td>
<td>Критический</td>
<td>Nexus 6, Nexus 6P, Pixel, Pixel XL</td>
<td>22 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8423</td>
<td>A-31399736<br />
<a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=98db6cc526fa1677da05d54785937540cdc84867">
QC-CR#1000546</a></td>
<td>Критический</td>
<td>Nexus 6P, Pixel, Pixel XL</td>
<td>24 августа 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-file-system">Повышение привилегий через файловую систему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-5706</td>
<td>A-32289301<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f15133df088ecadd141ea1907f2c96df67c729f0">
Upstream kernel</a></td>
<td>Критический</td>
<td>Нет*</td>
<td>1 августа 2016 г.</td>
</tr>
</tbody></table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8424</td>
<td>A-31606947*<br />
N-CVE-2016-8424</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>17 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8425</td>
<td>A-31797770*<br />
N-CVE-2016-8425</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8426</td>
<td>A-31799206*<br />
N-CVE-2016-8426</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8482</td>
<td>A-31799863*<br />
N-CVE-2016-8482</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8427</td>
<td>A-31799885*<br />
N-CVE-2016-8427</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8428</td>
<td>A-31993456*<br />
N-CVE-2016-8428</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>6 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8429</td>
<td>A-32160775*<br />
N-CVE-2016-8429</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>13 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8430</td>
<td>A-32225180*<br />
N-CVE-2016-8430</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>17 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8431</td>
<td>A-32402179*<br />
N-CVE-2016-8431</td>
<td>Критический</td>
<td>Pixel C</td>
<td>25 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8432</td>
<td>A-32447738*<br />
N-CVE-2016-8432</td>
<td>Критический</td>
<td>Pixel C</td>
<td>26 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-mediatek-driver">Повышение привилегий через драйвер MediaTek</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8433</td>
<td>A-31750190*<br />
MT-ALPS02974192</td>
<td>Критический</td>
<td>Нет**</td>
<td>24 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<p>
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-qualcomm-gpu-driver">Повышение привилегий через драйвер Qualcomm для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8434</td>
<td>A-32125137<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.14/commit/?id=3e3866a5fced40ccf9ca442675cf915961efe4d9">
QC-CR#1081855</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td>
<td>12 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-nvidia-gpu-driver-2">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8435</td>
<td>A-32700935*<br />
N-CVE-2016-8435</td>
<td>Критический</td>
<td>Pixel C</td>
<td>7 ноября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-video-driver">Повышение привилегий через видеодрайвер Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8436</td>
<td>A-32450261<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=228e8d17b9f5d22cf9896ab8eff88dc6737c2ced">
QC-CR#1007860</a></td>
<td>Критический</td>
<td>Нет*</td>
<td>13 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3>
<p>
Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за ноябрь 2015 года, август 2016 года, сентябрь 2016 года и октябрь 2016 года.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности*</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8438</td>
<td>A-31624565**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8442</td>
<td>A-31625910**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8443</td>
<td>A-32576499**</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8437</td>
<td>A-31623057**</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8439</td>
<td>A-31625204**</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8440</td>
<td>A-31625306**</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8441</td>
<td>A-31625904**</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8398</td>
<td>A-31548486**</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-8459</td>
<td>A-32577972**</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-5080</td>
<td>A-31115235**</td>
<td>Средний</td>
<td>Nexus 5X</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
</tbody></table>
<p>
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
</p>
<p>
**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<p>
***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-qualcomm-camera">Повышение привилегий через камеру Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8412</td>
<td>A-31225246<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=42a98c44669d92dafcf4d6336bdccaeb2db12786">
QC-CR#1071891</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>26 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8444</td>
<td>A-31243641*<br />
QC-CR#1074310</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P</td>
<td>26 августа 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-mediatek-components">Повышение привилегий через компоненты MediaTek</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8445</td>
<td>A-31747590*<br />
MT-ALPS02968983</td>
<td>Высокий</td>
<td>Нет**</td>
<td>25 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8446</td>
<td>A-31747749*<br />
MT-ALPS02968909</td>
<td>Высокий</td>
<td>Нет**</td>
<td>25 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8447</td>
<td>A-31749463*<br />
MT-ALPS02968886</td>
<td>Высокий</td>
<td>Нет**</td>
<td>25 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8448</td>
<td>A-31791148*<br />
MT-ALPS02982181</td>
<td>Высокий</td>
<td>Нет**</td>
<td>28 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<p>
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8415</td>
<td>A-31750554<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=188e12a816508b11771f362c852782ec9a6f9394">
QC-CR#1079596</a></td>
<td>Высокий</td>
<td>Nexus 5X, Pixel, Pixel XL</td>
<td>26 сентября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-nvidia-gpu-driver-3">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8449</td>
<td>A-31798848*<br />
N-CVE-2016-8449</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>28 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-sound-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8450</td>
<td>A-32450563<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=e909d159ad1998ada853ed35be27c7b6ba241bdb">
QC-CR#880388</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td>
<td>13 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8451</td>
<td>A-32178033*</td>
<td>Высокий</td>
<td>Нет**</td>
<td>13 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<p>
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-kernel-security-subsystem">Повышение привилегий через подсистему безопасности ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-7042</td>
<td>A-32178986<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=03dab869b7b239c4e013ec82aea22e181e441cfc">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Pixel C</td>
<td>14 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-performance-subsystem">Повышение привилегий через подсистему производительности ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0403</td>
<td>A-32402548*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>25 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-kernel-sound-subsystem">Повышение привилегий через звуковую подсистему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0404</td>
<td>A-32510733*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>27 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-wi-fi-driver-2">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8452</td>
<td>A-32506396<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=39fa8e972fa1b10dc68a066f4f9432753d8a2526">
QC-CR#1050323</a></td>
<td>Высокий</td>
<td>Nexus 5X, Android One, Pixel, Pixel XL</td>
<td>28 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-radio-driver">Повышение привилегий через драйвер радиоустройства Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5345</td>
<td>A-32639452<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=67118716a2933f6f30a25ea7e3946569a8b191c6">
QC-CR#1079713</a></td>
<td>Высокий</td>
<td>Android One</td>
<td>3 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-profiling-subsystem">Повышение привилегий через подсистему профилирования ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-9754</td>
<td>A-32659848<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=59643d1535eb220668692a5359de22545af579f6">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player</td>
<td>4 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8453
</td>
<td>A-24739315*<br />
B-RB#73392</td>
<td>Высокий</td>
<td>Nexus 6</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-8454</td>
<td>A-32174590*<br />
B-RB#107142</td>
<td>Высокий</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>14 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8455</td>
<td>A-32219121*<br />
B-RB#106311</td>
<td>Высокий</td>
<td>Nexus 6P</td>
<td>15 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8456</td>
<td>A-32219255*<br />
B-RB#105580</td>
<td>Высокий</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>15 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8457</td>
<td>A-32219453*<br />
B-RB#106116</td>
<td>Высокий</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C</td>
<td>15 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-synaptics-touchscreen-driver-2">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8458</td>
<td>A-31968442*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-nvidia-video-driver">Раскрытие информации через видеодрайвер NVIDIA</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8460</td>
<td>A-31668540*<br />
N-CVE-2016-8460</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>21 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-bootloader">Раскрытие информации через загрузчик ОС</h3>
<p>
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8461</td>
<td>A-32369621*</td>
<td>Высокий</td>
<td>Nexus 9, Pixel, Pixel XL</td>
<td>21 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8462</td>
<td>A-32510383*</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>27 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="dos-in-qualcomm-fuse-file-system">Отказ в обслуживании в файловой системе FUSE Qualcomm</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8463</td>
<td>A-30786860<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=cd0fa86de6ca1d40c0a93d86d1c0f7846e8a9a10">
QC-CR#586855</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>3 января 2016 г.</td>
</tr>
</tbody></table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="dos-in-bootloader">Отказ в обслуживании в загрузчике ОС</h3>
<p>
Уязвимость позволяет злоумышленнику вызывать нарушения в работе системы. Возможно, для устранения проблемы потребуется переустановить ОС. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8467</td>
<td>A-30308784*</td>
<td>Высокий</td>
<td>Nexus 6, Nexus 6P</td>
<td>29 июня 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-broadcom-wi-fi-driver-2">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8464</td>
<td>A-29000183*<br />
B-RB#106314</td>
<td>Средний</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>26 мая 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8466</td>
<td>A-31822524*<br />
B-RB#105268</td>
<td>Средний</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8465</td>
<td>A-32474971*<br />
B-RB#106053</td>
<td>Средний</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>27 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-binder">Повышение привилегий через Binder</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8468</td>
<td>A-32394425*</td>
<td>Средний</td>
<td>Pixel C, Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-nvidia-camera-driver">Раскрытие информации через драйвер NVIDIA для камеры</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8469</td>
<td>A-31351206*<br />
N-CVE-2016-8469</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>7 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-mediatek-driver">Раскрытие информации через драйвер MediaTek</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8470</td>
<td>A-31528889*<br />
MT-ALPS02961395</td>
<td>Средний</td>
<td>Нет**</td>
<td>15 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8471</td>
<td>A-31528890*<br />
MT-ALPS02961380</td>
<td>Средний</td>
<td>Нет**</td>
<td>15 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8472</td>
<td>A-31531758*<br />
MT-ALPS02961384</td>
<td>Средний</td>
<td>Нет**</td>
<td>15 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<p>
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="id-in-stmicroelectronics-driver">Раскрытие информации через драйвер STMicroelectronics</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8473</td>
<td>A-31795790*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P</td>
<td>28 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8474</td>
<td>A-31799972*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P</td>
<td>28 сентября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-qualcomm-audio-post-processor-">Раскрытие информации через постпроцессор аудио Qualcomm </h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0399
</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c66c43ad571ed2590dcd55a762c73c90d9744bac">A-32588756</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/d72ea85c78a1a68bf99fd5804ad9784b4102fe57">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>18 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0400</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c66c43ad571ed2590dcd55a762c73c90d9744bac">A-32438598</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/d72ea85c78a1a68bf99fd5804ad9784b4102fe57">2</a>]
</td>
<td>Средний</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0401</td>
<td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/ed79f2cc961d7d35fdbbafdd235c1436bcd74358">
A-32588016</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>26 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0402</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c66c43ad571ed2590dcd55a762c73c90d9744bac">A-32588352</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/d72ea85c78a1a68bf99fd5804ad9784b4102fe57">2</a>]
</td>
<td>Средний</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>25 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-htc-input-driver">Раскрытие информации через драйвер ввода HTC</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8475</td>
<td>A-32591129*</td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>30 октября 2016 г.</td>
</tr>
</tbody></table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="dos-in-kernel-file-system">Отказ в обслуживании в файловой системе ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Ей присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании, который устраняется сбросом настроек устройства.
</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9420</td>
<td>A-32477499<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f54e18f1b831c92f6512d2eedb224cd63d607d3d">
Upstream kernel</a></td>
<td>Средний</td>
<td>Pixel C</td>
<td>25 декабря 2014 г.</td>
</tr>
</tbody></table>
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
</strong></p>
<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
<ul>
<li>В исправлении от 1 января 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-01-01.</li>
<li>В исправлении от 5 января 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-01-05.</li>
</ul>
<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p>
<ul>
<li>[ro.build.version.security_patch]:[2017-01-01];</li>
<li>[ro.build.version.security_patch]:[2017-01-05].</li>
</ul>
<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p>
<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p>
<ul>
<li>На устройствах с установленным обновлением от 1 января 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li>
<li>На устройствах с установленным обновлением от 5 января 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
</ul>
<p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p>
<p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p>
<p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-01-01-details">2017-01-01</a> и <a href="#2017-01-05-details">2017-01-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p>
<ul>
<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li>
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li>
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em></li>
</ul>
<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p>
<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p>
<table>
<tbody><tr>
<th>Префикс</th>
<th>Значение</th>
</tr>
<tr>
<td>A-</td>
<td>Идентификатор ошибки Android</td>
</tr>
<tr>
<td>QC-</td>
<td>Ссылочный номер Qualcomm</td>
</tr>
<tr>
<td>M-</td>
<td>Ссылочный номер MediaTek</td>
</tr>
<tr>
<td>N-</td>
<td>Ссылочный номер NVIDIA</td>
</tr>
<tr>
<td>B-</td>
<td>Ссылочный номер Broadcom</td>
</tr>
</tbody></table>
<h2 id="revisions">Версии</h2>
<ul>
<li>3 января 2017 года. Опубликовано впервые.</li>
<li>4 января 2017 года. Добавлены ссылки на AOSP.</li>
<li>5 января 2017 года. Исправлен номер версии AOSP с 7.1 на 7.1.1.</li>
<li>12 января 2017 года. Удалена повторяющаяся информация об уязвимости CVE-2016-8467.</li>
<li>24 января 2017 года. Обновлено описание и уровень серьезности для CVE-2017-0381.</li>
<li>2 февраля 2017 года. Добавлена дополнительная ссылка на исправление для CVE-2017-0389.</li>
</ul>
</body></html>