| <html devsite><head> |
| <title>Бюллетень по безопасности Android – апрель 2017 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>Опубликовано 3 апреля 2017 г. | Обновлено 17 августа 2017 г.</em></p> |
| <p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 апреля 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| <p>Мы сообщили партнерам об уязвимостях 6 марта 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| <p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p> |
| <p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p> |
| <p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p> |
| |
| <h2 id="announcements">Объявления</h2> |
| <ul> |
| <li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| <ul> |
| <li><strong>2017-04-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-04-01 и более ранние.</li> |
| <li><strong>2017-04-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-04-01 и 2017-04-05, а также более ранние.</li> |
| </ul> |
| </li> |
| <li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 апреля 2017 года.</li> |
| </ul> |
| |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p> |
| <ul> |
| <li>В новых версиях Android использование многих уязвимостей затрудняется, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2016_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> |
| <li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> |
| </ul> |
| |
| <h2 id="acknowledgements">Благодарности</h2> |
| <p>Благодарим всех, кто помог обнаружить уязвимости:</p> |
| <ul> |
| <li>Аравинд Мачири (donfos) из команды Shellphish Grill: CVE-2016-5349</li> |
| <li>Дасин Го (<a href="https://twitter.com/freener0">@freener0</a>) из Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553</li> |
| <li><a href="mailto:derrek.haxx@gmail.com">Derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>) и Скотт Бауэр: CVE-2017-0576.</li> |
| <li>Гэл Бениамини из Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561</li> |
| <li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573.</li> |
| <li>Гуан Гун (龚广) (<a href="https://twitter.com/oldfresher">@oldfresher</a>) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547</li> |
| <li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017-0567</li> |
| <li>Иэн Фостер (<a href="https://twitter.com/lanrat">@lanrat</a>): CVE-2017-0554</li> |
| <li>Джек Тан из Trend Micro Inc.: CVE-2017-0579</li> |
| <li>Цзяньцзюнь Дай (<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>) из <a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a>: CVE-2017-0559, CVE-2017-0541.</li> |
| <li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346.</li> |
| <li>Лубо Чжан (<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>) из <a href="http://c0reteam.org">C0RE Team</a> и Юнган Го (<a href="https://twitter.com/guoygang">@guoygang</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564.</li> |
| <li><a href="mailto:salyzyn@android.com">Марк Салызин</a> из Google: CVE-2017-0558</li> |
| <li>Майк Андерсон (<a href="https://twitter.com/manderbot">@manderbot</a>) и Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla's Product Security Team: CVE-2017-0327, CVE-2017-0328.</li> |
| <li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0565</li> |
| <li>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-10236</li> |
| <li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) из KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325</li> |
| <li>Рои Хэй (<a href="https://twitter.com/roeehay">@roeehay</a>) из Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563</li> |
| <li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0562, CVE-2017-0339.</li> |
| <li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586</li> |
| <li>Тим Беккер: CVE-2017-0546</li> |
| <li>Ума Санкар Прадхан (<a href="https://twitter.com/umasankar_iitd">@umasankar_iitd</a>): CVE-2017-0560</li> |
| <li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556.</li> |
| <li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc: CVE-2017-0549</li> |
| <li>Вэньлинь Ян (<a href="https://twitter.com/wenlin_yang">@wenlin_yang</a>), Гуан Гун (<a href="https://twitter.com/oldfresher">@oldfresher</a>) и Хао Чэнь из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577.</li> |
| <li><a href="http://weibo.com/ele7enxxh">Цзыно Хань</a> из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0548</li> |
| <li>Зубин Митра из Google: CVE-2017-0462</li> |
| </ul> |
| |
| <h2 id="2017-04-01-details">Описание уязвимостей (обновление системы безопасности 2017-04-01)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-04-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="rce-in-mediaserver">Удаленное выполнение кода через mediaserver</h3> |
| <p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0538</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/494561291a503840f385fbcd11d9bc5f4dc502b8">A-33641588</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>13 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0539</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/1ab5ce7e42feccd49e49752e6f58f9097ac5d254">A-33864300</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>23 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0541</td> |
| <td><a href="https://android.googlesource.com/platform/external/sonivox/+/56d153259cc3e16a6a0014199a2317dde333c978">A-34031018</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>1 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0542</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/33ef7de9ddc8ea7eb9cbc440d1cf89957a0c267b">A-33934721</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0543</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/f634481e940421020e52f511c1fb34aac1db4b2f">A-34097866</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-camerabase">Повышение привилегий через CameraBase</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0544</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/4b49489c12e6862e9a320ebcb53872e809ed20ec">A-31992879</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>6 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0545</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/e5a54485e08400a976092cd5b1c6d909d0e1a4ab">A-32591350</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>31 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-surfaceflinger">Повышение привилегий через SurfaceFlinger</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0546</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/45b202513ba7440beaefbf9928f73fb6683dcfbd">A-32628763</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>2 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0547</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/9667e3eff2d34c3797c3b529370de47b2c1f1bf6">A-33861560</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>22 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-libskia">Отказ в обслуживании в libskia</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0548</td> |
| <td><a href="https://android.googlesource.com/platform/external/skia/+/318e3505ac2436c62ec19fd27ebe9f8e7d174544">A-33251605</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>7.0, 7.1.1</td> |
| <td>29 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0549</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/37345554fea84afd446d6d8fbb87feea5a0dde3f">A-33818508</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>20 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0550</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/7950bf47b6944546a0aff11a7184947de9591b51">A-33933140</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0551</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/8b5fd8f24eba5dd19ab2f80ea11a9125aa882ae2">A-34097231</a> [<a href="https://android.googlesource.com/platform/external/libavc/+/494561291a503840f385fbcd11d9bc5f4dc502b8">2</a>]</td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0552</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/9a00f562a612d56e7b2b989d168647db900ba6cf">A-34097915</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-libnl">Повышение привилегий через libnl</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса Wi-Fi. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0553</td> |
| <td><a href="https://android.googlesource.com/platform/external/libnl/+/f83d9c1c67b6be69a96995e384f50b572b667df0">A-32342065</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>21 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-telephony">Повышение привилегий через телефонную связь</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к функциям. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0554</td> |
| <td><a href="https://android.googlesource.com/platform/packages/services/Telephony/+/aeb795ef2290af1a0e4b14909363bc574e6b3ee7">A-33815946</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/3294256ba5b9e2ba2d8619d617e3d900e5386564">2</a>]</td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>20 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-mediaserver-2">Раскрытие информации через mediaserver</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0555</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/0b23c81c3dd9ec38f7e6806a3955fed1925541a0">A-33551775</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>12 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0556</td> |
| <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/f301cff2c1ddd880d9a2c77b22602a137519867b">A-34093952</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>4 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0557</td> |
| <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/227c1f829127405e21dab1664393050c652ef71e">A-34093073</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>4 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0558</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/50358a80b1724f6cf1bcdf003e1abf9cc141b122">A-34056274</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-libskia">Раскрытие информации через libskia</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0559</td> |
| <td><a href="https://android.googlesource.com/platform/external/skia/+/16882f721279a82a1c860ac689ce570b16fe26a0">A-33897722</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>25 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-factory-reset">Раскрытие информации через сброс настроек</h3> |
| <p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получать несанкционированный доступ к данным предыдущего владельца. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту устройства.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0560</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/efdec8f5688ce6b0a287eddb6d5dad93ffa0e1ee">A-30681079</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2017-04-05-details">Описание уязвимостей (обновление системы безопасности 2017-04-05)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-04-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="rce-in-broadcom-wi-fi-firmware">Удаленное выполнение кода во встроенном ПО Wi-Fi Broadcom</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте однокристальной системы Wi-Fi. Из-за этого проблеме присвоен критический уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0561</td> |
| <td>A-34199105*<br /> |
| B-RB#110814</td> |
| <td>Критический</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>9 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="rce-in-qualcomm-crypto-engine-driver">Удаленное выполнение кода через драйвер шифрования Qualcomm</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10230</td> |
| <td>A-34389927<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=bd9a8fc6d7f6bd1a0b936994630006de450df657"> |
| QC-CR#1091408</a></td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="rce-in-kernel-networking-subsystem">Удаленное выполнение кода через сетевую подсистему ядра</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10229</td> |
| <td>A-32813456<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=197c949e7798fbf28cfadc69d9ca0c2abbf93191"> |
| Upstream kernel</a></td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-mediatek-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана MediaTek</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0562</td> |
| <td>A-30202425*<br /> |
| M-ALPS02898189</td> |
| <td>Критический*</td> |
| <td>Нет**</td> |
| <td>16 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-htc-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана HTC</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0563</td> |
| <td>A-32089409*<br /> |
| </td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>9 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-kernel-ion-subsystem">Повышение привилегий через подсистему ION ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0564</td> |
| <td>A-34276203*<br /> |
| </td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> |
| <td>12 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за октябрь 2016 года.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10237</td> |
| <td>A-31628601**<br /> |
| QC-CR#1046751</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10238</td> |
| <td>A-35358527**<br /> |
| QC-CR#1042558</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10239</td> |
| <td>A-31624618**<br /> |
| QC-CR#1032929</td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| </tbody></table> |
| <p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| <p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="rce-in-v8">Удаленное выполнение кода через v8</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода через веб-сайты. </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5129</td> |
| <td>A-29178923</td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>6.0, 6.0.1, 7.0</td> |
| <td>20 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="rce-in-freetype">Удаленное выполнение кода через Freetype</h3> |
| <p>Уязвимость позволяет злоумышленнику загрузить специально созданный шрифт, чтобы нарушить целостность информации в памяти непривилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10244</td> |
| <td>A-31470908</td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>13 сентября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-kernel-sound-subsystem">Повышение привилегий через звуковую подсистему ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-4656</td> |
| <td>A-34464977<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=883a1d49f0d77d30012f114b2e19fc141beb3e8e"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus Player</td> |
| <td>26 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-nvidia-crypto-driver">Повышение привилегий через драйвер шифрования NVIDIA</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0339</td> |
| <td>A-27930566*<br /> |
| N-CVE-2017-0339</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>29 марта 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0332</td> |
| <td>A-33812508*<br /> |
| N-CVE-2017-0332</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>21 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0327</td> |
| <td>A-33893669*<br /> |
| N-CVE-2017-0327</td> |
| <td>Высокий</td> |
| <td>Nexus 9</td> |
| <td>24 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-mediatek-thermal-driver">Повышение привилегий через драйвер температурного датчика MediaTek</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0565</td> |
| <td>A-28175904*<br /> |
| M-ALPS02696516</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>11 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-mediatek-camera-driver">Повышение привилегий через драйвер MediaTek для камеры</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0566</td> |
| <td>A-28470975*<br /> |
| M-ALPS02696367</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>29 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0567</td> |
| <td>A-32125310*<br /> |
| B-RB#112575</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>12 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0568</td> |
| <td>A-34197514*<br /> |
| B-RB#112600</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>9 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0569</td> |
| <td>A-34198729*<br /> |
| B-RB#110666</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>9 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0570</td> |
| <td>A-34199963*<br /> |
| B-RB#110688</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>9 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0571</td> |
| <td>A-34203305*<br /> |
| B-RB#111541</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Pixel C, Nexus Player</td> |
| <td>9 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0572</td> |
| <td>A-34198931*<br /> |
| B-RB#112597</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>9 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0573</td> |
| <td>A-34469904*<br /> |
| B-RB#91539</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>18 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0574</td> |
| <td>A-34624457*<br /> |
| B-RB#113189</td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C</td> |
| <td>22 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0575</td> |
| <td>A-32658595*<br /> |
| QC-CR#1103099</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Pixel, Pixel XL</td> |
| <td>3 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-nvidia-i2c-hid-driver">Повышение привилегий через драйвер I2C HID NVIDIA</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0325</td> |
| <td>A-33040280*<br /> |
| N-CVE-2017-0325</td> |
| <td>Высокий</td> |
| <td>Nexus 9, Pixel C</td> |
| <td>20 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-audio-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0454</td> |
| <td>A-33353700<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=cb0701a2f99fa19f01fbd4249bda9a8eadb0241f"> |
| QC-CR#1104067</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>5 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-crypto-engine-driver">Повышение привилегий через драйвер Qualcomm для шифрования</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0576</td> |
| <td>A-33544431<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=2b09507d78b25637df6879cd2ee2031b208b3532"> |
| QC-CR#1103089</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>9 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-htc-touchscreen-driver-2">Повышение привилегий через драйвер сенсорного экрана HTC</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0577</td> |
| <td>A-33842951*<br /> |
| </td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>21 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-dts-sound-driver">Повышение привилегий через аудиодрайвер DTS</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0578</td> |
| <td>A-33964406*<br /> |
| </td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>28 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-sound-codec-driver">Повышение привилегий через аудиодрайвер кодеков Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10231</td> |
| <td>A-33966912<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=3bfe5a89916f7d29492e9f6d941d108b688cb804"> |
| QC-CR#1096799</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>29 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-video-driver">Повышение привилегий через видеодрайвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0579</td> |
| <td>A-34125463*<br /> |
| QC-CR#1115406</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>5 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10232</td> |
| <td>A-34386696<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=21e0ead58e47798567d846b84f16f89cf69a57ae">QC-CR#1024872</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=27f7b3b3059f6181e2786f886f4cd92f413bc30c">[2]</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10233</td> |
| <td>A-34389926<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm/commit/?id=d793c6d91ecba2a1fd206ad47a4fd408d290addf"> |
| QC-CR#897452</a></td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-nvidia-boot-and-power-management-processor-driver">Повышение привилегий через драйвер процессора NVIDIA, управляющего загрузкой и питанием</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте процессора NVIDIA, управляющего загрузкой и питанием. |
| Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0329</td> |
| <td>A-34115304*<br /> |
| N-CVE-2017-0329</td> |
| <td>Высокий</td> |
| <td>Pixel С</td> |
| <td>5 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0580</td> |
| <td>A-34325986*<br /> |
| </td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>16 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0581</td> |
| <td>A-34614485*<br /> |
| </td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>22 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-seemp-driver">Повышение привилегий через Seemp-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0462</td> |
| <td>A-33353601<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=eb7b1426279e751b1fc3e86f434dc349945c1ae7"> |
| QC-CR#1102288</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-kyro-l2-driver">Повышение привилегий через драйвер Kyro L2 Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6423</td> |
| <td>A-32831370<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=0f264f812b61884390b432fdad081a3e995ba768"> |
| QC-CR#1103158</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-kernel-file-system">Повышение привилегий через файловую систему ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-9922</td> |
| <td>A-32761463<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=69c433ed2ecd2d3264efd7afec4439524b319121"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> |
| <td>24 октября 2014 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-kernel-memory-subsystem">Раскрытие информации через подсистему памяти ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-0206</td> |
| <td>A-34465735<br /> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=d36db46c2cba973557eb6138d22210c4e0cf17d6"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus Player</td> |
| <td>6 мая 2014 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-kernel-networking-subsystem">Раскрытие информации через сетевую подсистему ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-3145</td> |
| <td>A-34469585<br /> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=314760e66c35c8ffa51b4c4ca6948d207e783079">Upstream kernel</a> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=05ab8f2647e4221cbdb3856dd7d32bd5407316b3">[2]</a></td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus Player</td> |
| <td>9 мая 2014 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-trustzone">Раскрытие информации через Qualcomm TrustZone</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5349</td> |
| <td>A-29083830<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=7c3bf6557c62d904b15507eb451fda8fd7ef750c">QC-CR#1021945</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=03853a58952834ac3e1e3007c9c680dd4c001a2f">[2]</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=e3d969000fb60ecb9bc01667fa89957f67763514">[3]</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=9bd398661cae758ffc557adc7de74ba32654e1f9">[4]</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>1 июня 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-ipa-driver">Раскрытие информации через драйвер усилителя Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10234</td> |
| <td>A-34390017<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=c7d7492c1e329fdeb28a7901c4cd634d41a996b1">QC-CR#1069060</a> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=d12370c7f3ecded1867fbd6b70ded35db55cab1d">[2]</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-kernel-networking-subsystem">Отказ в обслуживании в сетевой подсистеме ядра</h3> |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-2706</td> |
| <td>A-34160553<br /> |
| <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=1d147bfa64293b2723c4fec50922168658e613ba"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus Player</td> |
| <td>1 апреля 2014 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-qualcomm-wi-fi-driver">Отказ в обслуживании в Wi-Fi-драйвере Qualcomm</h3> |
| <p>Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10235</td> |
| <td>A-34390620<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=5bb0059243515ecdac138cfdb4cee7259bbd0bbc"> |
| QC-CR#1046409</a></td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-kernel-file-system-2">Повышение привилегий через файловую систему ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО несанкционированно выполнять произвольный код на устройстве. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-7097</td> |
| <td>A-32458736<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=073931017b49d9458aa351605b43a7e34598caef"> |
| Upstream kernel</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player</td> |
| <td>28 августа 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-wi-fi-driver-2">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также из-за особых условий, ограничивающих ее применение.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6424</td> |
| <td>A-32086742<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=5cc2ac840e36a3342c5194c20b314f0bb95ef7e1"> |
| QC-CR#1102648</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Pixel, Pixel XL, Android One</td> |
| <td>9 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-broadcom-wi-fi-driver-2">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-8465</td> |
| <td>A-32474971*<br /> |
| B-RB#106053</td> |
| <td>Средний</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>27 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-htc-oem-fastboot-command">Повышение привилегий через команду fastboot oem HTC</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте контроллера датчиков. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует эксплуатации других уязвимостей.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0582</td> |
| <td>A-33178836*<br /> |
| </td> |
| <td>Средний</td> |
| <td>Nexus 9</td> |
| <td>28 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-cp-access-driver">Повышение привилегий через драйвер доступа к ЦП Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также из-за особых условий, ограничивающих ее применение.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0583</td> |
| <td>A-32068683<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=452d2ad331d20b19e8a0768c4b6e7fe1b65abe8f"> |
| QC-CR#1103788</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-kernel-media-driver">Раскрытие информации через медиадрайвер ядра</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-1739</td> |
| <td>A-34460642<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=e6a623460e5fc960ac3ee9f946d3106233fd28d8"> |
| Upstream kernel</a></td> |
| <td>Средний</td> |
| <td>Nexus 6, Nexus 9, Nexus Player</td> |
| <td>15 июня 2014 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0584</td> |
| <td>A-32074353*<br /> |
| QC-CR#1104731</td> |
| <td>Средний</td> |
| <td>Nexus 5X, Pixel, Pixel XL</td> |
| <td>9 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-broadcom-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Broadcom</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0585</td> |
| <td>A-32475556*<br /> |
| B-RB#112953</td> |
| <td>Средний</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>27 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-qualcomm-avtimer-driver">Раскрытие информации через Avtimer-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5346</td> |
| <td>A-32551280<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6298a474322fb2182f795a622b2faa64abfd8474"> |
| QC-CR#1097878</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>29 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6425</td> |
| <td>A-32577085<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=ef86560a21fe1f256f6ba772a195201ff202c657"> |
| QC-CR#1103689</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>29 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-usb-driver">Раскрытие информации через USB-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10236</td> |
| <td>A-33280689<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=b8199c2b852f1e23c988e10b8fbb8d34c98b4a1c"> |
| QC-CR#1102418</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>30 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-sound-driver">Раскрытие информации через аудиодрайвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0586</td> |
| <td>A-33649808<br /> |
| QC-CR#1097569</td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>13 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-spmi-driver">Раскрытие информации через SPMI-драйвер Qualcomm</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6426</td> |
| <td>A-33644474<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=80decd6365deec08c35ecb902a58f9210599b39a"> |
| QC-CR#1106842</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>14 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-nvidia-crypto-driver">Раскрытие информации через драйвер шифрования NVIDIA</h3> |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0328</td> |
| <td>A-33898322*<br /> |
| N-CVE-2017-0328</td> |
| <td>Средний</td> |
| <td>Нет**</td> |
| <td>24 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0330</td> |
| <td>A-33899858*<br /> |
| N-CVE-2017-0330</td> |
| <td>Средний</td> |
| <td>Нет**</td> |
| <td>24 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="vulnerabilities-in-qualcomm-components-2">Уязвимости в компонентах Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности. </p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-9931</td> |
| <td>A-35445101**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9932</td> |
| <td>A-35434683**</td> |
| <td>Критический</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9933</td> |
| <td>A-35442512**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9934</td> |
| <td>A-35439275**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9935</td> |
| <td>A-35444951**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9936</td> |
| <td>A-35442420**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9937</td> |
| <td>A-35445102**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-8995</td> |
| <td>A-35445002**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-8996</td> |
| <td>A-35444658**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-8997</td> |
| <td>A-35432947**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-8998</td> |
| <td>A-35441175**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-8999</td> |
| <td>A-35445401**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9000</td> |
| <td>A-35441076**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9001</td> |
| <td>A-35445400**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9002</td> |
| <td>A-35442421**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9003</td> |
| <td>A-35440626**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10242</td> |
| <td>A-35434643**</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| </tbody></table> |
| <p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| <p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| <p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> |
| |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p> |
| <p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| <ul> |
| <li>В исправлении от 1 апреля 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-04-01.</li> |
| <li>В исправлении от 5 апреля 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-04-05.</li> |
| </ul> |
| <p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2017-04-01];</li> |
| <li>[ro.build.version.security_patch]:[2017-04-05].</li> |
| </ul> |
| |
| <p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> |
| <p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> |
| <ul> |
| <li>На устройствах с установленным обновлением от 1 апреля 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением от 5 апреля 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p> |
| <p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p> |
| <p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-04-01-details">2017-04-01</a> и <a href="#2017-04-05-details">2017-04-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p> |
| <ul> |
| <li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li> |
| <li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> |
| <li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li> |
| </ul> |
| <p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p> |
| <p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p> |
| <table> |
| <tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="revisions">Версии</h2> |
| <ul> |
| <li>3 апреля 2017 года. Бюллетень опубликован.</li> |
| <li>5 апреля 2017 года. Добавлены ссылки на AOSP.</li> |
| <li>21 апреля 2017 года. Исправлена атрибуция уязвимостей CVE-2016-10231 и CVE-2017-0586.</li> |
| <li>27 апреля 2017 года. Информация об уязвимости CVE-2017-0540 удалена из бюллетеня.</li> |
| <li>17 августа 2017 года. Обновлены ссылочные номера.</li> |
| </ul> |
| |
| </body></html> |