| <html devsite><head> |
| <title>Бюллетень по безопасности Android – июнь 2017 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>Опубликовано 5 июня 2017 г. | Обновлено 17 августа 2017 г.</em></p> |
| |
| <p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июня 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| |
| <p>Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей будут доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| |
| <p>Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p> |
| |
| <p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и <a href="https://www.android.com/play-protect">Google Play Защита</a> помогают снизить вероятность атак на Android.</p> |
| |
| <p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p> |
| |
| <p class="note"><strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google находится в разделе <a href="#google-device-updates">Обновления устройств Google</a>.</p> |
| |
| <h2 id="announcements">Объявления</h2> |
| <ul> |
| <li>Мы изменили структуру ежемесячного бюллетеня по безопасности, чтобы его было удобнее читать. Теперь уязвимости сгруппированы по затрагиваемым компонентам, а сведения об обновлениях устройств Google находятся в <a href="#google-device-updates">специальном разделе</a>.</li> |
| <li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| <ul> |
| <li><strong>2017-06-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-06-01 и более ранние.</li> |
| <li><strong>2017-06-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-06-01 и 2017-06-05, а также более ранние.</li> |
| </ul> |
| </li> |
| </ul> |
| |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect">Google Play Защита</a>, |
| позволяют снизить вероятность атак на Android.</p> |
| <ul> |
| <li>Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="https://www.android.com/play-protect">Google Play Защиты</a> и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">сервисами Google для мобильных устройств</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.</li> |
| </ul> |
| |
| <h2 id="2017-06-01-details">Описание уязвимостей (обновление системы безопасности 2017-06-01)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-06-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, <a href="#vulnerability-type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="bluetooth">Bluetooth</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0645</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/14b7d7e1537af60b7bca6c7b9e55df0dc7c6bf41">A-35385327</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0646</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/2bcdf8ec7db12c5651c004601901f1fc25153f2c">A-33899337</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| </tbody></table> |
| <h3 id="libraries">Библиотеки</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-8871</td> |
| <td>A-35443562<a href="#asterisk">*</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-8332</td> |
| <td>A-37761553<a href="#asterisk">*</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5131</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/0eff71008becb7f2c2b4509708da4b79985948bb">A-36554209</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-4658</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/8ea80f29ea5fdf383ee3ae59ce35e55421a339f8">A-36554207</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0663</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/521b88fbb6d18312923f0df653d045384b500ffc">A-37104170</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7376</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/51e0cb2e5ec18eaf6fb331bc573ff27b743898f4">A-36555370</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-5056</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/3f571b1bb85cf56903f06bab3a820182115c5541">A-36809819</a></td> |
| <td>УВК</td> |
| <td>Средний</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7375</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/308396a55280f69ad4112d4f9892f4cbeff042aa">A-36556310</a></td> |
| <td>УВК</td> |
| <td>Средний</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0647</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/3d6a43155c702bce0e7e2a93a67247b5ce3946a5">A-36392138</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-1839</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/ff20cd797822dba8569ee518c44e6864d6b4ebfa">A-36553781</a></td> |
| <td>ОО</td> |
| <td>Средний</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| </tbody></table> |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0637</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/ebaa71da6362c497310377df509651974401d258">A-34064500</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0391</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/14bc1678a80af5be7401cf750ab762ae8c75cc5a">A-32322258</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0640</td> |
| <td>A-33129467<a href="#asterisk">*</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0641</td> |
| <td><a href="https://android.googlesource.com/platform/external/libvpx/+/698796fc930baecf5c3fdebef17e73d5d9a58bcb">A-34360591</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0642</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/913d9e8d93d6b81bb8eac3fc2c1426651f5b259d">A-34819017</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0643</td> |
| <td>A-35645051<a href="#asterisk">*</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0644</td> |
| <td>A-35472997<a href="#asterisk">*</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| </tr> |
| </tbody></table> |
| <h3 id="system-ui">SystemUI</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0638</td> |
| <td><a href="https://android.googlesource.com/platform/external/libgdx/+/a98943dd4aece3024f023f00256607d50dcbcd1e">A-36368305</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>7.1.1, 7.1.2</td> |
| </tr> |
| </tbody></table> |
| <h2 id="2017-06-05-details">Описание уязвимостей (обновление системы безопасности 2017-06-05)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-06-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, <a href="#vulnerability-type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="kernel-components">Компоненты ядра</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0648</td> |
| <td>A-36101220<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Отладчик FIQ</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0651</td> |
| <td>A-35644815<a href="#asterisk">*</a></td> |
| <td>РИ</td> |
| <td>Низкий</td> |
| <td>Подсистема ION</td> |
| </tr> |
| </tbody></table> |
| <h3 id="libraries-05">Библиотеки</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-7995</td> |
| <td>A-36810065<a href="#asterisk">*</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>4.4.4</td> |
| </tr> |
| </tbody></table> |
| <h3 id="mediatek-components">Компоненты MediaTek</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0636</td> |
| <td>A-35310230<a href="#asterisk">*</a><br /> |
| M-ALPS03162263</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер очереди команд</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0649</td> |
| <td>A-34468195<a href="#asterisk">*</a><br /> |
| M-ALPS03162283</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| </tbody></table> |
| <h3 id="nvidia-components">Компоненты NVIDIA</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6247</td> |
| <td>A-34386301<a href="#asterisk">*</a><br /> |
| N-CVE-2017-6247</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6248</td> |
| <td>A-34372667<a href="#asterisk">*</a><br /> |
| N-CVE-2017-6248</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6249</td> |
| <td>A-34373711<a href="#asterisk">*</a><br /> |
| N-CVE-2017-6249</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| </tbody></table> |
| <h3 id="qualcomm-components">Компоненты Qualcomm</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-7371</td> |
| <td>A-36250786<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=e02e63b8014f7a0a5ea17a5196fb4ef1283fd1fd">QC-CR#1101054</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>Драйвер Bluetooth</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7365</td> |
| <td>A-32449913<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=da49bf21d1c19a6293d33c985066dc0273c476db">QC-CR#1017009</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Загрузчик</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7366</td> |
| <td>A-36252171<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=f4c9ffd6cd7960265f38e285ac43cbecf2459e45">QC-CR#1036161</a> [<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=7c4d5736d32f91f0cafe6cd86d00e26389970b00">2</a>]</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер графического процессора</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7367</td> |
| <td>A-34514708<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=07174af1af48c60a41c7136f0c80ffdf4ccc0b57">QC-CR#1008421</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>Загрузчик</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5861</td> |
| <td>A-36251375<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=cf3c97b8b6165f13810e530068fbf94b07f1f77d">QC-CR#1103510</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5864</td> |
| <td>A-36251231<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=cbc21ceb69cb7bca0643423a7ca982abce3ce50a">QC-CR#1105441</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6421</td> |
| <td>A-36251986<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=be42c7ff1f0396484882451fd18f47144c8f1b6b">QC-CR#1110563</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер сенсорного экрана MStar</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7364</td> |
| <td>A-36252179<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=3ce6c47d2142fcd2c4c1181afe08630aaae5a267">QC-CR#1113926</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7368</td> |
| <td>A-33452365<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=143ef972be1621458930ea3fc1def5ebce7b0c5d">QC-CR#1103085</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7369</td> |
| <td>A-33751424<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=75ed08a822cf378ffed0d2f177d06555bd77a006">QC-CR#2009216</a> [<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=ae8f1d5f60644983aba7fbab469d0e542a187c6e">2</a>]</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7370</td> |
| <td>A-34328139<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=970edf007fbe64b094437541a42477d653802d85">QC-CR#2006159</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7372</td> |
| <td>A-36251497<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=1806be003731d6d4be55e5b940d14ab772839e13">QC-CR#1110068</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7373</td> |
| <td>A-36251984<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=e5eb0d3aa6fe62ee437a2269a1802b1a72f61b75">QC-CR#1090244</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8233</td> |
| <td>A-34621613<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=64b7bc25e019dd07e8042e0a6ec6dc6a1dd0c385">QC-CR#2004036</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8234</td> |
| <td>A-36252121<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=6266f954a52641f550ef71653ea83c80bdd083be">QC-CR#832920</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8235</td> |
| <td>A-36252376<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=7e4424a1b5f6a6536066cca7aac2c3a23fd39f6f">QC-CR#1083323</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8236</td> |
| <td>A-35047217<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=cf0d31bc3b04cf2db7737d36b11a5bf50af0c1db">QC-CR#2009606</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер усилителя</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8237</td> |
| <td>A-36252377<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=342d16ac6fb01e304ec75344c693257e00628ecf">QC-CR#1110522</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Сетевой драйвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8242</td> |
| <td>A-34327981<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=6a3b8afdf97e77c0b64005b23fa6d32025d922e5">QC-CR#2009231</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер QSEE Communicator</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8239</td> |
| <td>A-36251230<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=01db0e012f86b8ba6974e5cb9905261a552a0610">QC-CR#1091603</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8240</td> |
| <td>A-36251985<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=22b8b6608174c1308208d5bc6c143f4998744547">QC-CR#856379</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Драйвер контроллера контактов</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8241</td> |
| <td>A-34203184<br /> |
| <a href="https://source.codeaurora.org/quic/la//platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=90213394b7efb28fa511b2eaebc1343ae3b54724">QC-CR#1069175</a></td> |
| <td>РИ</td> |
| <td>Низкий</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| </tbody></table> |
| <h3 id="synaptics-components">Компоненты Synaptics</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0650</td> |
| <td>A-35472278<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Низкий</td> |
| <td>Драйвер сенсорного экрана</td> |
| </tr> |
| </tbody></table> |
| <h3 id="qualcomm-closed-source-components">Закрытые компоненты Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 годы. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности. Сами исправления доступны напрямую у Qualcomm.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-9960</td> |
| <td>A-37280308<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9961</td> |
| <td>A-37279724<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9953</td> |
| <td>A-36714770<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9967</td> |
| <td>A-37281466<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9026</td> |
| <td>A-37277231<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9027</td> |
| <td>A-37279124<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9008</td> |
| <td>A-36384689<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9009</td> |
| <td>A-36393600<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9010</td> |
| <td>A-36393101<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9011</td> |
| <td>A-36714882<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9024</td> |
| <td>A-37265657<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9012</td> |
| <td>A-36384691<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9013</td> |
| <td>A-36393251<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9014</td> |
| <td>A-36393750<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9015</td> |
| <td>A-36714120<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9029</td> |
| <td>A-37276981<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10338</td> |
| <td>A-37277738<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10336</td> |
| <td>A-37278436<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10333</td> |
| <td>A-37280574<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10341</td> |
| <td>A-37281667<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10335</td> |
| <td>A-37282802<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10340</td> |
| <td>A-37280614<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10334</td> |
| <td>A-37280664<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10339</td> |
| <td>A-37280575<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10298</td> |
| <td>A-36393252<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10299</td> |
| <td>A-32577244<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9954</td> |
| <td>A-36388559<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9955</td> |
| <td>A-36384686<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9956</td> |
| <td>A-36389611<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9957</td> |
| <td>A-36387564<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9958</td> |
| <td>A-36384774<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9962</td> |
| <td>A-37275888<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9963</td> |
| <td>A-37276741<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9959</td> |
| <td>A-36383694<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9964</td> |
| <td>A-37280321<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9965</td> |
| <td>A-37278233<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9966</td> |
| <td>A-37282854<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9023</td> |
| <td>A-37276138<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9020</td> |
| <td>A-37276742<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9021</td> |
| <td>A-37276743<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9025</td> |
| <td>A-37276744<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9022</td> |
| <td>A-37280226<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9028</td> |
| <td>A-37277982<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9031</td> |
| <td>A-37275889<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9032</td> |
| <td>A-37279125<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9033</td> |
| <td>A-37276139<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9030</td> |
| <td>A-37282907<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10332</td> |
| <td>A-37282801<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10337</td> |
| <td>A-37280665<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10342</td> |
| <td>A-37281763<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| </tbody></table> |
| <h2 id="google-device-updates">Обновления устройств Google</h2> |
| <p>В таблице указаны обновление системы безопасности, которые находится в последнем автоматическом обновлении (OTA) и <a href="https://developers.google.com/android/nexus/images">образах встроенного ПО для устройств Google</a>.</p> |
| |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Устройство</th> |
| <th>Обновление системы безопасности</th> |
| </tr> |
| <tr> |
| <td>Pixel/Pixel XL</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| <tr> |
| <td>Nexus 5X</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| <tr> |
| <td>Nexus 6</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| <tr> |
| <td>Nexus 6P</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| <tr> |
| <td>Nexus 9</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| <tr> |
| <td>Nexus Player</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| <tr> |
| <td>Pixel С</td> |
| <td>5 июня 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>В обновления устройств Google также включены исправления для следующих уязвимостей системы безопасности (если применимо):</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0639</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/f196061addcc56878078e5684f2029ddbf7055ff">A-35310991</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="acknowledgements">Благодарности</h2> |
| <p>Благодарим всех, кто помог обнаружить уязвимости:</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="83%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Специалисты</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0643, CVE-2017-0641</td> |
| <td>Экулар Сюй (徐健) из Trend Micro</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0645, CVE-2017-0639</td> |
| <td>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0649</td> |
| <td>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0646</td> |
| <td>Godzhen (郑文选 <a href="https://twitter.com/VirtualSeekers">@VirtualSeekers</a>) из Tencent PC Manager</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0636</td> |
| <td>Джейк Корина (<a href="https://twitter.com/JakeCorina">@JakeCorina</a>) из команды Shellphish Grill</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8233</td> |
| <td>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7368</td> |
| <td>Лубо Чжан (<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>), Юань-Цун Ло (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8242</td> |
| <td>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla's Product Security Team</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0650</td> |
| <td>Омер Шварц, Амир Коэн, доктор Асаф Шабтай и доктор Йосси Орен из лаборатории кибербезопасности Университета имени Бен-Гуриона</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0648</td> |
| <td>Рои Хэй (<a href="https://twitter.com/roeehay">@roeehay</a>) из <a href="https://alephsecurity.com/">Aleph Research</a>, HCL Technologies</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248</td> |
| <td>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из TrendMicro</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0642, CVE-2017-0637, CVE-2017-0638</td> |
| <td>Василий Васильев</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0640</td> |
| <td>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8236</td> |
| <td>Силин Гун из отдела безопасности платформы Tencent</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0647</td> |
| <td>Янкан (<a href="https://twitter.com/dnpushme">@dnpushme</a>) и Лиядун из Qex Team, Qihoo 360</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7370</td> |
| <td>Юнган Го (<a href="https://twitter.com/guoygang">@guoygang</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0651</td> |
| <td>Юань-Цун Ло (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8241</td> |
| <td>Зубин Митра из Google</td> |
| </tr> |
| </tbody></table> |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> |
| |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong></p> |
| |
| <p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| <ul> |
| <li>В исправлении от 1 июня 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-06-01.</li> |
| <li>В исправлении от 5 июня 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-06-05.</li></ul> |
| <p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2017-06-01]</li> |
| <li>[ro.build.version.security_patch]:[2017-06-05]</li></ul> |
| <p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> |
| |
| <p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> |
| <ul> |
| <li>На устройствах с установленным обновлением от 1 июня 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением от 5 июня 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li></ul> |
| <p>Рекомендуем партнерам собрать все исправления проблем в одно обновление.</p> |
| |
| <p id="vulnerability-type"><strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong></p> |
| |
| <p>В этом столбце указан тип уязвимости по следующей классификации:<em></em></p> |
| |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Сокращение</th> |
| <th>Описание</th> |
| </tr> |
| <tr> |
| <td>УВК</td> |
| <td>Удаленное выполнение кода</td> |
| </tr> |
| <tr> |
| <td>ПП</td> |
| <td>Повышение привилегий</td> |
| </tr> |
| <tr> |
| <td>РИ</td> |
| <td>Раскрытие информации</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Отказ в обслуживании</td> |
| </tr> |
| <tr> |
| <td>Н/Д</td> |
| <td>Классификация недоступна</td> |
| </tr> |
| </tbody></table> |
| <p><strong>4. На что указывают записи в столбце <em>Ссылки</em>?</strong></p> |
| |
| <p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p> |
| |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"><strong>5. Что означает символ <a href="#asterisk">*</a> рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong></p> |
| |
| <p>Символ <a href="#asterisk">*</a> означает, что исправление для уязвимости не опубликовано.<em></em> Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h2 id="versions">Версии</h2> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="25%" /> |
| <col width="50%" /> |
| </colgroup><tbody><tr> |
| <th>Версия</th> |
| <th>Дата</th> |
| <th>Примечания</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>5 июня 2017 г.</td> |
| <td>Бюллетень опубликован.</td> |
| </tr> |
| <tr> |
| <td>1.1</td> |
| <td>7 июня 2017 г.</td> |
| <td>Добавлены ссылки на AOSP.</td> |
| </tr> |
| <tr> |
| <td>1.2</td> |
| <td>11 июля 2017 г.</td> |
| <td>Добавлена информация об уязвимости CVE-2017-6249.</td> |
| </tr> |
| <tr> |
| <td>1.3</td> |
| <td>17 августа 2017 г.</td> |
| <td>Обновлены ссылочные номера.</td> |
| </tr> |
| </tbody></table> |
| |
| </body></html> |