| <html devsite><head> |
| <title>Бюллетень по безопасности Android – сентябрь 2017 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| //www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>Опубликовано 5 сентября 2017 г. | Обновлено 5 октября 2017 г.</em></p> |
| |
| <p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 сентября 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| |
| <p>Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| |
| <p>Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p> |
| |
| <p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и Google Play Защита помогают снизить вероятность атак на Android.</p> |
| |
| <p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p> |
| |
| <p class="note"><strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google находится в разделе <a href="#google-device-updates">Обновления устройств Google</a>.</p> |
| |
| <h2 id="announcements">Объявления</h2> |
| <ul> |
| <li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#questions">Часто задаваемые вопросы</a>. |
| <ul> |
| <li><strong>2017-09-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-09-01 и более ранние.</li> |
| <li><strong>2017-09-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-09-01 и 2017-09-05, а также более ранние.</li> |
| </ul> |
| </li> |
| </ul> |
| |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect">Google Play Защита</a>, позволяют снизить вероятность атак на Android.</p> |
| <ul> |
| <li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, с помощью <a href="https://www.android.com/play-protect">Google Play Защиты</a> активно отслеживает злоупотребления и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">сервисами Google для мобильных устройств</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.</li> |
| </ul> |
| <h2 id="2017-09-01-details">Описание уязвимостей (обновление системы безопасности 2017-09-01)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-09-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="framework">Framework</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0752</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/6ca2eccdbbd4f11698bd5312812b4d171ff3c8ce">A-62196835</a> [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/fc65be941a4dbebfdbe53cd0bd6cc5cc1142a908">2</a>]</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="libraries">Библиотеки</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0753</td> |
| <td><a href="https://android.googlesource.com/platform/manifest/+/c0218b536c4243993bb666910d888cf16191dfd1"> |
| A-62218744</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6983</td> |
| <td><a href="https://android.googlesource.com/platform/external/sqlite/+/a1b4a910e8bf11e03479d91004652fc5919f475b"> |
| A-63852675</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0755</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/0dfb3527ba1ebbe97ad927e1f773427201aab501"> |
| A-32178311</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0756</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/9aa026d0b867b270149dd7323ce36f4f9bfea980"> |
| A-34621073</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0757</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/bb88d4430189b66270c66ff9167fc5bcf4356cf2"> |
| A-36006815</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0758</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/4a534a34b14944f3513b7c101fc74ab0ec9eac0d"> |
| A-36492741</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0759</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/6c91acf543ea20281f7e3d83414fab3cc64f1938"> |
| A-36715268</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0760</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/9cb10d49b1319ea1207cc2f445089aa9266ffc71"> |
| A-37237396</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0761</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/ce512058186120a0de2916f6e22be58455df1a49"> |
| A-38448381</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0762</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/50acbc692998474c598834c9453ca9675b8fb95b"> |
| A-62214264</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0763</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0b57e70715c17e038b2fec0f808c1cd2172f4775"> |
| A-62534693</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0764</td> |
| <td><a href="https://android.googlesource.com/platform/external/tremolo/+/dbf3d0fa7b89aa09ec7bf69699f6233c59070dbc"> |
| A-62872015</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0765</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/7c4c7fa208e31dc6f355a4488f267122015730a3"> |
| A-62872863</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0766</td> |
| <td><a href="https://android.googlesource.com/platform/manifest/+/c0218b536c4243993bb666910d888cf16191dfd1"> |
| A-37776688</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0767</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/2410a6fa4286efc8c5b5a5f33f6eeb023bfb6abb">A-37536407</a> [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/045e30499e3c73fb05b0a97da2420fd27bb263a3">2</a>]</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0768</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d8cc1fe9294accf05c6afcbe7821a485b9939af7"> |
| A-62019992</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0769</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/0be8a2541594feec746195d6dbbc0db6c602175e"> |
| A-37662122</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0770</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/292d85545c6dec3c4386ec1fc2877597ea0ac5cc"> |
| A-38234812</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0771</td> |
| <td><a href="https://android.googlesource.com/platform/external/skia/+/f593adeec75fe65771dfe67deca33fa4434b4e8a"> |
| A-37624243</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0772</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/1e0b52c25b20685ff9d6a14603b6a30f698824a7"> |
| A-38115076</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0773</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/9a03f9511559f82d034603e1df1425a4e0650f92"> |
| A-37615911</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0774</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d4af2450c500c7d153fd66771b613f6e6882bf08">A-62673844</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/5f56ec847a7f6250abd36a2f8a7b7baf4f966d11">2</a>]</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0775</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/a1d5b40aaaa050af40c0f95d8b2d3e1ae8cfebbf"> |
| A-62673179</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td rowspan="2">CVE-2017-0776</td> |
| <td rowspan="2"><a href="https://android.googlesource.com/platform/external/libavc/+/5863b2e39357d82d53b3163afd38ad3bb0a07042"> |
| A-38496660</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0.1</td> |
| </tr> |
| <tr> |
| <td rowspan="2">CVE-2017-0777</td> |
| <td rowspan="2"><a href="https://android.googlesource.com/platform/external/sonivox/+/112d9533b13134edbf4b7ee17db735b4b1468297"> |
| A-38342499</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| </tr> |
| <tr> |
| <td rowspan="2">CVE-2017-0778</td> |
| <td rowspan="2"><a href="https://android.googlesource.com/platform/frameworks/av/+/d7a044350bc151c7f7c04e04aaf136488630d655"> |
| A-62133227</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0779</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/ff4c8310ab7976ea9930b1dc4e3383720d5b5a8d">A-38340117</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/b58464fa783c75ba9d304f670a4392df6fa98ed8">2</a>]</td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="runtime">Runtime</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику вызывать зависание приложения с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0780</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/06cbd7f26ba58399f296d85fd155442c7f2ac837"> |
| A-37742976</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="system">Система</h3> |
| <p>Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0781</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/c513a8ff5cfdcc62cc14da354beb1dd22e56be0e">A-63146105</a> [<a href="https://android.googlesource.com/platform/system/bt/+/1e0bb31f6a809b49014483dc118b9d9ad31ade68">2</a>]</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0782</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/4e47f3db62bab524946c46efe04ed6a2b896b150">A-63146237</a> [<a href="https://android.googlesource.com/platform/system/bt/+/1b08775917413f1674882130a948add1ae44cc91">2</a>] [<a href="https://android.googlesource.com/platform/system/bt/+/c568fa9088ded964e0ac99db236e612de5d82177">3</a>]</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0783</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/1e77fefc8b9c832239e1b32c6a6880376065e24e"> |
| A-63145701</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0784</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Nfc/+/e216bc208bc0f0f685d8271ef8a0b5da8fae1088"> |
| A-37287958</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0785</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/226ea26684d4cd609a5b456d3d2cc762453c2d75"> |
| A-63146698</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2017-09-05-details">Описание уязвимостей (обновление системы безопасности 2017-09-05)</h2> |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-09-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| <h3 id="broadcom-components">Компоненты Broadcom</h3> |
| <p>Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-11120</td> |
| <td>A-62575409<a href="#asterisk">*</a><br /> |
| B-V2017061204</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11121</td> |
| <td>A-62576413<a href="#asterisk">*</a><br /> |
| B-V2017061205</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7065</td> |
| <td>A-62575138<a href="#asterisk">*</a><br /> |
| B-V2017061202</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0786</td> |
| <td>A-37351060<a href="#asterisk">*</a><br /> |
| B-V2017060101</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0787</td> |
| <td>A-37722970<a href="#asterisk">*</a><br /> |
| B-V2017053104</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0788</td> |
| <td>A-37722328<a href="#asterisk">*</a><br /> |
| B-V2017053103</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0789</td> |
| <td>A-37685267<a href="#asterisk">*</a><br /> |
| B-V2017053102</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0790</td> |
| <td>A-37357704<a href="#asterisk">*</a><br /> |
| B-V2017053101</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0791</td> |
| <td>A-37306719<a href="#asterisk">*</a><br /> |
| B-V2017052302</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0792</td> |
| <td>A-37305578<a href="#asterisk">*</a><br /> |
| B-V2017052301</td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="imgtk-components">Компоненты Imgtk</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0793</td> |
| <td>A-35764946<a href="#asterisk">*</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Подсистема памяти</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="kernel-components">Компоненты ядра</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-8890</td> |
| <td>A-38413975<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=657831ffc38e30092a2d5f03d385d710eb88b09a"> |
| Upstream kernel</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>Сетевая подсистема</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9076</td> |
| <td>A-62299478<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Сетевая подсистема</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9150</td> |
| <td>A-62199770<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=0d0e57697f162da4aa218b5feafe614fb666db07"> |
| Upstream kernel</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Ядро Linux</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7487</td> |
| <td>A-62070688<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ee0d8d8482345ff97a75a7d747efc309f13b0d80"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>IPX-драйвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6214</td> |
| <td>A-37901268<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ccf7abb93af09ad0868ae9033d1ca8108bdaec82"> |
| Upstream kernel</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>Сетевая подсистема</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6346</td> |
| <td>A-37897645<br /> |
| <a href=" |
| http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=d199fab63c11998a602205f7ee7ff7c05c97164b"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Ядро Linux</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-5897</td> |
| <td>A-37871211<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=7892032cfe67f4bde6fc2ee967e45a8fbaf33756"> |
| Upstream kernel</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Сетевая подсистема</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7495</td> |
| <td>A-62198330<br /> |
| <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=06bd3c36a733ac27962fea7d6f47168841376824"> |
| Upstream kernel</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Файловая система</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7616</td> |
| <td>A-37751399<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cf01fb9985e8deb25ccf0ea54d916b8871ae0e62"> |
| Upstream kernel</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Ядро Linux</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-12146</td> |
| <td>A-35676417<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/driver-core.git/commit/?h=driver-core-next&id=6265539776a0810b7ce6398c27866ddb9c6bd154"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Ядро Linux</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0794</td> |
| <td>A-35644812<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>SCSI-драйвер</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="mediatek-components">Компоненты MediaTek</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0795</td> |
| <td>A-36198473<a href="#asterisk">*</a><br /> |
| M-ALPS03361480</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер Accessory detector</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0796</td> |
| <td>A-62458865<a href="#asterisk">*</a><br /> |
| M-ALPS03353884<br /> |
| M-ALPS03353886<br /> |
| M-ALPS03353887</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер AUXADC</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0797</td> |
| <td>A-62459766<a href="#asterisk">*</a><br /> |
| M-ALPS03353854</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер Accessory detector</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0798</td> |
| <td>A-36100671<a href="#asterisk">*</a><br /> |
| M-ALPS03365532</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Ядро</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0799</td> |
| <td>A-36731602<a href="#asterisk">*</a><br /> |
| M-ALPS03342072</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Lastbus</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0800</td> |
| <td>A-37683975<a href="#asterisk">*</a><br /> |
| M-ALPS03302988</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>TEEI</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0801</td> |
| <td>A-38447970<a href="#asterisk">*</a><br /> |
| M-ALPS03337980</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>LibMtkOmxVdec</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0802</td> |
| <td>A-36232120<a href="#asterisk">*</a><br /> |
| M-ALPS03384818</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Ядро</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0803</td> |
| <td>A-36136137<a href="#asterisk">*</a><br /> |
| M-ALPS03361477</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер Accessory detector</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0804</td> |
| <td>A-36274676<a href="#asterisk">*</a><br /> |
| M-ALPS03361487</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер MMC</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-components">Компоненты Qualcomm</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-11041</td> |
| <td>A-36130225<a href="#asterisk">*</a><br /> |
| QC-CR#2053101</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>LibOmxVenc</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-10996</td> |
| <td>A-38198574<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9f261e5dfe101bbe35043822a89bffa78e080b3b"> |
| QC-CR#901529</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Ядро Linux</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9725</td> |
| <td>A-38195738<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?h=aosp/android-4.4&id=1f8f9b566e8446c13b954220c226c58d22076f88"> |
| QC-CR#896659</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Подсистема памяти</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9724</td> |
| <td>A-38196929<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=5328a92fa26eabe2ba259b1d813f9de488efc9ec"> |
| QC-CR#863303</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Ядро Linux</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8278</td> |
| <td>A-62379474<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/hardware/qcom/audio/commit/?id=16caa80d6bd59fc645afda37dec4104d451e2f66"> |
| QC-CR#2013236</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-10999</td> |
| <td>A-36490777<a href="#asterisk">*</a><br /> |
| QC-CR#2010713</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер IPA</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11001</td> |
| <td>A-36815555<a href="#asterisk">*</a><br /> |
| QC-CR#2051433</td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11002</td> |
| <td>A-37712167<a href="#asterisk">*</a><br /> |
| QC-CR#2058452 QC-CR#2054690 QC-CR#2058455</td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Драйвер Wi-Fi</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8250</td> |
| <td>A-62379051<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9be5b16de622c2426408425e3df29e945cd21d37"> |
| QC-CR#2003924</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер графического процессора</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9677</td> |
| <td>A-62379475<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=dc333eb1c31b5bdd2b6375d7cb890086d8f27d8b"> |
| QC-CR#2022953</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-10998</td> |
| <td>A-38195131<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=208e72e59c8411e75d4118b48648a5b7d42b1682"> |
| QC-CR#108461</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Аудиодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9676</td> |
| <td>A-62378596<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=c1f749639030305a3b02185c180240a8195fb715"> |
| QC-CR#2016517</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Файловая система</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8280</td> |
| <td>A-62377236<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=49b9a02eaaeb0b70608c6fbcadff7d83833b9614"> |
| QC-CR#2015858</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер WLAN</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8251</td> |
| <td>A-62379525<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=771254edea3486535453dbb76d090cd6bcf92af9"> |
| QC-CR#2006015</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-10997</td> |
| <td>A-33039685<a href="#asterisk">*</a><br /> |
| QC-CR#1103077</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер PCI</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11000</td> |
| <td>A-36136563<a href="#asterisk">*</a><br /> |
| QC-CR#2031677</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8247</td> |
| <td>A-62378684<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=84f8c42e5d848b1d04f49d253f98296e8c2280b9"> |
| QC-CR#2023513</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9720</td> |
| <td>A-36264696<a href="#asterisk">*</a><br /> |
| QC-CR#2041066</td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Драйвер камеры</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8277</td> |
| <td>A-62378788<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=c9a6f09f1030cec591df837622cb54bbb2d24ddc"> |
| QC-CR#2009047</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-8281</td> |
| <td>A-62378232<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id%3D9be5b16de622c2426408425e3df29e945cd21d37&sa=D&usg=AFQjCNHuM63XOo5Y0C7bMJQIIedBHSDKjw"> |
| QC-CR#2015892</a></td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Автомобильная мультимедиасистема</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11040</td> |
| <td>A-37567102<a href="#asterisk">*</a><br /> |
| QC-CR#2038166</td> |
| <td>РИ</td> |
| <td>Средний</td> |
| <td>Видеодрайвер</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="google-device-updates">Обновления устройств Google</h2> |
| <p>В таблице указано обновление системы безопасности, которое находится в последнем автоматическом обновлении (OTA) и в <a href="https://developers.google.com/android/nexus/images">образах встроенного ПО</a> для устройств Google. Автоматические обновления также могут содержать дополнительные обновления.</p> |
| <aside class="note">Устройства Pixel, Pixel XL, Pixel C, Nexus Player, Nexus 5X и Nexus 6P получат обновления системы безопасности за сентябрь при обновлении до Android 8.0 (Oreo).</aside> |
| <table> |
| <tbody><tr> |
| <th>Устройство</th> |
| <th>Обновление системы безопасности</th> |
| </tr> |
| <tr> |
| <td>Pixel и Pixel XL</td> |
| <td>2017-09-05</td> |
| </tr> |
| <tr> |
| <td>Nexus 5X</td> |
| <td>2017-09-05</td> |
| </tr> |
| <tr> |
| <td>Nexus 6</td> |
| <td>2017-09-05</td> |
| </tr> |
| <tr> |
| <td>Nexus 6P</td> |
| <td>2017-09-05</td> |
| </tr> |
| <tr> |
| <td>Nexus 9</td> |
| <td>2017-09-05</td> |
| </tr> |
| <tr> |
| <td>Nexus Player</td> |
| <td>2017-09-05</td> |
| </tr> |
| <tr> |
| <td>Pixel C</td> |
| <td>2017-09-05</td> |
| </tr> |
| </tbody></table> |
| <h2 id="acknowledgements">Благодарности</h2> |
| <p>Благодарим всех, кто помог обнаружить уязвимости:</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="83%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Специалисты</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-11000</td> |
| <td>Баоцзэн Дин (<a href="https://twitter.com/sploving1">@sploving</a>), Чэнмин Ян и Ян Сун из Alibaba Mobile Security Group</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785</td> |
| <td>Бен Сери и Грегори Вишнепольски из Armis, Inc. (<a href="https://armis.com">https://armis.com</a>)</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0800, CVE-2017-0798</td> |
| <td>Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0765</td> |
| <td><a href="mailto:zc1991@mail.ustc.edu.cn">Чи Чжан</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0758</td> |
| <td><a href="http://weibo.com/csddl">Чун Ван</a> и 金哲 (Чжэ Цзинь) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0752</td> |
| <td>Цун Чжэн (<a href="https://twitter.com/shellcong">@shellcong</a>), Вэньцзюнь Ху, Сяо Чжан и Чжи Сюй из Palo Alto Networks</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0801</td> |
| <td><a href="mailto:shaodacheng2016@gmail.com">Дачэн Шао</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0755</td> |
| <td>Давэй Пэн из Alibaba Mobile Security Team (<a href="http://weibo.com/u/5622360291">weibo: Vinc3nt4H</a>)</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0775, CVE-2017-0774, CVE-2017-0771</td> |
| <td>Elphet и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0784</td> |
| <td>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-10997</td> |
| <td>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787</td> |
| <td>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0802</td> |
| <td>Джейк Корина (<a href="https://twitter.com/JakeCorina">@JakeCorina</a>) из команды Shellphish Grill</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0780</td> |
| <td>Джейсон Гу и Севен Шэнь из Trend Micro</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0769</td> |
| <td>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), <a href="mailto:shaodacheng2016@gmail.com">Дачэн Шао</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766</td> |
| <td>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室)</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0772</td> |
| <td>Севен Шэнь из Trend Micro</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0757</td> |
| <td>Василий Васильев</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0768, CVE-2017-0779</td> |
| <td><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0759</td> |
| <td><a href="https://twitter.com/sunblate">Вэйчао Сунь</a> из Alibaba Inc.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0796</td> |
| <td>Сянцянь Чжан, Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0753</td> |
| <td>Янкан (<a href="https://twitter.com/dnpushme">@dnpushme</a>) и hujianfei из Qihoo 360 Qex Team</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-12146</td> |
| <td>Юнган Го (<a href="https://twitter.com/guoygang">@guoygang</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0767</td> |
| <td>Юнкэ Ван и Юэбинь Сунь из <a href="http://xlab.tencent.com">Tencent's Xuanwu Lab</a></td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795</td> |
| <td><a href="http://weibo.com/panyu6325">Юй Пань</a> и <a href="mailto:huahuaisadog@gmail.com">Ян Дай</a> из Vulpecker Team, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0760</td> |
| <td><a href="http://weibo.com/ele7enxxh">Цзыно Хань</a> и 金哲 (Чжэ Цзинь) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778</td> |
| <td><a href="http://weibo.com/ele7enxxh">Цзыно Хань</a> из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.</td> |
| </tr> |
| </tbody></table> |
| <h2 id="questions">Часто задаваемые вопросы</h2> |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> |
| |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong></p> |
| |
| <p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| <ul> |
| <li>В исправлении от 1 сентября 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-09-01.</li> |
| <li>В исправлении от 5 сентября 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-09-05. |
| </li> |
| </ul> |
| <p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2017-09-01]</li> |
| <li>[ro.build.version.security_patch]:[2017-09-05]</li> |
| </ul> |
| <p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> |
| |
| <p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> |
| <ul> |
| <li>На устройствах с установленным обновлением 2017-09-01 должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением 2017-09-05 или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p>Рекомендуем партнерам собрать все исправления проблем в одно обновление.</p> |
| |
| <p id="type"> |
| <strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong></p> |
| |
| <p>В этом столбце указан тип уязвимости по следующей классификации:<em></em></p> |
| |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Сокращение</th> |
| <th>Описание</th> |
| </tr> |
| <tr> |
| <td>УВК</td> |
| <td>Удаленное выполнение кода</td> |
| </tr> |
| <tr> |
| <td>ПП</td> |
| <td>Повышение привилегий</td> |
| </tr> |
| <tr> |
| <td>РИ</td> |
| <td>Раскрытие информации</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Отказ в обслуживании</td> |
| </tr> |
| <tr> |
| <td>Н/Д</td> |
| <td>Классификация недоступна</td> |
| </tr> |
| </tbody></table> |
| <p><strong>4. На что указывают записи в столбце <em>Ссылки</em>?</strong></p> |
| |
| <p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p> |
| |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"><strong>5. Что означает символ * рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong></p> |
| |
| <p>Символ * означает, что исправление для уязвимости не опубликовано.<em></em> Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h2 id="versions">Версии</h2> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="25%" /> |
| <col width="50%" /> |
| </colgroup><tbody><tr> |
| <th>Версия</th> |
| <th>Дата</th> |
| <th>Примечания</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>5 сентября 2017 г.</td> |
| <td>Бюллетень опубликован.</td> |
| </tr> |
| <tr> |
| <td>1.1</td> |
| <td>12 сентября 2017 г.</td> |
| <td>Добавлены сведения об уязвимостях CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 и CVE-2017-0785 в рамках согласованного раскрытия информации внутри отрасли.</td> |
| </tr> |
| <tr> |
| <td>1.2</td> |
| <td>13 сентября 2017 г.</td> |
| <td>Добавлены ссылки на AOSP.</td> |
| </tr> |
| <tr> |
| <td>1.3</td> |
| <td>25 сентября 2017 г.</td> |
| <td>Добавлены сведения об уязвимостях CVE-2017-11120 и CVE-2017-11121 в рамках согласованного раскрытия информации внутри отрасли.</td> |
| </tr> |
| <tr> |
| <td>1.4</td> |
| <td>28 сентября 2017 г.</td> |
| <td>Обновлена ссылка на поставщика для уязвимости CVE-2017-11001.</td> |
| </tr> |
| </tbody></table> |
| |
| </body></html> |