Google Git
Sign in
android / platform / docs / source.android.com / e55b3193405187e091a4ac7730ef04360ec04504 / . / ru / security / bulletin / 2016-04-02.html
blob: 1e2895af0627ff3e84248f6a926d41000b5e5bc5 [file] [log] [blame]
<html devsite><head>
<title>Бюллетень по безопасности Nexus – апрель 2016 г.</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 4 апреля 2016 г. | Обновлено 19 декабря 2016 г.</em></p>
<p>К выходу ежемесячного бюллетеня по безопасности Android мы выпустили автоматическое обновление системы безопасности для устройств Nexus
и опубликовали образы встроенного ПО Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>.
Перечисленные проблемы устранены в исправлении от 2 апреля 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>.</p>
<p>Мы сообщили партнерам об уязвимостях 16 марта 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<p>Узнать больше о том, как уязвимость <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a> используется рутинг-приложением, можно в <a href="/security/advisory/2016-03-18.html">Примечании по безопасности Android от 18 марта 2016 г.</a> В этом обновлении она устранена.<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805"></a>
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.</p>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li> В новых версиях Android использование многих уязвимостей затрудняется, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
</li><li> Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально опасных приложений. Инструменты для рутинга в Google Play запрещены. Чтобы защитить пользователей, которые устанавливают ПО из сторонних источников, функция "Проверка приложений" включена по умолчанию. При этом система предупреждает пользователей об известных рутинг-приложениях. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже установлено, система уведомит об этом пользователя и попытается удалить приложение.
</li><li> Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
</li></ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li> Абхишек Арья, Оливер Чен и Мартин Барбелла из команды
безопасности Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
</li><li> Анестис Бехтсудис (<a href="https://twitter.com/anestisb">@anestisb</a>) из CENSUS S.A.: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
</li><li> Брэд Эбингер и Сантос Кордон из команды Google Telecom: CVE-2016-0847
</li><li> Доминик Шурманн из <a href="https://www.ibr.cs.tu-bs.de">Института операционных систем и компьютерных сетей</a>, Брауншвейгский технический университет: CVE-2016-2425
</li><li> Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>), <a href="http://weibo.com/jfpan">pjf</a> и Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) из IceSword Lab, Qihoo 360: CVE-2016-0844.
</li><li> <a href="mailto:gpiskas@gmail.com">Джордж Пискас</a> из <a href="https://www.epfl.ch">Федеральной политехнической школы Лозанны</a>: CVE-2016-2426.
</li><li> Гуан Гун (龚广) (<a href="https://twitter.com/oldfresher">@oldfresher</a>) из <a href="http://www.360.com/">Qihoo 360 Technology Co. Ltd.</a>: CVE-2016-2412, CVE-2016-2416.
</li><li> Джеймс Форшоу из Google Project Zero: CVE-2016-2417, CVE-2016-0846
</li><li> Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>), <a href="http://weibo.com/jfpan">pjf</a> и Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) из IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411.
</li><li> Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2016-2409.
</li><li> Нэнси Ван из Vertu Ltd.: CVE-2016-0837
</li><li> <a href="mailto:nasim@zamir.ca">Насим Замир</a>: CVE-2016-2409
</li><li> Нико Голде (<a href="https://twitter.com/iamnion">@iamnion</a>) из Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
</li><li> Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
</li><li> Ричард Шупак: CVE-2016-2415
</li><li> Ромен Труве из <a href="https://labs.mwrinfosecurity.com/">MWR Labs</a>: CVE-2016-0850
</li><li> Стюарт Хендерсон: CVE-2016-2422
</li><li> Вишват Мохан из команды безопасности Android: CVE-2016-2424
</li><li> Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.: CVE-2016-2414
</li><li> Виш Ву (<a href="https://twitter.com/wish_wu">@wish_wu</a>) из Trend Micro Inc.: CVE-2016-0843
</li><li> <a href="mailto:luc2yj@gmail.com">Йонцзун Ли</a> и <a href="mailto:xw7@indiana.edu">Сяофэн Ван</a> из Индианского университета в Блумингтоне, а также <a href="mailto:litongxin1991@gmail.com">Тунсинь Ли</a> и <a href="mailto:hanxinhui@pku.edu.cn">Синьхуэй Хань</a> из Пекинского университета: CVE-2016-0848.
</li></ul>
<p>Команда безопасности Android также благодарит тех, кто предоставил информацию об уязвимости CVE-2015-1805: <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзяна из <a href="http://c0reteam.org">C0RE Team</a>, а также <a href="https://www.zimperium.com/">Zimperium</a>.</p>
<h2 id="security_vulnerability_details">Описание уязвимостей</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-04-02:
описание, обоснование серьезности, а также таблицу с CVE, ссылкой на ошибку, уровнем серьезности, уязвимыми версиями и датой сообщения об ошибке.
Где возможно, мы приведем основную ссылку на сообщение в AOSP,
связанное с идентификатором ошибки, и дополнительные ссылки в
квадратных скобках.</p>
<h3 id="remote_code_execution_vulnerability_in_dhcpcd">Удаленное выполнение кода через dhcpcd</h3>
<p>Уязвимость в сервисе DHCP позволяет злоумышленнику нарушить целостность
информации в памяти и удаленно выполнить код. Из-за этого ей присвоен
критический уровень. У сервиса DHCP есть доступ к привилегиям, закрытым
для сторонних приложений.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-6060</td>
<td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/38cb7a7feff88d58fb4a565ba7f12cd4469af243">
ANDROID-15268738</a></td>
<td>Критический</td>
<td>4.4.4</td>
<td>30 июля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-6060</td>
<td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/de806dfdb6dd3b9dec5d1d23c9029fb300799cf8">
ANDROID-16677003</a></td>
<td>Критический</td>
<td>4.4.4</td>
<td>30 июля 2014 г.</td>
</tr>
<tr>
<td>CVE-2016-1503</td>
<td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/1390ace71179f04a09c300ee8d0300aa69d9db09">
ANDROID-26461634</a></td>
<td>Критический</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>4 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="remote_code_execution_vulnerability_in_media_codec">Удаленное выполнение кода через медиакодек</h3>
<p>При обработке медиафайлов и данных в специально созданном файле
злоумышленник может воспользоваться уязвимостью медиакодека для mediaserver,
нарушить целостность информации в памяти и удаленно выполнить код как
процесс mediaserver.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения
позволяют контенту, особенно MMS-сообщениям и воспроизводимым
в браузере медиафайлам, дистанционно обращаться к ней.</p>
<p>Уязвимости присвоен критический уровень из-за возможности удаленного
выполнения кода в контексте сервиса mediaserver. У него есть доступ
к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних
приложений.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0834</td>
<td>ANDROID-26220548*</td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>16 декабря 2015 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="remote_code_execution_vulnerability_in_mediaserver">Удаленное выполнение кода через mediaserver</h3>
<p>При обработке медиафайлов и данных в специально созданном файле
злоумышленник может воспользоваться уязвимостью mediaserver, нарушить
целостность информации в памяти и удаленно выполнить код как процесс mediaserver.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения
позволяют контенту, особенно MMS-сообщениям и воспроизводимым
в браузере медиафайлам, дистанционно обращаться к ней.</p>
<p>Уязвимости присвоен критический уровень из-за возможности удаленного
выполнения кода в контексте сервиса mediaserver. У него есть доступ
к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних
приложений.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0835</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/ba604d336b40fd4bde1622f64d67135bdbd61301">ANDROID-26070014</a> [<a href="https://android.googlesource.com/platform/external/libmpeg2/+/58a6822d7140137ce957c6d2fc20bae1374186c1">2</a>]
</td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>6 декабря 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-0836</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/8b4ed5a23175b7ffa56eea4678db7287f825e985">
ANDROID-25812590</a></td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>19 ноября 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-0837</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/7a282fb64fef25349e9d341f102d9cea3bf75baf">
ANDROID-27208621</a></td>
<td>Критический</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>11 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-0838</td>
<td><a href="https://android.googlesource.com/platform/external/sonivox/+/3ac044334c3ff6a61cb4238ff3ddaf17c7efcf49">ANDROID-26366256</a> [<a href="https://android.googlesource.com/platform/external/sonivox/+/24d7c408c52143bce7b49de82f3913fd8d1219cf">2</a>]</td>
<td>Критический</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-0839</td>
<td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/ebbb82365172337c6c250c6cac4e326970a9e351">
ANDROID-25753245</a></td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-0840</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/c57fc3703ae2e0d41b1f6580c50015937f2d23c1">
ANDROID-26399350</a></td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-0841</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/3097f364237fb552871f7639d37a7afa4563e252">
ANDROID-26040840</a></td>
<td>Критический</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="remote_code_execution_vulnerability_in_libstagefright">Удаленное выполнение кода через libstagefright</h3>
<p>При обработке медиафайлов и данных в специально созданном файле злоумышленник может воспользоваться уязвимостью libstagefright, нарушить целостность информации в памяти и удаленно выполнить код как процесс mediaserver.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.</p>
<p>Уязвимости присвоен критический уровень из-за возможности удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0842</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/943323f1d9d3dd5c2634deb26cbe72343ca6b3db">
ANDROID-25818142</a></td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>23 ноября 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_kernel">Повышение привилегий через ядро</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте ядра. Ей присвоен критический уровень, поскольку из-за нее
нарушается работа системы безопасности. Для устранения проблемы нужно
переустановить ОС. Узнайте больше об этой уязвимости в <a href="/security/advisory/2016-03-18.html">Примечании по безопасности Android от 18 марта 2016 г.</a></p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-1805</td>
<td>ANDROID-27275324*</td>
<td>Критический</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>19 февраля 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление опубликовано в AOSP для следующих версий ядра: <a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">3.14</a>, <a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">3.10</a> и <a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">3.4</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_performance_module">Повышение привилегий через модуль производительности процессора Qualcomm</h3>
<p>Уязвимость обнаружена в диспетчере событий производительности для ARM-процессоров Qualcomm. Она позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен критический уровень, поскольку из-за нее нарушается работа системы безопасности. Возможно, для ее устранения потребуется переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0843</td>
<td>ANDROID-25801197*</td>
<td>Критический</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>19 ноября 2015 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_in_qualcomm_rf_component">Повышение привилегий через RF-компонент процессора Qualcomm</h3>
<p>Уязвимость RF-драйвера Qualcomm позволяет локальному вредоносному
ПО выполнять произвольный код в контексте ядра. Проблеме присвоен
критический уровень, поскольку из-за нее нарушается работа
системы безопасности. Для устранения уязвимости нужно переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0844</td>
<td><a href="https://android.googlesource.com/platform/external/sepolicy/+/57531cacb40682be4b1189c721fd1e7f25bf3786">ANDROID-26324307</a>*</td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>25 декабря 2015 г.</td>
</tr>
</tbody></table>
<p>*Дополнительное исправление опубликовано в <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.18/commit/?id=90a9da2ea95e86b4f0ff493cd891a11da0ee67aa">сообществе Linux</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_kernel12">Повышение привилегий через ядро</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте ядра. Уязвимости присвоен критический уровень, поскольку
из-за нее нарушается работа системы безопасности. Для устранения
проблемы нужно переустановить ОС.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9322</td>
<td><a href="https://android.googlesource.com/kernel/common/+/c22e479e335628ce8766cfbf06e2ba17e8f9a1bb">ANDROID-26927260</a> [<a href="https://android.googlesource.com/kernel/common/+/1b627d4e5e61e89b840f77abb3ca6711ad6ffbeb">2</a>] [<a href="https://android.googlesource.com/kernel/common/+/4c941665c7368a34b146929b31949555e680a4ee">3</a>]<br />
[<a href="https://android.googlesource.com/kernel/common/+/758f0dac9104b46016af98304656a0268ac3e105">4</a>] [<a href="https://android.googlesource.com/kernel/common/+/44d057a37868a60bc2eb6e7d1dcea701f234d56a">5</a>] [<a href="https://android.googlesource.com/kernel/common/+/b9b9f908c8ae82b73b9d75181982028b6bc06c2b">6</a>] [<a href="https://android.googlesource.com/kernel/common/+/e068734f9e7344997a61022629b92d142a985ab3">7</a>] [<a href="https://android.googlesource.com/kernel/common/+/fdc6c1052bc7d89a5826904fbb4318677e8442ce">8</a>] [<a href="https://android.googlesource.com/kernel/common/+/211d59c0034ec9d88690c750ccd6da27f6952dc5">9</a>] [<a href="https://android.googlesource.com/kernel/common/+/c9e31d5a4747e9967ace6d05896c78516c4c0850">10</a>] [<a href="https://android.googlesource.com/kernel/common/+/e01834bfbafd25fd392bf10014451c4e5f34f829">11</a>]</td>
<td>Критический</td>
<td>6.0, 6.0.1</td>
<td>25 декабря 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_in_imemory_native_interface">
Повышение привилегий через IMemory Native Interface</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0846</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/f3199c228aced7858b75a8070b8358c155ae0149">
ANDROID-26877992</a></td>
<td>Высокий</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>29 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_telecom_component">
Повышение привилегий через компонент Telecom</h3>
<p>Уязвимость позволяет злоумышленнику совершать вызовы, меняя номер звонящего на произвольный. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0847</td>
<td><a href="https://android.googlesource.com/platform/packages/services/Telecomm/+/2750faaa1ec819eed9acffea7bd3daf867fda444">ANDROID-26864502</a> [<a href="https://android.googlesource.com/platform/packages/services/Telephony/+/a294ae5342410431a568126183efe86261668b5d">2</a>]
</td>
<td>Высокий</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_download_manager">
Повышение привилегий через диспетчер загрузки</h3>
<p>Уязвимость позволяет злоумышленнику получить неавторизованный доступ к файлам в личном хранилище. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0848</td>
<td><a href="https://android.googlesource.com/platform/packages/providers/DownloadProvider/+/bdc831357e7a116bc561d51bf2ddc85ff11c01a9">
ANDROID-26211054</a></td>
<td>Высокий</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>14 декабря 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_in_recovery_procedure">
Повышение привилегий во время процесса восстановления</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0849</td>
<td><a href="https://android.googlesource.com/platform/bootable/recovery/+/28a566f7731b4cb76d2a9ba16d997ac5aeb07dad">
ANDROID-26960931</a></td>
<td>Высокий</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>3 февраля 2016 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_in_bluetooth">
Повышение привилегий через Bluetooth</h3>
<p>Уязвимость обнаружена в Bluetooth. Она позволяет ненадежному устройству
подсоединиться к телефону во время первоначальной процедуры подключения.
Это дает злоумышленнику неавторизованный доступ к ресурсам устройства,
например к интернет-подключению. Уязвимости присвоен высокий уровень
серьезности, поскольку она позволяет получить возможности, недоступные
ненадежным устройствам.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0850</td>
<td><a href="https://android.googlesource.com/platform/external/bluetooth/bluedroid/+/c677ee92595335233eb0e7b59809a1a94e7a678a">
ANDROID-26551752</a></td>
<td>Высокий</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>13 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_in_texas_instruments_haptic_driver">
Повышение привилегий через драйвер виброотклика Texas Instruments</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код в контексте ядра. Как правило, таким ошибкам присваивают
критический уровень, но в этом случае уязвимость требует сначала нарушить
защиту сервиса, вызывающего драйвер, поэтому уровень был снижен
до высокого.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2409</td>
<td>ANDROID-25981545*</td>
<td>Высокий</td>
<td>6.0, 6.0.1</td>
<td>25 декабря 2015 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_video_kernel_driver">
Повышение привилегий через видеодрайвер ядра Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Как правило, таким ошибкам присваивают критический
уровень, но в этом случае уязвимость требует сначала нарушить защиту
сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2410</td>
<td>ANDROID-26291677*</td>
<td>Высокий</td>
<td>6.0, 6.0.1</td>
<td>21 декабря 2015 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_power_management_component">
Повышение привилегий через компонент управления питанием Qualcomm</h3>
<p>Уязвимость обнаружена в драйвере управления питанием ядра Qualcomm. Она
позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Как правило, таким ошибкам присваивают критический
уровень, но в этом случае уязвимость требует сначала нарушить защиту
устройства и получить root-права, поэтому уровень был снижен до высокого.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2411</td>
<td>ANDROID-26866053*</td>
<td>Высокий</td>
<td>6.0, 6.0.1</td>
<td>28 января 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_system_server">
Повышение привилегий через system_server</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код в контексте системного приложения с расширенным
доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2412</td>
<td><a href="https://android.googlesource.com/platform/external/skia/+/b36c23b3e6b0b316075cc43e466d44c62508fcac">
ANDROID-26593930</a></td>
<td>Высокий</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>15 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_mediaserver">
Повышение привилегий через mediaserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код в контексте системного приложения с расширенным
доступом. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2413</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/25be9ac20db51044e1b09ca67906355e4f328d48">
ANDROID-26403627</a></td>
<td>Высокий</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>5 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="denial_of_service_vulnerability_in_minikin">Отказ в обслуживании в Minikin</h3>
<p>Уязвимость в библиотеке Minikin позволяет локальному взломщику временно
заблокировать доступ к пораженному устройству. Злоумышленник может
инициировать загрузку ненадежного шрифта, что вызовет переполнение Minikin и
сбой в работе устройства. Уязвимости присвоен высокий уровень серьезности,
поскольку из-за отказа в обслуживании начинается бесконечная цепочка
перезагрузок устройства.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2414</td>
<td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/ca8ac8acdad662230ae37998c6c4091bb39402b6">ANDROID-26413177</a> [<a href="https://android.googlesource.com/platform/frameworks/minikin/+/f4785aa1947b8d22d5b19559ef1ca526d98e0e73">2</a>]
</td>
<td>Высокий</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>3 ноября 2015 г.</td>
</tr>
</tbody></table>
<h3 id="information_disclosure_vulnerability_in_exchange_activesync">
Раскрытие информации через Exchange ActiveSync</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получить удаленный доступ
к конфиденциальным данным пользователя.
Из-за этого ей присвоен высокий
уровень серьезности.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2415</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Exchange/+/0d1a38b1755efe7ed4e8d7302a24186616bba9b2">
ANDROID-26488455</a></td>
<td>Высокий</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>11 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="information_disclosure_vulnerability_in_mediaserver">Раскрытие информации через mediaserver</h3>
<p>Уязвимость позволяет обойти защиту, предотвращающую атаки
на платформу, и раскрыть конфиденциальную информацию. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно также получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2416</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/85d253fab5e2c01bd90990667c6de25c282fc5cd">ANDROID-27046057</a> [<a href="https://android.googlesource.com/platform/frameworks/native/+/a40b30f5c43726120bfe69d41ff5aeb31fe1d02a">2</a>]
</td>
<td>Высокий</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>5 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2417</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/1171e7c047bf79e7c93342bb6a812c9edd86aa84">
ANDROID-26914474</a></td>
<td>Высокий</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>1 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2418</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/8d87321b704cb3f88e8cae668937d001fd63d5e3">
ANDROID-26324358</a></td>
<td>Высокий</td>
<td>6.0, 6.0.1</td>
<td>24 декабря 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-2419</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/5a856f2092f7086aa0fea9ae06b9255befcdcd34">
ANDROID-26323455</a></td>
<td>Высокий</td>
<td>6.0, 6.0.1</td>
<td>24 декабря 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_debuggerd_component">
Повышение привилегий через компонент Debuggerd</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код на устройстве. Из-за этого нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Как правило, таким ошибкам присваивают критический уровень, но в этом случае уязвимость присутствует только в Android 4.4.4, поэтому уровень был снижен до среднего. В Android 5.0 и выше правила SELinux запрещают сторонним приложениям доступ к затронутому коду.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2420</td>
<td><a href="https://android.googlesource.com/platform/system/core/+/669ecc2f5e80ff924fa20ce7445354a7c5bcfd98">ANDROID-26403620</a> [<a href="https://android.googlesource.com/platform/system/core/+/81df1cc77722000f8d0025c1ab00ced123aa573c">2</a>]
</td>
<td>Средний</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>5 января 2016 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_vulnerability_in_setup_wizard">
Повышение привилегий через мастер настройки</h3>
<p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство,
получить доступ к настройкам и выполнить их сброс. Проблеме присвоен
средний уровень серьезности, поскольку с ее помощью можно обойти
защиту от сброса.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2421</td>
<td>ANDROID-26154410*</td>
<td>Средний</td>
<td>5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_in_wi-fi">Повышение привилегий через Wi-Fi</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2422</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/70dde9870e9450e10418a32206ac1bb30f036b2c">
ANDROID-26324357</a></td>
<td>Средний</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>23 декабря 2015 г.</td>
</tr>
</tbody></table>
<h3 id="elevation_of_privilege_in_telephony">Повышение привилегий через телефонную связь</h3>
<p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обойти защиту от сброса и удалить все данные с устройства. Из-за этого проблеме присвоен средний уровень серьезности.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2423</td>
<td><a href="https://android.googlesource.com/platform/packages/services/Telecomm/+/a06c9a4aef69ae27b951523cf72bf72412bf48fa">
ANDROID-26303187</a></td>
<td>Средний</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="denial_of_service_in_syncstorageengine">Отказ в обслуживании в SyncStorageEngine</h3>
<p>Уязвимость позволяет локальному вредоносному ПО вызвать бесконечную
цепочку перезагрузок устройства. Уязвимости присвоен средний уровень
серьезности, поскольку из-за нее может произойти отказ в обслуживании.
Для устранения проблемы нужно сбросить настройки устройства.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2424</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/d3383d5bfab296ba3adbc121ff8a7b542bde4afb">
ANDROID-26513719</a></td>
<td>Средний</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="information_disclosure_vulnerability_in_aosp_mail">Раскрытие информации через почтовый клиент AOSP</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальным данным пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно получить разрешения уровня dangerous (опасные).</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибки со ссылками на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2425</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/UnifiedEmail/+/0d9dfd649bae9c181e3afc5d571903f1eb5dc46f">
ANDROID-26989185</a></td>
<td>Средний</td>
<td>4.4.4, 5.1.1, 6.0, 6.0.1</td>
<td>29 января 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2425</td>
<td>ANDROID-7154234*</td>
<td>Средний</td>
<td>5.0.2</td>
<td>29 января 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information_disclosure_vulnerability_in_framework">Раскрытие информации через Framework</h3>
<p>Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.</p>
<table>
<tbody><tr>
<th>CVE</th>
<th>Ошибка со ссылкой на AOSP</th>
<th>Уровень серьезности</th>
<th>Обновленные версии</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2426</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/63363af721650e426db5b0bdfb8b2d4fe36abdb0">
ANDROID-26094635</a></td>
<td>Средний</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>8 декабря 2015 г.</td>
</tr>
</tbody></table>
<h2 id="common_questions_and_answers">Часто задаваемые вопросы</h2>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? </strong></p>
<p>Перечисленные проблемы устранены в исправлении от 2 апреля 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-04-02].</p>
<p><strong>2. Почему 2 апреля 2016 года вышло дополнительное исправление?</strong></p>
<p>Обычно исправления в системе безопасности появляются 1-го числа каждого месяца. В апреле такое исправление включало в себя решение всех проблем, описанных в этом бюллетене, за исключением уязвимости CVE-2015-1805. Узнать о ней больше можно в <a href="/security/advisory/2016-03-18.html">Примечании по безопасности Android от 18 марта 2016 года.</a> В исправлении от 2 апреля 2016 года все описанные выше уязвимости, включая CVE-2015-1805, устранены.<a href="/security/advisory/2016-03-18.html"></a></p>
<h2 id="revisions">Версии</h2>
<ul>
<li> 4 апреля 2016 года. Бюллетень опубликован.
</li><li> 6 апреля 2016 года. Добавлены ссылки на AOSP.
</li><li> 7 апреля 2016 года. Добавлена дополнительная ссылка на AOSP.
</li><li> 11 июля 2016 года. Обновлено описание CVE-2016-2427.
</li><li> 1 августа 2016 года. Обновлено описание CVE-2016-2427.
</li><li> 19 декабря 2016 года. Удалены сведения об уязвимости CVE-2016-2427, поскольку она была добавлена по ошибке.
</li></ul>
</body></html>