Бюллетень по безопасности Android

Опубликовано 5 июня 2017 г. | Обновлено 7 июня 2016 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июня 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей будут доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android.

Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Примечание. Информация о последних автоматических обновлениях (OTA) и об образах прошивок для устройств Google находится в разделе Обновления устройств Google.

Объявления

Мы изменили структуру ежемесячного бюллетеня по безопасности, чтобы сделать его более удобочитаемым. Теперь информация об уязвимостях сгруппирована более удобно. Кроме того, сведения об обновлениях устройств Google находятся в специальном разделе.
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-06-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-06-01 и более ранние.
- 2017-06-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-06-01 и 2017-06-05, а также более ранние.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например Google Play Защита позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита включена по умолчанию на всех устройствах с сервисами Google для мобильных устройств. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.

Описание уязвимостей (обновление системы безопасности 2017-06-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-06-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведено описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Bluetooth

Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.

CVE	Ссылки	Тип	Уровень серьезности	Обновленные версии AOSP
CVE-2017-0639	A-35310991	РИ	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0645	A-35385327	ПП	Средний	6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0646	A-33899337	РИ	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Библиотеки

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.

CVE	Ссылки	Тип	Уровень серьезности	Обновленные версии AOSP
CVE-2015-8871	A-35443562*	УВК	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-8332	A-37761553*	УВК	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-5131	A-36554209	УВК	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-4658	A-36554207	УВК	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0663	A-37104170	УВК	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7376	A-36555370	УВК	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-5056	A-36809819	УВК	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7375	A-36556310	УВК	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0647	A-36392138	РИ	Средний	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-1839	A-36553781	ОО	Средний	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Media framework

Самая серьезная уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле.

CVE	Ссылки	Тип	Уровень серьезности	Обновленные версии AOSP
CVE-2017-0637	A-34064500	УВК	Критический	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0391	A-32322258	ОО	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0640	A-33129467*	ОО	Высокий	6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0641	A-34360591	ОО	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0642	A-34819017	ОО	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0643	A-35645051*	ОО	Высокий	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0644	A-35472997*	ОО	Высокий	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

Интерфейс системы

CVE	Ссылки	Тип	Уровень серьезности	Обновленные версии AOSP
CVE-2017-0638	A-36368305	УВК	Высокий	7.1.1, 7.1.2

Описание уязвимостей (обновление системы безопасности 2017-06-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-06-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Компоненты ядра

Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.

CVE	Ссылки	Тип	Уровень серьезности	Компонент
CVE-2017-0648	A-36101220*	ПП	Высокий	Отладчик FIQ
CVE-2017-0651	A-35644815*	РИ	Низкий	Подсистема ION

Библиотеки

Самая серьезная уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации с помощью специально созданного файла.

CVE	Ссылки	Тип	Уровень серьезности	Обновленные версии AOSP
CVE-2015-7995	A-36810065*	РИ	Средний	4.4.4

Компоненты MediaTek

CVE	Ссылки	Тип	Уровень серьезности	Компонент
CVE-2017-0636	A-35310230* M-ALPS03162263	ПП	Высокий	Драйвер очереди команд
CVE-2017-0649	A-34468195* M-ALPS03162283	ПП	Средний	Аудиодрайвер

Компоненты NVIDIA

CVE	Ссылки	Тип	Уровень серьезности	Компонент
CVE-2017-6247	A-34386301* N-CVE-2017-6247	ПП	Высокий	Аудиодрайвер
CVE-2017-6248	A-34372667* N-CVE-2017-6248	ПП	Средний	Аудиодрайвер

Компоненты Qualcomm

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра.

CVE	Ссылки	Тип	Уровень серьезности	Компонент
CVE-2017-7371	A-36250786 QC-CR#1101054	УВК	Критический	Драйвер Bluetooth
CVE-2017-7365	A-32449913 QC-CR#1017009	ПП	Высокий	Загрузчик
CVE-2017-7366	A-36252171 QC-CR#1036161 [2]	ПП	Высокий	Драйвер графического процессора
CVE-2017-7367	A-34514708 QC-CR#1008421	ОО	Высокий	Загрузчик
CVE-2016-5861	A-36251375 QC-CR#1103510	ПП	Средний	Видеодрайвер
CVE-2016-5864	A-36251231 QC-CR#1105441	ПП	Средний	Аудиодрайвер
CVE-2017-6421	A-36251986 QC-CR#1110563	ПП	Средний	Драйвер сенсорного экрана MStar
CVE-2017-7364	A-36252179 QC-CR#1113926	ПП	Средний	Видеодрайвер
CVE-2017-7368	A-33452365 QC-CR#1103085	ПП	Средний	Аудиодрайвер
CVE-2017-7369	A-33751424 QC-CR#2009216 [2]	ПП	Средний	Аудиодрайвер
CVE-2017-7370	A-34328139 QC-CR#2006159	ПП	Средний	Видеодрайвер
CVE-2017-7372	A-36251497 QC-CR#1110068	ПП	Средний	Видеодрайвер
CVE-2017-7373	A-36251984 QC-CR#1090244	ПП	Средний	Видеодрайвер
CVE-2017-8233	A-34621613 QC-CR#2004036	ПП	Средний	Драйвер камеры
CVE-2017-8234	A-36252121 QC-CR#832920	ПП	Средний	Драйвер камеры
CVE-2017-8235	A-36252376 QC-CR#1083323	ПП	Средний	Драйвер камеры
CVE-2017-8236	A-35047217 QC-CR#2009606	ПП	Средний	Драйвер усилителя
CVE-2017-8237	A-36252377 QC-CR#1110522	ПП	Средний	Сетевой драйвер
CVE-2017-8242	A-34327981 QC-CR#2009231	ПП	Средний	Драйвер QSEE Communacator
CVE-2017-8239	A-36251230 QC-CR#1091603	РИ	Средний	Драйвер камеры
CVE-2017-8240	A-36251985 QC-CR#856379	РИ	Средний	Драйвер контроллера контактов
CVE-2017-8241	A-34203184 QC-CR#1069175	РИ	Низкий	Драйвер Wi-Fi

Компоненты Synaptics

CVE	Ссылки	Тип	Уровень серьезности	Компонент
CVE-2017-0650	A-35472278*	ПП	Низкий	Драйвер сенсорного экрана

Закрытые компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности. Сами исправления доступны напрямую у Qualcomm.

CVE	Ссылки	Тип	Уровень серьезности	Компонент
CVE-2014-9960	A-37280308* QC-CR#381837	Н/Д	Критический	Закрытый компонент
CVE-2014-9961	A-37279724* QC-CR#581093	Н/Д	Критический	Закрытый компонент
CVE-2014-9953	A-36714770* QC-CR#642173	Н/Д	Критический	Закрытый компонент
CVE-2014-9967	A-37281466* QC-CR#739110	Н/Д	Критический	Закрытый компонент
CVE-2015-9026	A-37277231* QC-CR#748397	Н/Д	Критический	Закрытый компонент
CVE-2015-9027	A-37279124* QC-CR#748407	Н/Д	Критический	Закрытый компонент
CVE-2015-9008	A-36384689* QC-CR#762111	Н/Д	Критический	Закрытый компонент
CVE-2015-9009	A-36393600* QC-CR#762182	Н/Д	Критический	Закрытый компонент
CVE-2015-9010	A-36393101* QC-CR#758752	Н/Д	Критический	Закрытый компонент
CVE-2015-9011	A-36714882* QC-CR#762167	Н/Д	Критический	Закрытый компонент
CVE-2015-9024	A-37265657* QC-CR#740680	Н/Д	Критический	Закрытый компонент
CVE-2015-9012	A-36384691* QC-CR#746617	Н/Д	Критический	Закрытый компонент
CVE-2015-9013	A-36393251* QC-CR#814373	Н/Д	Критический	Закрытый компонент
CVE-2015-9014	A-36393750* QC-CR#855220	Н/Д	Критический	Закрытый компонент
CVE-2015-9015	A-36714120* QC-CR#701858	Н/Д	Критический	Закрытый компонент
CVE-2015-9029	A-37276981* QC-CR#827837	Н/Д	Критический	Закрытый компонент
CVE-2016-10338	A-37277738* QC-CR#987699	Н/Д	Критический	Закрытый компонент
CVE-2016-10336	A-37278436* QC-CR#973605	Н/Д	Критический	Закрытый компонент
CVE-2016-10333	A-37280574* QC-CR#947438	Н/Д	Критический	Закрытый компонент
CVE-2016-10341	A-37281667* QC-CR#991476	Н/Д	Критический	Закрытый компонент
CVE-2016-10335	A-37282802* QC-CR#961142	Н/Д	Критический	Закрытый компонент
CVE-2016-10340	A-37280614* QC-CR#989028	Н/Д	Критический	Закрытый компонент
CVE-2016-10334	A-37280664* QC-CR#949933	Н/Д	Критический	Закрытый компонент
CVE-2016-10339	A-37280575* QC-CR#988502	Н/Д	Критический	Закрытый компонент
CVE-2016-10298	A-36393252* QC-CR#1020465	Н/Д	Критический	Закрытый компонент
CVE-2016-10299	A-32577244* QC-CR#1058511	Н/Д	Критический	Закрытый компонент
CVE-2014-9954	A-36388559* QC-CR#552880	Н/Д	Высокий	Закрытый компонент
CVE-2014-9955	A-36384686* QC-CR#622701	Н/Д	Высокий	Закрытый компонент
CVE-2014-9956	A-36389611* QC-CR#638127	Н/Д	Высокий	Закрытый компонент
CVE-2014-9957	A-36387564* QC-CR#638984	Н/Д	Высокий	Закрытый компонент
CVE-2014-9958	A-36384774* QC-CR#638135	Н/Д	Высокий	Закрытый компонент
CVE-2014-9962	A-37275888* QC-CR#656267	Н/Д	Высокий	Закрытый компонент
CVE-2014-9963	A-37276741* QC-CR#657771	Н/Д	Высокий	Закрытый компонент
CVE-2014-9959	A-36383694* QC-CR#651900	Н/Д	Высокий	Закрытый компонент
CVE-2014-9964	A-37280321* QC-CR#680778	Н/Д	Высокий	Закрытый компонент
CVE-2014-9965	A-37278233* QC-CR#711585	Н/Д	Высокий	Закрытый компонент
CVE-2014-9966	A-37282854* QC-CR#727398	Н/Д	Высокий	Закрытый компонент
CVE-2015-9023	A-37276138* QC-CR#739802	Н/Д	Высокий	Закрытый компонент
CVE-2015-9020	A-37276742* QC-CR#733455	Н/Д	Высокий	Закрытый компонент
CVE-2015-9021	A-37276743* QC-CR#735148	Н/Д	Высокий	Закрытый компонент
CVE-2015-9025	A-37276744* QC-CR#743985	Н/Д	Высокий	Закрытый компонент
CVE-2015-9022	A-37280226* QC-CR#736146	Н/Д	Высокий	Закрытый компонент
CVE-2015-9028	A-37277982* QC-CR#762764	Н/Д	Высокий	Закрытый компонент
CVE-2015-9031	A-37275889* QC-CR#866015	Н/Д	Высокий	Закрытый компонент
CVE-2015-9032	A-37279125* QC-CR#873202	Н/Д	Высокий	Закрытый компонент
CVE-2015-9033	A-37276139* QC-CR#892541	Н/Д	Высокий	Закрытый компонент
CVE-2015-9030	A-37282907* QC-CR#854667	Н/Д	Высокий	Закрытый компонент
CVE-2016-10332	A-37282801* QC-CR#906713 QC-CR#917701 QC-CR#917702	Н/Д	Высокий	Закрытый компонент
CVE-2016-10337	A-37280665* QC-CR#977632	Н/Д	Высокий	Закрытый компонент
CVE-2016-10342	A-37281763* QC-CR#988941	Н/Д	Высокий	Закрытый компонент

Обновления устройств Google

В таблице указаны обновление системы безопасности, которые находится в последнем автоматическом обновлении (OTA) и образах прошивок для устройств Google.

Устройство	Обновление системы безопасности
Pixel/Pixel XL	5 июня 2017 г.
Nexus 5X	5 июня 2017 г.
Nexus 6	5 июня 2017 г.
Nexus 6P	5 июня 2017 г.
Nexus 9	5 июня 2017 г.
Nexus Player	5 июня 2017 г.
Pixel С	5 июня 2017 г.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

CVE	Специалисты
CVE-2017-0643, CVE-2017-0641	Экулар Сюй (徐健) из Trend Micro
CVE-2017-0645, CVE-2017-0639	Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team
CVE-2017-0649	Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0646	Godzhen (郑文选 @VirtualSeekers) из Tencent PC Manager
CVE-2017-0636	Джейк Корина и Ник Стивенс из Shellphish Grill Team
CVE-2017-8233	Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360
CVE-2017-7368	Лубо Чжан (zlbzlb815@163.com), Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team
CVE-2017-8242	Нейтан Крэнделл (@natecray) из Tesla's Product Security Team
CVE-2017-0650	Омер Шварц, Амир Коэн, доктор Асаф Шабтай и доктор Йосси Орен из лаборатории кибербезопасности Университета имени Бен-Гуриона
CVE-2017-0648	Рои Хэй (@roeehay) из Aleph Research, HCL Technologies
CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248	Севен Шэнь (@lingtongshen) из TrendMicro
CVE-2017-0642, CVE-2017-0637, CVE-2017-0638	Василий Васильев
CVE-2017-0640	V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro
CVE-2017-8236	Силин Гун из отдела безопасности платформы Tencent
CVE-2017-0647	Янкан (@dnpushme) и Лиядон из Qex Team, Qihoo 360
CVE-2017-7370	Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0651	Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team
CVE-2017-8241	Зубин Митра из Google

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

В исправлении от 1 июня 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-06-01.
В исправлении от 5 июня 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-06-05.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

[ro.build.version.security_patch]:[2017-06-01]
[ro.build.version.security_patch]:[2017-06-05]

2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

На устройствах с установленным обновлением от 1 июня 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
На устройствах с установленным обновлением от 5 июня 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

А этой столбце указан тип уязвимости по следующей классификации:

Сокращение	Описание
УВК	Удаленное выполнение кода
ПП	Повышение привилегий
РИ	Раскрытие информации
ОО	Отказ в обслуживании
Н/Д	Классификация недоступна

4. На что указывают записи в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс	Значение
A-	Идентификатор ошибки Android
QC-	Ссылочный номер Qualcomm
M-	Ссылочный номер MediaTek
N-	Ссылочный номер NVIDIA
B-	Ссылочный номер Broadcom

6. Что означает значок * рядом с идентификатором ошибки Android в столбце Ссылки?

Значок * (звездочка) означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

Версии

Версия	Дата	Примечания
1.0	5 июня 2017 г.	Бюллетень опубликован.
1.1	7 июня 2017 г.	Добавлены ссылки на AOSP.