2837 lines
126 KiB
HTML
2837 lines
126 KiB
HTML
<html devsite>
|
||
<head>
|
||
<title>Бюллетень по безопасности Android – июль 2016 г.</title>
|
||
<meta name="project_path" value="/_project.yaml" />
|
||
<meta name="book_path" value="/_book.yaml" />
|
||
</head>
|
||
<body>
|
||
<!--
|
||
Copyright 2017 The Android Open Source Project
|
||
|
||
Licensed under the Apache License, Version 2.0 (the "License");
|
||
you may not use this file except in compliance with the License.
|
||
You may obtain a copy of the License at
|
||
|
||
http://www.apache.org/licenses/LICENSE-2.0
|
||
|
||
Unless required by applicable law or agreed to in writing, software
|
||
distributed under the License is distributed on an "AS IS" BASIS,
|
||
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
|
||
See the License for the specific language governing permissions and
|
||
limitations under the License.
|
||
-->
|
||
|
||
|
||
|
||
<p><em>Опубликовано 6 июля 2016 г. | Обновлено 14 июля 2016 г.</em></p>
|
||
<p>В этом бюллетене содержится информация об уязвимостях в защите
|
||
устройств Android. К его выходу мы выпустили автоматическое обновление
|
||
системы безопасности для устройств Nexus и опубликовали образы
|
||
прошивок Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>. Все актуальные проблемы,
|
||
перечисленные здесь, устранены в исправлении от 5 июля 2016 года
|
||
или более новом. О том, как проверить обновления системы безопасности,
|
||
можно узнать в <a href="https://support.google.com/nexus/answer/4457705#nexus_devices">Справочном центре</a>.</p>
|
||
<p>
|
||
Мы сообщили партнерам об уязвимостях 6 июня 2016 года или ранее.
|
||
Исправления проблем загружены в хранилище Android Open Source Project (AOSP).
|
||
|
||
В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
|
||
|
||
<p>Наиболее серьезная из уязвимостей имеет критический уровень
|
||
и позволяет удаленно выполнять код на пораженном устройстве
|
||
(например, при работе с электронной почтой, просмотре сайтов
|
||
в Интернете или обработке медиафайлов MMS).</p>
|
||
<p>Обнаруженные уязвимости не эксплуатировались. В разделе <a href="mitigations">Предотвращение атак</a>
|
||
рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов,
|
||
например SafetyNet, помогают снизить вероятность атак на Android.</p>
|
||
<p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p>
|
||
<h2 id="announcements">Объявления</h2>
|
||
<ul>
|
||
<li>Мы включили в этот бюллетень сведения о двух обновлениях,
|
||
чтобы помочь нашим партнерам как можно скорее устранить
|
||
уязвимости, затрагивающие все устройства Android. Дополнительную
|
||
информацию вы найдете в разделе
|
||
<a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
|
||
<ul>
|
||
<li><strong>2016-07-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-07-01.
|
||
<li><strong>2016-07-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2016-07-01 и 2016-07-05.</li>
|
||
</li></ul>
|
||
</li>
|
||
<li>На поддерживаемые устройства Nexus будет установлено единое автоматическое обновление
|
||
системы безопасности от 5 июля 2016 года.</li>
|
||
</ul>
|
||
<h2 id="security_vulnerability_summary">Перечень уязвимостей</h2>
|
||
<p>В таблице ниже перечислены уязвимости, их идентификаторы (CVE)
|
||
и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству
|
||
при атаке с использованием уязвимости, если средства защиты будут отключены
|
||
разработчиком или взломаны.</p>
|
||
|
||
<h3 id="2016-07-01_summary">Перечень уязвимостей (обновление системы безопасности 2016-07-01)</h3>
|
||
<p>
|
||
Перечисленные проблемы должны быть устранены в исправлении от 1 июля 2016 года или более новом.</p>
|
||
|
||
<table>
|
||
<col width="55%">
|
||
<col width="20%">
|
||
<col width="13%">
|
||
<col width="12%">
|
||
<tr>
|
||
<th>Уязвимость</th>
|
||
<th>CVE</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Затрагивает устройства Nexus?</th>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через mediaserver</td>
|
||
<td>CVE-2016-2506, CVE-2016-2505, CVE-2016-2507, CVE-2016-2508,
|
||
CVE-2016-3741, CVE-2016-3742, CVE-2016-3743</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через OpenSSL и BoringSSL</td>
|
||
<td>CVE-2016-2108</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через Bluetooth</td>
|
||
<td>CVE-2016-3744</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через libpng</td>
|
||
<td>CVE-2016-3751</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через mediaserver</td>
|
||
<td>CVE-2016-3745, CVE-2016-3746, CVE-2016-3747</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через сокеты</td>
|
||
<td>CVE-2016-3748</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через LockSettingsService</td>
|
||
<td>CVE-2016-3749</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Framework API</td>
|
||
<td>CVE-2016-3750</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через службу ChooserTarget</td>
|
||
<td>CVE-2016-3752</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через mediaserver</td>
|
||
<td>CVE-2016-3753</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через OpenSSL</td>
|
||
<td>CVE-2016-2107</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в mediaserver</td>
|
||
<td>CVE-2016-3754, CVE-2016-3755, CVE-2016-3756</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в libc</td>
|
||
<td>CVE-2016-3818</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через lsof</td>
|
||
<td>CVE-2016-3757</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через DexClassLoader</td>
|
||
<td>CVE-2016-3758</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Framework API</td>
|
||
<td>CVE-2016-3759</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Bluetooth</td>
|
||
<td>CVE-2016-3760</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через NFC</td>
|
||
<td>CVE-2016-3761</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через сокеты</td>
|
||
<td>CVE-2016-3762</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через Proxy Auto-Config</td>
|
||
<td>CVE-2016-3763</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через mediaserver</td>
|
||
<td>CVE-2016-3764, CVE-2016-3765</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в mediaserver</td>
|
||
<td>CVE-2016-3766</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
|
||
на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="2016-07-05_summary">Перечень уязвимостей (обновление системы безопасности 2016-07-05)</h3>
|
||
<p>
|
||
В исправлении от 5 июля 2016 года или более новом устранены все проблемы,
|
||
упомянутые в обновлении 2016-07-01, а также уязвимости, перечисленные ниже.</p>
|
||
|
||
<table>
|
||
<col width="55%">
|
||
<col width="20%">
|
||
<col width="13%">
|
||
<col width="12%">
|
||
<tr>
|
||
<th>Уязвимость</th>
|
||
<th>CVE</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Затрагивает устройства Nexus?</th>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер Qualcomm для графического
|
||
процессора (уязвимость устройства)</td>
|
||
<td>CVE-2016-2503, CVE-2016-2067</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Wi-Fi-драйвер MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3767</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через компонент производительности процессора Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3768</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через видеодрайвер NVIDIA
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3769</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйверы MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773,
|
||
CVE-2016-3774</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через файловую систему ядра
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3775</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через USB-драйвер (уязвимость устройства)</td>
|
||
<td>CVE-2015-8816</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через компоненты Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2014-9794, CVE-2014-9795, CVE-2015-8892, CVE-2013-7457, CVE-2014-9781,
|
||
CVE-2014-9786, CVE-2014-9788, CVE-2014-9779, CVE-2014-9780, CVE-2014-9789,
|
||
CVE-2014-9793, CVE-2014-9782, CVE-2014-9783, CVE-2014-9785, CVE-2014-9787,
|
||
CVE-2014-9784, CVE-2014-9777, CVE-2014-9778, CVE-2014-9790, CVE-2014-9792,
|
||
CVE-2014-9797, CVE-2014-9791, CVE-2014-9796, CVE-2014-9800, CVE-2014-9799,
|
||
CVE-2014-9801, CVE-2014-9802, CVE-2015-8891, CVE-2015-8888, CVE-2015-8889,
|
||
CVE-2015-8890</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через USB-драйвер Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-2502</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3792</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер Qualcomm для камеры
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-2501</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер NVIDIA для камеры
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3793</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер питания MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3795, CVE-2016-3796</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3797</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер MediaTek для аппаратного датчика
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3798</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через видеодрайвер MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3799, CVE-2016-3800</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через GPS-драйвер MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3801</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через файловую систему ядра
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3802, CVE-2016-3803</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер управления питанием MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3804, CVE-2016-3805</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер дисплея MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3806</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер SPI
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3807, CVE-2016-3808</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через аудиодрайвер Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-2068</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через ядро (уязвимость устройства)</td>
|
||
<td>CVE-2014-9803</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через сетевой компонент (уязвимость устройства)</td>
|
||
<td>CVE-2016-3809</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через Wi-Fi-драйвер MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3810</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через видеодрайвер ядра
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3811</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер видеокодека MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3812</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через USB-драйвер Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3813</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер NVIDIA для камеры
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3814, CVE-2016-3815</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер дисплея MediaTek
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-3816</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер ядра для телетайпа
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2016-0723</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в загрузчике Qualcomm
|
||
(уязвимость устройства)</td>
|
||
<td>CVE-2014-9798, CVE-2015-8893</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h2 id="mitigations">Предотвращение атак</h2>
|
||
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a>
|
||
и средства защиты сервисов, например SafetyNet, позволяют
|
||
снизить вероятность атак на Android.</p>
|
||
<ul>
|
||
<li>Использование многих уязвимостей затрудняется в новых
|
||
версиях Android, поэтому мы рекомендуем всем пользователям
|
||
своевременно обновлять систему.</li>
|
||
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью
|
||
<a href="/security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке
|
||
<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с
|
||
<a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь
|
||
устанавливает ПО из сторонних источников. Хотя в
|
||
Google Play инструменты для рутинга запрещены,
|
||
они могут встречаться в других магазинах. Если пользователь решает
|
||
установить такое приложение, Проверка предупреждает об этом.
|
||
Кроме того, она пытается идентифицировать известное вредоносное ПО,
|
||
использующее уязвимость для повышения привилегий, и блокировать
|
||
его установку. Если подобное ПО уже есть на устройстве, система
|
||
уведомит об этом пользователя и попытается удалить приложение.</li>
|
||
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким
|
||
процессам, как mediaserver, автоматически.</li>
|
||
</ul>
|
||
|
||
<h2 id="acknowledgements">Благодарности</h2>
|
||
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
|
||
<ul>
|
||
<li>Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности
|
||
Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
|
||
<li>Адам Доненфелд и другие сотрудники Check Point Software Technologies Ltd.: CVE-2016-2503
|
||
<li>Адам Пауэлл из Google: CVE-2016-3752
|
||
<li>Алекс Чапман и Пол Стоун из Context Information Security: CVE-2016-3763
|
||
<li>Энди Тайлер (<a href="https://twitter.com/ticarpi">@ticarpi</a>) из
|
||
<a href="https://www.e2e-assure.com/">e2e-assure</a>: CVE-2016-2457
|
||
<li>Бен Хоукс из Google Project Zero: CVE-2016-3775
|
||
<li>Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>),
|
||
Юань-Цун Ло (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>)
|
||
и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-3770,
|
||
CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
|
||
<li>Кристофер Тейт из Google: CVE-2016-3759
|
||
<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab
|
||
(<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-3762
|
||
<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)
|
||
и pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>) из IceSword Lab,
|
||
<a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a>: CVE-2016-3806,
|
||
CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810,
|
||
CVE-2016-3795, CVE-2016-3796
|
||
<li>Грег Кайзер из команды Google Android: CVE-2016-3758
|
||
<li>Гуан Гун (龚广) (<a href="https://twitter.com/oldfresher">@oldfresher</a>)
|
||
из Mobile Safe Team, <a href="http://www.360.com">Qihoo 360 Technology Co.
|
||
Ltd</a>.: CVE-2016-3764
|
||
<li>Хао Чэнь и Гуан Гун из Mobile Safe Team, <a href="http://www.360.com">
|
||
Qihoo 360 Technology Co. Ltd</a>.: CVE-2016-3792, CVE-2016-3768
|
||
<li>Хао Цинь из Security Research Lab, <a href="http://www.cmcm.com">Cheetah
|
||
Mobile</a>: CVE-2016-3754, CVE-2016-3766
|
||
<li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)
|
||
и pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>) из IceSword Lab,
|
||
<a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>: CVE-2016-3814,
|
||
CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
|
||
<li>Марко Нелиссен из Google: CVE-2016-3818
|
||
<li>Марк Бренд из Google Project Zero: CVE-2016-3757
|
||
<li><a href="https://github.com/michalbednarski">Михал Беднарский</a>: CVE-2016-3750
|
||
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>),
|
||
Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и
|
||
Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-3747,
|
||
CVE-2016-3746, CVE-2016-3765
|
||
<li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba
|
||
Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801,
|
||
CVE-2016-3812, CVE-2016-3798
|
||
<li>Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend
|
||
Micro: CVE-2016-3793
|
||
<li>Рики Вэй из Google: CVE-2016-3749
|
||
<li>Роланд Крак: CVE-2016-3753
|
||
<li>Скотт Бауэр (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>):
|
||
CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
|
||
<li>Василий Васильев: CVE-2016-2507
|
||
<li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из
|
||
Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
|
||
<li>Вэнь Ню (<a href="https://twitter.com/NWMonster">@NWMonster</a>) из KeenLab
|
||
(<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-3809
|
||
<li>Силин Гун из отдела безопасности платформы Tencent: CVE-2016-3745
|
||
<li>Яцун Гу из лаборатории TCA Института программного обеспечения Китайской академии наук:
|
||
CVE-2016-3761
|
||
<li>Юнкэ Ван (<a href="https://twitter.com/Rudykewang">@Rudykewang</a>) из
|
||
Xuanwu LAB, Tencent: CVE-2016-2505
|
||
<li>Юнкэ Ван (<a href="https://twitter.com/Rudykewang">@Rudykewang</a>) и
|
||
Вэй Вэй (<a href="https://twitter.com/Danny__Wei">@Danny__Wei</a>) из Xuanwu
|
||
LAB, Tencent: CVE-2016-2506
|
||
<li>Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-3744</li>
|
||
</li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></ul>
|
||
|
||
<h2 id="2016-07-01_details">Описание уязвимостей (обновление системы безопасности 2016-07-01)</h2>
|
||
<p>В этом разделе вы найдете подробную информацию обо всех
|
||
<a href="#2016-07-01_summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности,
|
||
таблицу с CVE, ссылками, уровнем серьезности, уязвимыми
|
||
устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения
|
||
об ошибке. Где возможно, мы приведем основную ссылку на опубликованное
|
||
изменение, связанное с идентификатором ошибки (например, список AOSP),
|
||
и дополнительные ссылки в квадратных скобках.</p>
|
||
|
||
<h3 id="remote-code-execution-vulnerability-in-mediaserver">
|
||
Удаленное выполнение кода через mediaserver</h3>
|
||
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации
|
||
в памяти при обработке медиафайлов и данных в специально созданном файле.
|
||
Проблеме присвоен критический уровень серьезности из-за возможности
|
||
удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ
|
||
к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних
|
||
приложений.</p>
|
||
<p>Уязвимая функция является основной составляющей ОС. Многие приложения
|
||
позволяют контенту, особенно MMS-сообщениям и воспроизводимым
|
||
в браузере медиафайлам, дистанционно обращаться к ней.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="19%">
|
||
<col width="10%">
|
||
<col width="16%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2506</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/e248db02fbab2ee9162940bc19f087fd7d96cb9d">
|
||
A-28175045</a></td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2505</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/4f236c532039a61f0cf681d2e3c6e022911bbb5c">
|
||
A-28333006</a></td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>21 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2507</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/60547808ca4e9cfac50028c00c58a6ceb2319301">
|
||
A-28532266</a></td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>2 мая 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2508</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/f81038006b4c59a5a148dcad887371206033c28f">
|
||
A-28799341</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/av/+/d112f7d0c1dbaf0368365885becb11ca8d3f13a4">2</a>]
|
||
</td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>16 мая 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3741</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/e629194c62a9a129ce378e08cb1059a8a53f1795">
|
||
A-28165661</a>
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/cc676ebd95247646e67907ccab150fb77a847335">2</a>]
|
||
</td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3742</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/a583270e1c96d307469c83dc42bd3c5f1b9ef63f">
|
||
A-28165659</a>
|
||
</td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3743</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/ecf6c7ce6d5a22d52160698aab44fc234c63291a">
|
||
A-27907656</a>
|
||
</td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="remote-code-execution-vulnerability-in-openssl-&-boringssl">
|
||
Удаленное выполнение кода через OpenSSL и BoringSSL</h3>
|
||
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации
|
||
в памяти при обработке файлов и данных в специально созданном файле.
|
||
Проблеме присвоен критический уровень серьезности из-за возможности
|
||
удаленного выполнения кода в контексте затрагиваемого процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2108</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/74750e1fb24149043a533497f79c577b704d6e30">
|
||
A-28175332</a>
|
||
</td>
|
||
<td>Критический</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>3 мая 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="remote-code-execution-vulnerability-in-bluetooth">
|
||
Удаленное выполнение кода через Bluetooth</h3>
|
||
<p>Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять
|
||
произвольный код во время подключения устройства Bluetooth. Из-за этого
|
||
проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3744</td>
|
||
<td><a href="https://android.googlesource.com/platform/system/bt/+/514139f4b40cbb035bb92f3e24d5a389d75db9e6">
|
||
A-27930580</a></td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>30 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-libpng">
|
||
Повышение привилегий через libpng</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
|
||
произвольный код в контексте системного приложения с расширенным
|
||
доступом. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
с ее помощью можно получить разрешения, недоступные
|
||
сторонним приложениям (например,
|
||
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и
|
||
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3751</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libpng/+/9d4853418ab2f754c2b63e091c29c5529b8b86ca">
|
||
A-23265085</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>3 декабря 2015 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediaserver">
|
||
Повышение привилегий через mediaserver</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
|
||
произвольный код в контексте системного приложения с расширенным
|
||
доступом. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
с ее помощью можно получить разрешения, недоступные
|
||
сторонним приложениям (например,
|
||
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и
|
||
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3745</td>
|
||
<td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/073a80800f341325932c66818ce4302b312909a4">
|
||
A-28173666</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>10 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3746</td>
|
||
<td><a href="https://android.googlesource.com/platform/hardware/qcom/media/+/5b82f4f90c3d531313714df4b936f92fb0ff15cf">
|
||
A-27890802</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>27 марта 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3747</td>
|
||
<td><a href="https://android.googlesource.com/platform/hardware/qcom/media/+/4ed06d14080d8667d5be14eed200e378cba78345">
|
||
A-27903498</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>28 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-sockets">
|
||
Повышение привилегий через сокеты</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать
|
||
несанкционированный доступ к системным вызовам.
|
||
Проблеме присвоен
|
||
высокий уровень серьезности, поскольку она позволяет обойти защиту,
|
||
предотвращающую атаки на платформу.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3748</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/sepolicy/+/556bb0f55324e8839d7b735a0de9bc31028e839e">
|
||
A-28171804</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>13 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-locksettingsservice">
|
||
Повышение привилегий через LockSettingsService</h3>
|
||
<p>Уязвимость позволяет вредоносному ПО сбрасывать пароль для блокировки экрана без разрешения пользователя. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость локально обходит обязательные требования относительно взаимодействия с пользователем либо изменения настроек безопасности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3749</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/e83f0f6a5a6f35323f5367f99c8e287c440f33f5">
|
||
A-28163930</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-framework-apis">
|
||
Повышение привилегий через Framework API</h3>
|
||
<p>Уязвимость повышает привилегии через Parcels Framework API и позволяет
|
||
локальному вредоносному ПО обходить защиту ОС, обеспечивающую
|
||
раздельное хранение данных приложений. Проблеме присвоен высокий уровень
|
||
серьезности, поскольку с ее помощью можно получить несанкционированный
|
||
доступ к данным.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3750</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/54cb02ad733fb71b1bdf78590428817fb780aff8">
|
||
A-28395952</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>16 декабря 2015 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-choosertarget-service">
|
||
Повышение привилегий через службу ChooserTarget</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте другого приложения. Проблеме присвоен высокий уровень
|
||
серьезности, поскольку с ее помощью можно получить несанкционированный
|
||
доступ к данным о действиях в другом приложении.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3752</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/ddbf2db5b946be8fdc45c7b0327bf560b2a06988">
|
||
A-28384423</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-mediaserver">
|
||
Раскрытие информации через mediaserver</h3>
|
||
<p>Уязвимость позволяет злоумышленнику получить удаленный доступ
|
||
к защищенным данным, с которыми могут работать только
|
||
авторизованные приложения, установленные на устройстве. Из-за этого
|
||
проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3753</td>
|
||
<td>A-27210135</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
<td>4.4.4</td>
|
||
<td>15 февраля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
|
||
на которых установлены все доступные обновления.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-openssl">
|
||
Раскрытие информации через OpenSSL</h3>
|
||
<p>Уязвимость позволяет злоумышленнику получить удаленный доступ
|
||
к защищенным данным, с которыми могут работать только
|
||
авторизованные приложения, установленные на устройстве. Из-за этого
|
||
проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2107</td>
|
||
<td>A-28550804</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1</td>
|
||
<td>13 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
|
||
на которых установлены все доступные обновления.</p>
|
||
|
||
<h3 id="denial-of-service-vulnerability-in-mediaserver">
|
||
Отказ в обслуживании в mediaserver</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
|
||
зависание устройства с помощью специально созданного файла. Проблеме
|
||
присвоен высокий уровень серьезности, поскольку она приводит к отказу
|
||
в обслуживании.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="19%">
|
||
<col width="10%">
|
||
<col width="16%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3754</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6fdee2a83432b3b150d6a34f231c4e2f7353c01e">
|
||
A-28615448</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/av/+/e7142a0703bc93f75e213e96ebc19000022afed9">2</a>]
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>5 мая 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3755</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/d4841f1161bdb5e13cb19e81af42437a634dd6ef">
|
||
A-28470138</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>29 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3756</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/tremolo/+/659030a2e80c38fb8da0a4eb68695349eec6778b">
|
||
A-28556125</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="denial-of-service-vulnerability-in-libc">
|
||
Отказ в обслуживании в libc</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
|
||
зависание устройства с помощью специально созданного файла. Проблеме
|
||
присвоен высокий уровень серьезности, поскольку она приводит к отказу
|
||
в обслуживании.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3818</td>
|
||
<td>A-28740702</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
<td>4.4.4</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
|
||
на которых установлены все доступные обновления.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-lsof">
|
||
Повышение привилегий через lsof</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
|
||
произвольный код на устройстве. Из-за этого нарушается работа
|
||
системы безопасности. Проблеме присвоен средний уровень
|
||
серьезности, поскольку уязвимость требует выполнения нестандартного
|
||
набора действий вручную.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3757</td>
|
||
<td><a href="https://android.googlesource.com/platform/system/core/+/ae18eb014609948a40e22192b87b10efc680daa7">
|
||
A-28175237</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-dexclassloader">
|
||
Повышение привилегий через DexClassLoader</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности,
|
||
поскольку уязвимость требует выполнения нестандартного набора действий
|
||
вручную.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3758</td>
|
||
<td><a href="https://android.googlesource.com/platform/dalvik/+/338aeaf28e9981c15d0673b18487dba61eb5447c">
|
||
A-27840771</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-framework-apis-2">
|
||
Повышение привилегий через Framework API</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО запрашивать разрешения
|
||
на создание резервных копий и перехватывать все копируемые данные.
|
||
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует
|
||
специальных разрешений для обхода защиты ОС, обеспечивающей раздельное
|
||
хранение данных приложений.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="17%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3759</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/9b8c6d2df35455ce9e67907edded1e4a2ecb9e28">
|
||
A-28406080</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-bluetooth">
|
||
Повышение привилегий через Bluetooth</h3>
|
||
<p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, добавлять
|
||
устройства Bluetooth в список надежных и сохранять их для основного
|
||
пользователя. Проблеме присвоен средний уровень серьезности,
|
||
поскольку с ее помощью можно получить дополнительные
|
||
привилегии на устройстве без явного разрешения владельца.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3760</td>
|
||
<td><a href="https://android.googlesource.com/platform/hardware/libhardware/+/8b3d5a64c3c8d010ad4517f652731f09107ae9c5">A-27410683</a>
|
||
[<a href="https://android.googlesource.com/platform/system/bt/+/37c88107679d36c419572732b4af6e18bb2f7dce">2</a>]
|
||
[<a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/122feb9a0b04290f55183ff2f0384c6c53756bd8">3</a>]
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>29 февраля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-nfc">
|
||
Повышение привилегий через NFC</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО, работающему
|
||
в фоновом режиме, получать несанкционированный доступ к данным
|
||
активного приложения. Проблеме присвоен средний уровень серьезности,
|
||
поскольку с ее помощью можно получить дополнительные
|
||
привилегии на устройстве без явного разрешения владельца.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3761</td>
|
||
<td><a href="https://android.googlesource.com/platform/packages/apps/Nfc/+/9ea802b5456a36f1115549b645b65c791eff3c2c">
|
||
A-28300969</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>20 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-sockets-2">
|
||
Повышение привилегий через сокеты</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать доступ
|
||
к некоторым нестандартным типам сокетов и, как следствие, возможность
|
||
выполнять произвольный код в контексте ядра. Проблеме
|
||
присвоен средний уровень серьезности, поскольку она позволяет обойти защиту, предотвращающую атаки на платформу.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3762</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/sepolicy/+/abf0663ed884af7bc880a05e9529e6671eb58f39">
|
||
A-28612709</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>21 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-proxy-auto-config">
|
||
Раскрытие информации через Proxy Auto-Config</h3>
|
||
<p>Уязвимость позволяет ПО получить несанкционированный доступ к
|
||
конфиденциальной информации. Из-за этого проблеме присвоен
|
||
средний уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3763</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/ec2fc50d202d975447211012997fe425496c849c">
|
||
A-27593919</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>10 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-mediaserver-2">
|
||
Раскрытие информации через mediaserver</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получить несанкционированный
|
||
доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний
|
||
уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3764</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/daef4327fe0c75b0a90bb8627458feec7a301e1f">
|
||
A-28377502</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>25 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3765</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/d1c775d1d8d2ed117d1e026719b7f9f089716597">
|
||
A-28168413</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>6.0, 6.0.1</td>
|
||
<td>8 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="denial-of-service-vulnerability-in-mediaserver-2">
|
||
Отказ в обслуживании в mediaserver</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
|
||
зависание устройства с помощью специально созданного файла. Проблеме
|
||
присвоен средний уровень серьезности, поскольку она приводит к отказу
|
||
в обслуживании.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3766</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6fdee2a83432b3b150d6a34f231c4e2f7353c01e">
|
||
A-28471206</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/av/+/e7142a0703bc93f75e213e96ebc19000022afed9">2</a>]
|
||
</td>
|
||
<td>Средний</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>29 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h2 id="2016-07-05_details">Описание уязвимостей (обновление системы безопасности 2016-07-05)</h2>
|
||
<p>В этом разделе вы найдете подробную информацию обо всех
|
||
<a href="2016-07-05_summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности,
|
||
таблицу с CVE, ссылками, уровнем серьезности, уязвимыми
|
||
устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения
|
||
об ошибке. Где возможно, мы приведем основную ссылку на опубликованное
|
||
изменение, связанное с идентификатором ошибки (например, список AOSP),
|
||
и дополнительные ссылки в квадратных скобках.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-gpu-driver">
|
||
Повышение привилегий через драйвер Qualcomm для графического процессора</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности,
|
||
поскольку из-за нее нарушается работа системы безопасности. Возможно,
|
||
для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2503</td>
|
||
<td>A-28084795*
|
||
QC-CR1006067</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>5 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2067</td>
|
||
<td>A-28305757
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.18/commit/?id=410cfa95f0a1cf58819cbfbd896f9aa45b004ac0">
|
||
QC-CR988993</a></td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P</td>
|
||
<td>20 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-wi-fi-driver">
|
||
Повышение привилегий через Wi-Fi-драйвер MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
|
||
из-за нее нарушается работа системы безопасности. Возможно, для устранения
|
||
проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3767</td>
|
||
<td>A-28169363*
|
||
<br>M-ALPS02689526</td>
|
||
<td>Критический</td>
|
||
<td>Android One</td>
|
||
<td>6 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-performance-component">
|
||
Повышение привилегий через компонент производительности Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
|
||
из-за нее нарушается работа системы безопасности. Возможно, для устранения
|
||
проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3768</td>
|
||
<td>A-28172137*
|
||
QC-CR1010644</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013)</td>
|
||
<td>9 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-nvidia-video-driver">
|
||
Повышение привилегий через видеодрайвер NVIDIA</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
|
||
из-за нее нарушается работа системы безопасности. Возможно, для устранения
|
||
проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3769</td>
|
||
<td>A-28376656*<br>
|
||
N-CVE20163769</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 9</td>
|
||
<td>18 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-drivers-device-specific">
|
||
Повышение привилегий через драйверы MediaTek (уязвимость устройства)</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
|
||
из-за нее нарушается работа системы безопасности. Возможно, для устранения
|
||
проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3770</td>
|
||
<td>A-28346752*<br>
|
||
M-ALPS02703102</td>
|
||
<td>Критический</td>
|
||
<td>Android One</td>
|
||
<td>22 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3771</td>
|
||
<td>A-29007611*<br>
|
||
M-ALPS02703102</td>
|
||
<td>Критический</td>
|
||
<td>Android One</td>
|
||
<td>22 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3772</td>
|
||
<td>A-29008188*<br>
|
||
M-ALPS02703102</td>
|
||
<td>Критический</td>
|
||
<td>Android One</td>
|
||
<td>22 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3773</td>
|
||
<td>A-29008363*<br>
|
||
M-ALPS02703102</td>
|
||
<td>Критический</td>
|
||
<td>Android One</td>
|
||
<td>22 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3774</td>
|
||
<td>A-29008609*<br>
|
||
M-ALPS02703102</td>
|
||
<td>Критический</td>
|
||
<td>Android One</td>
|
||
<td>22 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-kernel-file-system">
|
||
Повышение привилегий через файловую систему ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
|
||
из-за нее нарушается работа системы безопасности. Возможно, для устранения
|
||
проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3775</td>
|
||
<td>A-28588279*</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P и Nexus Player, Pixel C</td>
|
||
<td>4 мая 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-usb-driver">
|
||
Повышение привилегий через USB-драйвер</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Ей присвоен критический уровень серьезности,
|
||
поскольку из-за нее нарушается работа системы безопасности. Возможно,
|
||
для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8816</td>
|
||
<td>A-28712303*</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C</td>
|
||
<td>4 мая 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-components">
|
||
Повышение привилегий через компоненты Qualcomm</h3>
|
||
<p>В таблице ниже перечислены уязвимости системы безопасности, затрагивающие
|
||
компоненты Qualcomm, в том числе загрузчик, драйвер камеры, символьный
|
||
драйвер, сеть, аудиодрайвер и видеодрайвер.</p>
|
||
<p>Наиболее важным проблемам присвоен критический уровень серьезности,
|
||
поскольку из-за них нарушается работа системы безопасности. Возможно,
|
||
для устранения такой проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности*</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9795</td>
|
||
<td>A-28820720<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=ce2a0ea1f14298abc83729f3a095adab43342342">QC-CR681957</a>
|
||
[<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=fc3b31f81a1c128c2bcc745564a075022cd72a2e">2</a>]
|
||
</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5</td>
|
||
<td>8 августа 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9794</td>
|
||
<td>A-28821172<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=f39085971c8c4e36cadbf8a72aabe6c7ff538ffa">QC-CR646385</a>
|
||
</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>8 августа 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8892</td>
|
||
<td>A-28822807<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=fae606b9dd92c021e2419369975264f24f60db23">QC-CR902998</a>
|
||
</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>30 декабря 2015 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9781</td>
|
||
<td>A-28410333<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/drivers/video/?h=LA.BF.1.1.3_rb1.12&id=a2b5237ad265ec634489c8b296d870827b2a1b13&context=20&ignorews=0&dt=0">QC-CR556471</a>
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>6 февраля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9786</td>
|
||
<td>A-28557260<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/patch/?id=2fb303d9c6ca080f253b10ed9384293ca69ad32b">QC-CR545979</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>13 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9788</td>
|
||
<td>A-28573112<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=73bfc22aa70cc0b7e6709381125a0a42aa72a4f2">QC-CR548872</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>13 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9779</td>
|
||
<td>A-28598347<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/arch/arm/mach-msm/qdsp6v2/msm_audio_ion.c?h=LA.BF.1.1.3_rb1.12&id=0b5f49b360afdebf8ef55df1e48ec141b3629621">QC-CR548679</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>13 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9780</td>
|
||
<td>A-28602014<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.10/commit/?id=b5bb13e1f738f90df11e0c17f843c73999a84a54">QC-CR542222</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 5X, Nexus 6P</td>
|
||
<td>13 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9789</td>
|
||
<td>A-28749392<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=5720ed5c3a786e3ba0a2428ac45da5d7ec996b4e">QC-CR556425</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>13 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9793</td>
|
||
<td>A-28821253<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=0dcccecc4a6a9a9b3314cb87b2be8b52df1b7a81">QC-CR580567</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>13 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9782</td>
|
||
<td>A-28431531<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/patch/?id=2e57a46ab2ba7299d99d9cdc1382bd1e612963fb">QC-CR511349</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>31 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9783</td>
|
||
<td>A-28441831<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=2b1050b49a9a5f7bb57006648d145e001a3eaa8b">QC-CR511382</a>
|
||
[<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=a7502f4f801bb95bff73617309835bb7a016cde5">2</a>]</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>31 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9785</td>
|
||
<td>A-28469042<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=b4338420db61f029ca6713a89c41b3a5852b20ce">QC-CR545747</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>31 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9787</td>
|
||
<td>A-28571496<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=528400ae4cba715f6c9ff4a2657dafd913f30b8b">QC-CR545764</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>31 марта 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9784</td>
|
||
<td>A-28442449<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=36503d639cedcc73880974ed92132247576e72ba">QC-CR585147</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>30 апреля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9777</td>
|
||
<td>A-28598501<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=17bfaf64ad503d2e6607d2d3e0956f25bf07eb43">QC-CR563654</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>30 апреля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9778</td>
|
||
<td>A-28598515<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=af85054aa6a1bcd38be2354921f2f80aef1440e5">QC-CR563694</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>30 апреля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9790</td>
|
||
<td>A-28769136<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&id=6ed921bda8cbb505e8654dfc1095185b0bccc38e">QC-CR545716</a>
|
||
[<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit?h=LA.BF.1.1.3_rb1.12&id=9bc30c0d1832f7dd5b6fa10d5e48a29025176569">2</a>]</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>30 апреля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9792</td>
|
||
<td>A-28769399<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=a3e3dd9fc0a2699ae053ffd3efb52cdc73ad94cd">QC-CR550606</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>30 апреля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9797</td>
|
||
<td>A-28821090<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=3312737f3e1ec84dd67ee0622c7dd031083f71a4">QC-CR674071</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>3 июля 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9791</td>
|
||
<td>A-28803396<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&id=9aabfc9e7775abbbcf534cdecccc4f12ee423b27">QC-CR659364</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>29 августа 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9796</td>
|
||
<td>A-28820722<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=2e21b3a57cac7fb876bcf43244d7cc3dc1f6030d">QC-CR684756</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>30 сентября 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9800</td>
|
||
<td>A-28822150<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=6390f200d966dc13cf61bb5abbe3110447ca82b5">QC-CR692478</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>31 октября 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9799</td>
|
||
<td>A-28821731<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=c2119f1fba46f3b6e153aa018f15ee46fe6d5b76">QC-CR691916</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>31 октября 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9801</td>
|
||
<td>A-28822060<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=cf8f5a105bafda906ccb7f149d1a5b8564ce20c0">QC-CR705078</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>28 ноября 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9802</td>
|
||
<td>A-28821965<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=222e0ec9bc755bfeaa74f9a0052b7c709a4ad054">QC-CR705108</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>31 декабря 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8891</td>
|
||
<td>A-28842418<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=4f829bb52d0338c87bc6fbd0414b258f55cc7c62">QC-CR813930</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>29 мая 2015 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8888</td>
|
||
<td>A-28822465<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=1321f34f1ebcff61ad7e65e507cfd3e9028af19b">QC-CR813933</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5</td>
|
||
<td>30 июня 2015 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8889</td>
|
||
<td>A-28822677<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=fa774e023554427ee14d7a49181e9d4afbec035e">QC-CR804067</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 6P</td>
|
||
<td>30 июня 2015 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8890</td>
|
||
<td>A-28822878<br>
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=e22aca36da2bb6f5016f3c885eb8c8ff85c115e4">QC-CR823461</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>19 августа 2015 г</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-usb-driver">
|
||
Повышение привилегий через USB-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2502</td>
|
||
<td>A-27657963
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.10/commit/?id=0bc45d7712eabe315ce8299a49d16433c3801156">QC-CR997044</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>11 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-wi-fi-driver">
|
||
Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3792</td>
|
||
<td>A-27725204
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=28d4f0c1f712bffb4aa5b47f06e97d5a9fa06d29">QC-CR561022</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 7 (2013)</td>
|
||
<td>17 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-camera-driver">
|
||
Повышение привилегий через драйвер Qualcomm для камеры</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2501</td>
|
||
<td>A-27890772*
|
||
QC-CR1001092</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013)</td>
|
||
<td>27 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-nvidia-camera-driver">
|
||
Повышение привилегий через драйвер NVIDIA для камеры</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3793</td>
|
||
<td>A-28026625*<br>
|
||
N-CVE20163793</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 9</td>
|
||
<td>5 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-power-driver">
|
||
Повышение привилегий через драйвер питания MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
|
||
в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3795</td>
|
||
<td>A-28085222*<br>
|
||
M-ALPS02677244</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>7 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3796</td>
|
||
<td>A-29008443*<br>
|
||
M-ALPS02677244</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>7 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-wi-fi-driver-2">
|
||
Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3797</td>
|
||
<td>A-28085680*
|
||
QC-CR1001450</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X</td>
|
||
<td>7 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-hardware-sensor-driver">
|
||
Повышение привилегий через драйвер MediaTek для аппаратного датчика</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3798</td>
|
||
<td>A-28174490*<br>
|
||
M-ALPS02703105</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-video-driver">
|
||
Повышение привилегий через видеодрайвер MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3799</td>
|
||
<td>A-28175025*<br>
|
||
M-ALPS02693738</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3800</td>
|
||
<td>A-28175027*<br>
|
||
M-ALPS02693739</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-gps-driver">
|
||
Повышение привилегий через GPS-драйвер MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3801</td>
|
||
<td>A-28174914*<br>
|
||
M-ALPS02688853</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-kernel-file-system-2">
|
||
Повышение привилегий через файловую систему ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3802</td>
|
||
<td>A-28271368*</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 9</td>
|
||
<td>19 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3803</td>
|
||
<td>A-28588434*</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>4 мая 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-power-management-driver">
|
||
Повышение привилегий через драйвер управления питанием MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
|
||
в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3804</td>
|
||
<td>A-28332766*<br>
|
||
M-ALPS02694410</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>20 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3805</td>
|
||
<td>A-28333002*<br>
|
||
M-ALPS02694412</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>21 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-display-driver">
|
||
Повышение привилегий через драйвер дисплея MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3806</td>
|
||
<td>A-28402341*<br>
|
||
M-ALPS02715341</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>26 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-serial-peripheral-interface-driver">
|
||
Повышение привилегий через драйвер SPI</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3807</td>
|
||
<td>A-28402196*</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>26 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3808</td>
|
||
<td>A-28430009*</td>
|
||
<td>Высокий</td>
|
||
<td>Pixel С</td>
|
||
<td>26 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-sound-driver">
|
||
Повышение привилегий через аудиодрайвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2068</td>
|
||
<td>A-28470967
|
||
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?h=APSS.FSM.3.0&id=01ee86da5a0cd788f134e360e2be517ef52b6b00">QC-CR1006609</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P</td>
|
||
<td>28 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-kernel">
|
||
Повышение привилегий через ядро</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9803</td>
|
||
<td>A-28557020<br>
|
||
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/arch/arm64/include/asm/pgtable.h?h=linux-3.10.y&id=5a0fdfada3a2aa50d7b947a2e958bf00cbe0d830">
|
||
Upstream kernel</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-networking-component">
|
||
Раскрытие информации через сетевой компонент</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный
|
||
доступ к конфиденциальным данным.
|
||
Из-за этого проблеме присвоен высокий уровень
|
||
серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3809</td>
|
||
<td>A-27532522*</td>
|
||
<td>Высокий</td>
|
||
<td><a href="#all_nexus">Все устройства</a></td>
|
||
<td>5 марта 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-mediatek-wi-fi-driver">
|
||
Раскрытие информации через Wi-Fi-драйвер MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный
|
||
доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень
|
||
серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3810</td>
|
||
<td>A-28175522*<br>
|
||
M-ALPS02694389</td>
|
||
<td>Высокий</td>
|
||
<td>Android One</td>
|
||
<td>12 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="elevation-of-privilege-vulnerability-in-kernel-video-driver">
|
||
Повышение привилегий через видеодрайвер ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3811</td>
|
||
<td>A-28447556*</td>
|
||
<td>Средний</td>
|
||
<td>Nexus 9</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-mediatek-video-codec-driver">
|
||
Раскрытие информации через драйвер видеокодека MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать
|
||
несанкционированный доступ к данным. Проблеме присвоен средний
|
||
уровень серьезности, поскольку уязвимость требует сначала
|
||
нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3812</td>
|
||
<td>A-28174833*<br>
|
||
M-ALPS02688832</td>
|
||
<td>Средний</td>
|
||
<td>Android One</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-qualcomm-usb-driver">
|
||
Раскрытие информации через USB-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать
|
||
несанкционированный доступ к данным.
|
||
Проблеме присвоен средний
|
||
уровень серьезности, поскольку уязвимость требует сначала
|
||
нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3813</td>
|
||
<td>A-28172322*
|
||
QC-CR1010222</td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P</td>
|
||
<td>11 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-nvidia-camera-driver">
|
||
Раскрытие информации через драйвер NVIDIA для камеры</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать
|
||
несанкционированный доступ к данным.
|
||
Проблеме присвоен средний
|
||
уровень серьезности, поскольку уязвимость требует сначала
|
||
нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3814</td>
|
||
<td>A-28193342*<br>
|
||
N-CVE20163814</td>
|
||
<td>Средний</td>
|
||
<td>Nexus 9</td>
|
||
<td>14 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3815</td>
|
||
<td>A-28522274*<br>
|
||
N-CVE20163815</td>
|
||
<td>Средний</td>
|
||
<td>Nexus 9</td>
|
||
<td>1 мая 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-mediatek-display-driver">
|
||
Раскрытие информации через драйвер дисплея MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать
|
||
несанкционированный доступ к данным. Проблеме присвоен средний
|
||
уровень серьезности, поскольку уязвимость требует сначала
|
||
нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-3816</td>
|
||
<td>A-28402240*</td>
|
||
<td>Средний</td>
|
||
<td>Android One</td>
|
||
<td>26 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
<h3 id="information-disclosure-vulnerability-in-kernel-teletype-driver">
|
||
Раскрытие информации через драйвер ядра для телетайпа</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать
|
||
несанкционированный доступ к данным.
|
||
Проблеме присвоен средний
|
||
уровень серьезности, поскольку уязвимость требует сначала
|
||
нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-0723</td>
|
||
<td>A-28409131<br>
|
||
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5c17c861a357e9458001f021a7afa7aab9937439">Upstream
|
||
kernel</a></td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus
|
||
Player, Pixel C</td>
|
||
<td>26 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="denial-of-service-vulnerability-in-qualcomm-bootloader">
|
||
Отказ в обслуживании в загрузчике Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО вызывать нарушения в работе
|
||
системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
|
||
Проблеме присвоен средний уровень серьезности, поскольку уязвимость
|
||
требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="16%">
|
||
<col width="10%">
|
||
<col width="27%">
|
||
<col width="16%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Nexus</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-9798</td>
|
||
<td>A-28821448
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=b05eed2491a098bf627ac485a5b43d2f4fae2484">QC-CR681965</a></td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5</td>
|
||
<td>31 октября 2014 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2015-8893</td>
|
||
<td>A-28822690
|
||
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=800255e8bfcc31a02e89460460e3811f225e7a69">QC-CR822275</a></td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5, Nexus 7 (2013)</td>
|
||
<td>19 августа 2015 г</td>
|
||
</tr>
|
||
</table>
|
||
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
|
||
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть
|
||
после прочтения бюллетеня.</p>
|
||
|
||
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p>
|
||
<p>В исправлении от 1 июля 2016 года устранены все проблемы, связанные
|
||
с обновлением 2016-07-01. В исправлении от 5 июля 2016 года или более новом
|
||
устранены все проблемы, связанные с обновлением 2016-07-05. О том, как узнать дату
|
||
последнего обновления системы безопасности, рассказывается в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>.
|
||
Производители устройств, позволяющие установить эти обновления, должны
|
||
присвоить им уровень
|
||
[ro.build.version.security_patch]:[2016-07-01] или
|
||
[ro.build.version.security_patch]:[2016-07-05].</p>
|
||
|
||
<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p>
|
||
<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь
|
||
нашим партнерам как можно скорее устранить уязвимости, затрагивающие
|
||
все устройства Android. Рекомендуем партнерам Android исправить все
|
||
вышеперечисленные проблемы и установить последнее обновление системы
|
||
безопасности.</p>
|
||
<p>На устройствах с установленным обновлением от 5 июля 2016 года или более
|
||
новым должны быть исправлены все проблемы, упомянутые в этом бюллетене
|
||
и предыдущих выпусках.</p>
|
||
<p>На устройствах с установленным обновлением от 1 июля 2016 года должны
|
||
быть исправлены все проблемы, упомянутые в соответствующем разделе этого
|
||
бюллетеня, а также в предыдущих выпусках. Кроме того, на них могут быть устранены
|
||
некоторые уязвимости, исправленные в обновлении от 5 июля 2016 года.</p>
|
||
|
||
<p id="all_nexus"><strong>3. Как определить, на каких устройствах Nexus присутствует уязвимость?</strong></p>
|
||
<p>В каждой таблице разделов с описанием уязвимостей <a href="#2016-07-01_details">2016-07-01</a> и
|
||
<a href="#2016-07-05_details">2016-07-05</a> есть столбец "Обновленные устройства Nexus". В нем указано,
|
||
на каких устройствах присутствует уязвимость.</p>
|
||
<ul>
|
||
<li><strong>Все устройства.</strong> Проблема возникает на<em></em>
|
||
следующих
|
||
<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">поддерживаемых устройствах Nexus</a>: Nexus 5, Nexus 5X, Nexus 6,
|
||
Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и
|
||
Pixel C.</li>
|
||
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует
|
||
уязвимость.</li>
|
||
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Nexus.<em></em></li>
|
||
</ul>
|
||
|
||
<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p>
|
||
<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>.
|
||
Каждая запись в нем может содержать префикс, указывающий на
|
||
источник ссылки, а именно:</p>
|
||
|
||
<table>
|
||
<tr>
|
||
<th>Префикс</th>
|
||
<th>Значение</th>
|
||
</tr>
|
||
<tr>
|
||
<td>A-</td>
|
||
<td>Идентификатор ошибки Android</td>
|
||
</tr>
|
||
<tr>
|
||
<td>QC-</td>
|
||
<td>Ссылочный номер Qualcomm</td>
|
||
</tr>
|
||
<tr>
|
||
<td>M-</td>
|
||
<td>Ссылочный номер MediaTek</td>
|
||
</tr>
|
||
<tr>
|
||
<td>N-</td>
|
||
<td>Ссылочный номер NVIDIA</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h2 id="revisions">Версии</h2>
|
||
<ul>
|
||
<li>6 июля 2016 года. Бюллетень опубликован.</li>
|
||
<li>7 июля 2016 года.
|
||
<ul>
|
||
<li>Добавлены ссылки на AOSP.
|
||
<li>Удалена информация об уязвимости CVE-2016-3794, совпадающей с CVE-2016-3814.
|
||
<li>Добавлена атрибуция уязвимостей CVE-2016-2501 и CVE-2016-2502.
|
||
</li></li></li></ul>
|
||
</li>
|
||
<li>11 июля 2016 года. Обновлена атрибуция уязвимости CVE-2016-3750.</li>
|
||
<li>14 июля 2016 года. Обновлена атрибуция уязвимости CVE-2016-2503.</li>
|
||
</ul>
|
||
|
||
</body>
|
||
</html>
|