fuquan/allwinner_a64
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
allwinner_a64/android/docs/source.android.com/ru/security/bulletin/2016-12-01.html
August 5425409085 upload android base code part8
2018-08-08 20:10:12 +08:00

1999 lines
93 KiB
HTML
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<html devsite>
<head>
<title>Бюллетень по безопасности Android  декабрь 2016 г.</title>
<meta name="project_path" value="/_project.yaml" />
<meta name="book_path" value="/_book.yaml" />
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 5 декабря 2016 г. | Обновлено 7 декабря 2016 г.</em></p>
<p>
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 декабря 2016 года или более новом. Информацию о том, как проверить обновления системы
безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&amp;nexus_devices">Справочном центре</a>.
</p>
<p>
Мы сообщили партнерам об уязвимостях 7 ноября 2016 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).
В этом бюллетене также приведены ссылки на исправления вне AOSP.
</p>
<p>
Наиболее важным проблемам присвоен критический уровень серьезности, поскольку из-за них нарушается работа системы безопасности. Возможно, для устранения таких проблем потребуется переустановить ОС.
</p>
<p>
Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.
</p>
<p>
Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.
</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе
<a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
<ul>
<li><strong>2016-12-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-12-01 и более ранние.</li>
<li><strong>2016-12-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2016-12-01 и 2016-12-05, а также более ранние.</li>
</ul>
</li>
<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 декабря 2016 года.</li>
</ul>
<h2 id="security-vulnerability-summary">Перечень уязвимостей</h2>
<p>
В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
</p>
<h3 id="2016-12-01-summary">Перечень уязвимостей (обновление системы безопасности 2016-12-01)</h3>
<p>
Перечисленные проблемы должны быть устранены в исправлении от 1 декабря 2016 года или более новом.
</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Google?</th>
</tr>
<tr>
<td>Удаленное выполнение кода через CURL/LIBCURL</td>
<td>CVE-2016-5419, CVE-2016-5420, CVE-2016-5421</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через libziparchive</td>
<td>CVE-2016-6762</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании через телефонную связь</td>
<td>CVE-2016-6763</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в mediaserver</td>
<td>CVE-2016-6766, CVE-2016-6765, CVE-2016-6764, CVE-2016-6767</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Удаленное выполнение кода через библиотеку Framesequence</td>
<td>CVE-2016-6768</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Smart Lock</td>
<td>CVE-2016-6769</td>
<td>Средний</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через Framework API</td>
<td>CVE-2016-6770</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через телефонную связь</td>
<td>CVE-2016-6771</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi</td>
<td>CVE-2016-6772</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через mediaserver</td>
<td>CVE-2016-6773</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через Package Manager</td>
<td>CVE-2016-6774</td>
<td>Средний</td>
<td>Да</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="2016-12-05-summary">Перечень уязвимостей (обновление системы безопасности 2016-12-05)</h3>
<p>
В исправлении от 5 декабря 2016 года или более новом устранены все проблемы, упомянутые в обновлении 2016-12-01, а также уязвимости, перечисленные ниже.
</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Google?</th>
</tr>
<tr>
<td>Повышение привилегий через подсистему памяти ядра</td>
<td>CVE-2016-4794, CVE-2016-5195</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер NVIDIA для графического процессора</td>
<td>CVE-2016-6775, CVE-2016-6776, CVE-2016-6777</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через ядро</td>
<td>CVE-2015-8966</td>
<td>Критический</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через видеодрайвер NVIDIA</td>
<td>CVE-2016-6915, CVE-2016-6916, CVE-2016-6917</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер ION ядра</td>
<td>CVE-2016-9120</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Уязвимости в компонентах Qualcomm</td>
<td>CVE-2016-8411</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через файловую систему ядра</td>
<td>CVE-2014-4014</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через ядро</td>
<td>CVE-2015-8967</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через аудиодрайвер кодеков HTC</td>
<td>CVE-2016-6778, CVE-2016-6779, CVE-2016-6780</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер MediaTek</td>
<td>CVE-2016-6492, CVE-2016-6781, CVE-2016-6782, CVE-2016-6783, CVE-2016-6784, CVE-2016-6785</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через медиакодеки Qualcomm</td>
<td>CVE-2016-6761, CVE-2016-6760, CVE-2016-6759, CVE-2016-6758</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер Qualcomm для камеры</td>
<td>CVE-2016-6755</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через подсистему производительности ядра</td>
<td>CVE-2016-6786, CVE-2016-6787</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер I2C MediaTek</td>
<td>CVE-2016-6788</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через библиотеку libomx NVIDIA</td>
<td>CVE-2016-6789, CVE-2016-6790</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через аудиодрайвер Qualcomm</td>
<td>CVE-2016-6791, CVE-2016-8391, CVE-2016-8392</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через подсистему безопасности ядра</td>
<td>CVE-2015-7872</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер сенсорного экрана Synaptics</td>
<td>CVE-2016-8393, CVE-2016-8394</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер Broadcom</td>
<td>CVE-2014-9909, CVE-2014-9910</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Раскрытие информации через видеодрайвер MediaTek</td>
<td>CVE-2016-8396</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Раскрытие информации через видеодрайвер NVIDIA</td>
<td>CVE-2016-8397</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в GPS</td>
<td>CVE-2016-5341</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в драйвере NVIDIA для камеры</td>
<td>CVE-2016-8395</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через сетевую подсистему ядра</td>
<td>CVE-2016-8399</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через компоненты Qualcomm</td>
<td>CVE-2016-6756, CVE-2016-6757</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через библиотеку librm NVIDIA</td>
<td>CVE-2016-8400</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через компоненты ядра</td>
<td>CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8404, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через видеодрайвер NVIDIA</td>
<td>CVE-2016-8408, CVE-2016-8409</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через аудиодрайвер Qualcomm</td>
<td>CVE-2016-8410</td>
<td>Средний</td>
<td>Да</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h2 id="mitigations">Предотвращение атак</h2>
<p>
Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a>
и средства защиты сервисов, например SafetyNet, позволяют
снизить вероятность атак на Android.
</p>
<ul>
<li>Использование многих уязвимостей затрудняется в новых
версиях Android, поэтому мы рекомендуем всем пользователям
своевременно обновлять систему.</li>
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены,
они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО,
использующее уязвимость для повышения привилегий, и блокировать
его установку. Если подобное ПО уже есть на устройстве, система
уведомит об этом пользователя и попытается удалить приложение.</li>
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким
процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>
Благодарим всех, кто помог обнаружить уязвимости:
</p>
<ul>
<li>Баоцзэн Дин, Чэнмин Ян, Пэн Сяо, Нин Ю, Ян Дун, Чао Ян, И Чжан и Ян Сун из Alibaba Mobile Security Group: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785</li>
<li><a href="mailto:zc1991@mail.ustc.edu.cn">Чи Чжан</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6789, CVE-2016-6790</li>
<li>Кристиан Сил: CVE-2016-6769</li>
<li>Дэвид Бенджамин и Кенни Рут из Google: CVE-2016-6767</li>
<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-6776, CVE-2016-6787</li>
<li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) из <a href="http://www.ms509.com">MS509Team</a>: CVE-2016-6763</li>
<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>), <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404</li>
<li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396</li>
<li><a href="mailto:zlbzlb815@163.com">Лубо Чжан</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392</li>
<li>Марк Бренд из Project Zero: CVE-2016-6772</li>
<li><a href="https://github.com/michalbednarski">Михал Беднарский</a>: CVE-2016-6770, CVE-2016-6774</li>
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), <a href="mailto:zc1991@mail.ustc.edu.cn">Чи Чжан</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400</li>
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6760</li>
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), <a href="mailto:arnow117@gmail.com">Ханьсян Вэнь</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6759</li>
<li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla Motors Product Security Team: CVE-2016-6915, CVE-2016-6916, CVE-2016-6917</li>
<li>Nightwatch Cybersecurity Research (<a href="https://twitter.com/nightwatchcyber">@nightwatchcyber</a>): CVE-2016-5341</li>
<li>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮), Ленкс Вэй (韦韬) из Baidu X-Lab: CVE-2016-6755, CVE-2016-6756</li>
<li>Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend Micro: CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407</li>
<li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) из KeenLab, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395</li>
<li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) и Марко Грасси (<a href="https://twitter.com/marcograss">@marcograss</a>) из KeenLab, Tencent (腾讯科恩实验室): CVE-2016-6768</li>
<li>Ричард Шупак: CVE-2016-5341</li>
<li>Саги Кедми из IBM X-Force Research: CVE-2016-8393, CVE-2016-8394</li>
<li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из Mobile Threat Research Team, Trend Micro Inc.: CVE-2016-6757</li>
<li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.: CVE-2016-6773</li>
<li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:zc1991@mail.ustc.edu.cn">Чи Чжан</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6765</li>
<li>Виш Ву (<a href="https://twitter.com/wish_wu">@wish_wu</a>) (<a href="http://weibo.com/wishlinux">吴潍浠</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">Mobile Threat Response Team</a>, <a href="http://www.trendmicro.com">Trend Micro Inc.</a>: CVE-2016-6704</li>
<li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775</li>
<li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:wisedd@gmail.com">Сяодун Ван</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6777</li>
<li>Юйсян Ли из отдела безопасности платформы Tencent: CVE-2016-6771</li>
<li>Чжэ Цзинь (金哲) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766</li>
<li><a href="http://weibo.com/ele7enxxh">Цзыно Хань</a> из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2016-6762</li>
</ul>
<p>
Отдельная благодарность Мэнло Гоу (<a href="https://twitter.com/idhyt3r">@idhyt3r</a>) из Bottle Tech, Юн Ван (王勇) (<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>) и Зубин Митра из Google за их помощь в составлении этого бюллетеня.
</p>
<h2 id="2016-12-01-details">Описание уязвимостей (обновление системы безопасности 2016-12-01)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех <a href="#2016-12-01-summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="rce-in-curl-libcurl">Удаленное выполнение кода через CURL/LIBCURL</h3>
<p>
В таблице перечислены уязвимости, затрагивающие библиотеки CURL и LIBCURL. Наиболее серьезная из уязвимостей позволяет посреднику осуществить атаку с помощью поддельного сертификата и выполнить произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку злоумышленнику необходимо подделать сертификат.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5419</td>
<td>A-31271247</td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>3 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-5420</td>
<td>A-31271247</td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>3 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-5421</td>
<td>A-31271247</td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>3 августа 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-libziparchive">Повышение привилегий через libziparchive</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6762</td>
<td><a href="https://android.googlesource.com/platform/system/core/+/1ee4892e66ba314131b7ecf17e98bb1762c4b84c">A-31251826</a>
[<a href="https://android.googlesource.com/platform/bionic/+/3656958a16590d07d1e25587734e000beb437740">2</a>]
</td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>28 августа 2016 г.</td>
</tr>
</table>
<h3 id="dos-in-telephony">Отказ в обслуживании через телефонную связь</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла.
Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6763</td>
<td><a href="https://android.googlesource.com/platform/packages/services/Telephony/+/1294620627b1e9afdf4bd0ad51c25ed3daf80d84">
A-31530456</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>12 сентября 2016 г.</td>
</tr>
</table>
<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6766 </td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/0d13824315b0491d44e9c6eb5db06489ab0fcc20">
A-31318219</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>5 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6765</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/fd9cc97d4dfe2a2fbce2c0f1704d7a27ce7cbc44">
A-31449945</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 7.0</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6764</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/0d13824315b0491d44e9c6eb5db06489ab0fcc20">
A-31681434</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>22 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6767</td>
<td>A-31833604</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="rce-in-framesequence-library">Удаленное выполнение кода через библиотеку Framesequence</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6768</td>
<td><a href="https://android.googlesource.com/platform/frameworks/ex/+/0ada9456d0270cb0e357a43d9187a6418d770760">
A-31631842</a></td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>19 сентября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-smart-lock">Повышение привилегий через Smart Lock</h3>
<p>
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получить доступ к настройкам Smart Lock без ввода PIN-кода. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует физического доступа к разблокированному устройству, на котором Smart Lock был последней панелью настроек, открытых пользователем.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6769</td>
<td>A-29055171</td>
<td>Средний</td>
<td>Нет*</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>27 мая 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к системным функциям.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти ограничения процесса.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6770</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/2c61c57ac53cbb270b4e76b9d04465f8a3f6eadc">
A-30202228</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>16 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-telephony">Повышение привилегий через телефонную связь</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к системным функциям. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти ограничения процесса.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6771</td>
<td><a href="https://android.googlesource.com/platform/packages/services/Telephony/+/a39ff9526aee6f2ea4f6e02412db7b33d486fd7d">
A-31566390</a></td>
<td>Средний</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>17 сентября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-wi-fi">Повышение привилегий через Wi-Fi</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6772</td>
<td><a href="https://android.googlesource.com/platform/frameworks/opt/net/wifi/+/a5a18239096f6faee80f15f3fff39c3311898484">A-31856351</a>
[<a href="https://android.googlesource.com/platform/frameworks/opt/net/wifi/+/29a2baf3195256bab6a0a4a2d07b7f2efa46b614">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>30 сентября 2016 г.</td>
</tr>
</table>
<h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6773</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/026745ef046e646b8d04f4f57d8320042f6b29b0">A-30481714</a>
[<a href="https://android.googlesource.com/platform/external/libavc/+/6676aeb4195e7c7379915c0972f3d209410f0641">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>27 июля 2016 г.</td>
</tr>
</table>
<h3 id="id-in-package-manager">Раскрытие информации через Package Manager</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6774</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/e2d4f5fc313ecb4ba587b20fff6d346f8cd51775">
A-31251489</a></td>
<td>Средний</td>
<td>Все</td>
<td>7.0</td>
<td>29 августа 2016 г.</td>
</tr>
</table>
<h2 id="2016-12-05-details">Описание уязвимостей (обновление системы безопасности 2016-12-05)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех <a href="#2016-12-05-summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="eop-in-kernel-memory-subsystem">Повышение привилегий через подсистему памяти ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-4794</td>
<td>A-31596597<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=6710e594f71ccaad8101bc64321152af7cd9ea28">Upstream kernel</a>
[<a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=4f996e234dad488e5d9ba0858bc1bae12eff82c3">2</a>]</td>
<td>Критический</td>
<td>Pixel C, Pixel, Pixel XL</td>
<td>17 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-5195</td>
<td>A-32141528<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=9691eac5593ff1e2f82391ad327f21d90322aec1">Upstream kernel</a>
[<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=e45a502bdeae5a075257c4f061d1ff4ff0821354">2</a>]</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>12 октября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6775</td>
<td>A-31222873*<br>N-CVE-2016-6775</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>25 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6776</td>
<td>A-31680980*<br>N-CVE-2016-6776</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>22 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6777</td>
<td>A-31910462*<br>N-CVE-2016-6777</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>3 октября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-kernel">Повышение привилегий через ядро</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8966</td>
<td>A-31435731<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=76cc404bfdc0d419c720de4daaf2584542734f42">
Upstream kernel</a></td>
<td>Критический</td>
<td>Нет*</td>
<td>10 сентября 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-nvidia-video-driver">Повышение привилегий через видеодрайвер NVIDIA</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6915</td>
<td>A-31471161*
<br>N-CVE-2016-6915</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6916</td>
<td>A-32072350*
<br>N-CVE-2016-6916</td>
<td>Критический</td>
<td>Nexus 9, Pixel C</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6917</td>
<td>A-32072253*
<br>N-CVE-2016-6917</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>13 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-kernel-ion-driver">Повышение привилегий через драйвер ION ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-9120</td>
<td>A-31568617<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=9590232bb4f4cc824f3425a6e1349afbe6d6d2b7">
Upstream kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player</td>
<td>16 сентября 2016 г.</td>
</tr>
</table>
<h3>Уязвимости в компонентах Qualcomm</h3>
<p>
Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетене по безопасности Qualcomm AMSS за ноябрь 2015 года.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности*</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8411</td>
<td>A-31805216**</td>
<td>Критический</td>
<td>Nexus 6, Nexus 6P, Android One</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
</table>
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
<p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-kernel-file-system">Повышение привилегий через файловую систему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-4014</td>
<td>A-31252187<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=23adbe12ef7d3d4195e80800ab36b37bee28cd03">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 6, Nexus Player</td>
<td>10 июня 2014 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-2">Повышение привилегий через ядро</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует эксплуатации другой уязвимости.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8967</td>
<td>A-31703084<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=c623b33b4e9599c6ac5076f7db7369eb9869aa04">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL</td>
<td>8 января 2015 г.</td>
</tr>
</table>
<h3 id="eop-in-htc-sound-codec-driver">Повышение привилегий через аудиодрайвер кодеков HTC</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6778</td>
<td>A-31384646*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>25 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6779</td>
<td>A-31386004*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>25 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6780</td>
<td>A-31251496*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>30 августа 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-mediatek-driver">Повышение привилегий через драйвер MediaTek</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6492</td>
<td>A-28175122<br>MT-ALPS02696413</td>
<td>Высокий</td>
<td>Нет*</td>
<td>11 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6781</td>
<td>A-31095175<br>MT-ALPS02943455</td>
<td>Высокий</td>
<td>Нет*</td>
<td>22 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6782</td>
<td>A-31224389<br>MT-ALPS02943506</td>
<td>Высокий</td>
<td>Нет*</td>
<td>24 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6783</td>
<td>A-31350044<br>MT-ALPS02943437</td>
<td>Высокий</td>
<td>Нет*</td>
<td>6 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6784</td>
<td>A-31350755<br>MT-ALPS02961424</td>
<td>Высокий</td>
<td>Нет*</td>
<td>6 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6785</td>
<td>A-31748056<br>MT-ALPS02961400</td>
<td>Высокий</td>
<td>Нет*</td>
<td>25 сентября 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-qualcomm-media-codecs">Повышение привилегий через медиакодеки Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6761</td>
<td>A-29421682*
<br>QC-CR#1055792</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL</td>
<td>16 июня 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6760</td>
<td>A-29617572*
<br>QC-CR#1055783</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL</td>
<td>23 июня 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6759</td>
<td>A-29982686*
<br>QC-CR#1055766</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL</td>
<td>4 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6758</td>
<td>A-30148882*
<br>QC-CR#1071731</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL</td>
<td>13 июля 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6755</td>
<td>A-30740545<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=b5df02edbcdf53dbbab77903d28162772edcf6e0">
QC-CR#1065916</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>3 августа 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-performance-subsystem">Повышение привилегий через подсистему производительности ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6786</td>
<td>A-30955111
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f63a8daa5812afef4f06c962351687e1ff9ccb2b">Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>18 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6787</td>
<td>A-31095224
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f63a8daa5812afef4f06c962351687e1ff9ccb2b">Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>22 августа 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-mediatek-i2c-driver">Повышение привилегий через драйвер I2C MediaTek</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6788</td>
<td>A-31224428<br>MT-ALPS02943467</td>
<td>Высокий</td>
<td>Нет*</td>
<td>24 августа 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-nvidia-libomx-library">Повышение привилегий через библиотеку libomx NVIDIA</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6789</td>
<td>A-31251973*
<br>N-CVE-2016-6789</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>29 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6790</td>
<td>A-31251628*
<br>N-CVE-2016-6790</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>28 августа 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-sound-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6791</td>
<td>A-31252384<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=62580295210b6c0bd809cde7088b45ebb65ace79">
QC-CR#1071809</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>31 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8391</td>
<td>A-31253255<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=62580295210b6c0bd809cde7088b45ebb65ace79">
QC-CR#1072166</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>31 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8392</td>
<td>A-31385862<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=62580295210b6c0bd809cde7088b45ebb65ace79">
QC-CR#1073136</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>8 сентября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-security-subsystem">Повышение привилегий через подсистему безопасности ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-7872</td>
<td>A-31253168<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f05819df10d7b09f6d1eb6f8534a8f68e5a4fe61">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL</td>
<td>31 августа 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8393</td>
<td>A-31911920*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td>
<td>8 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8394</td>
<td>A-31913197*</td>
<td>Высокий</td>
<td>Nexus 9, Android One</td>
<td>8 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9909</td>
<td>A-31676542<br>B-RB#26684</td>
<td>Высокий</td>
<td>Нет*</td>
<td>21 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2014-9910</td>
<td>A-31746399<br>B-RB#26710</td>
<td>Высокий</td>
<td>Нет*</td>
<td>26 сентября 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="id-in-mediatek-video-driver">Раскрытие информации через видеодрайвер MediaTek</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8396</td>
<td>A-31249105</td>
<td>Высокий</td>
<td>Нет*</td>
<td>26 августа 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="id-in-nvidia-video-driver">Раскрытие информации через видеодрайвер NVIDIA</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8397</td>
<td>A-31385953*<br>
N-CVE-2016-8397</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>8 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="dos-in-gps">Отказ в обслуживании в GPS</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5341</td>
<td>A-31470303*</td>
<td>Высокий</td>
<td>Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td>
<td>21 июня 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="dos-in-nvidia-camera-driver">Отказ в обслуживании в драйвере NVIDIA для камеры</h3>
<p>
Уязвимость позволяет злоумышленнику вызывать нарушения в работе системы. Возможно, для устранения проблемы потребуется переустановить ОС. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8395</td>
<td>A-31403040*
<br>N-CVE-2016-8395</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>9 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. Также уязвимый код недоступен из-за текущих настроек оптимизации компилятора.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8399</td>
<td>A-31349935*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>5 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-qualcomm-components">Раскрытие информации через компоненты Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6756</td>
<td>A-29464815<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=f91d28dcba304c9f3af35b5bebaa26233c8c13a5">QC-CR#1042068</a>
[<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=3a214ef870dc97437c7de79a1507dfe5079dce88">2</a>]</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>17 июня 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6757</td>
<td>A-30148242<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=cd99d3bbdb16899a425716e672485e0cdc283245">
QC-CR#1052821</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td>
<td>13 июля 2016 г.</td>
</tr>
</table>
<h3 id="id-in-nvidia-librm-library">Раскрытие информации через библиотеку librm NVIDIA</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8400</td>
<td>A-31251599*
<br>N-CVE-2016-8400</td>
<td>Средний</td>
<td>Pixel С</td>
<td>29 августа 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-kernel-components">Раскрытие информации через компоненты ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8401</td>
<td>A-31494725*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8402</td>
<td>A-31495231*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8403</td>
<td>A-31495348*</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8404</td>
<td>A-31496950*</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8405</td>
<td>A-31651010*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>21 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8406</td>
<td>A-31796940*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>27 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8407</td>
<td>A-31802656*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>28 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-nvidia-video-driver-2">Раскрытие информации через видеодрайвер NVIDIA</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8408</td>
<td>A-31496571*
<br>N-CVE-2016-8408</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-8409</td>
<td>A-31495687*
<br>N-CVE-2016-8409</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>13 сентября 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-qualcomm-sound-driver">Раскрытие информации через аудиодрайвер Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-8410</td>
<td>A-31498403<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?h=e2bbf665187a1f0a1248e4a088823cb182153ba9">
QC-CR#987010</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
<p>
В этом разделе мы отвечаем на вопросы, которые могут возникнуть
после прочтения бюллетеня.
</p>
<p>
<strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
</strong>
</p>
<p>
Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&amp;nexus_devices">Справочном центре</a>.
</p>
<ul>
<li>В исправлении от 1 декабря 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-12-01.</li>
<li>В исправлении от 5 декабря 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-12-05.</li>
</ul>
<p>
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:
</p>
<ul>
<li>[ro.build.version.security_patch]:[2016-12-01];</li>
<li>[ro.build.version.security_patch]:[2016-12-05].</li>
</ul>
<p>
<strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong>
</p>
<p>
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
</p>
<ul>
<li>На устройствах с установленным обновлением от 1 декабря 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li>
<li>На устройствах с установленным обновлением от 5 декабря 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
</ul>
<p>
Рекомендуем партнерам объединить все исправления проблем в одно обновление.
</p>
<p>
<strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong>
</p>
<p>
В каждой таблице разделов с описанием уязвимостей <a href="#2016-12-01-details">2016-12-01</a> и <a href="#2016-12-05-details">2016-12-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.
</p>
<ul>
<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&amp;nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li>
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li>
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em></li>
</ul>
<p>
<strong>4. На что указывают записи в столбце "Ссылки"?</strong>
</p>
<p>
В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>.
Каждая запись в нем может содержать префикс, указывающий на
источник ссылки, а именно:
</p>
<table>
<tr>
<th>Префикс</th>
<th>Значение</th>
</tr>
<tr>
<td>A-</td>
<td>Идентификатор ошибки Android</td>
</tr>
<tr>
<td>QC-</td>
<td>Ссылочный номер Qualcomm</td>
</tr>
<tr>
<td>M-</td>
<td>Ссылочный номер MediaTek</td>
</tr>
<tr>
<td>N-</td>
<td>Ссылочный номер NVIDIA</td>
</tr>
<tr>
<td>B-</td>
<td>Ссылочный номер Broadcom</td>
</tr>
</table>
<h2 id="revisions">Версии</h2>
<ul>
<li>5 декабря 2016 года. Бюллетень опубликован.</li>
<li>7 декабря 2016 года. Добавлены ссылки на AOSP и обновлена атрибуция уязвимостей для CVE-2016-6915, CVE-2016-6916 и CVE-2016-6917.</li>
</ul>
</body>
</html>
Reference in a new issue View git blame Copy permalink