fuquan/allwinner_a64
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
allwinner_a64/android/docs/source.android.com/ru/security/bulletin/2017-05-01.html
August 5425409085 upload android base code part8
2018-08-08 20:10:12 +08:00

2504 lines
No EOL
124 KiB
HTML
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<html devsite><head>
<title>Бюллетень по безопасности Android  май 2017 г.</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 1 мая 2017 г. | Обновлено 2 мая 2017 г.</em></p>
<p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 мая 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
<p>Мы сообщили партнерам об уязвимостях 3 апреля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).
В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<p>Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p>
<p>Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
<ul>
<li><strong>2017-05-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-05-01 и более ранние.</li>
<li><strong>2017-05-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-05-01 и 2017-05-05, а также более ранние.</li>
</ul>
</li>
<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 мая 2017 года.</li>
</ul>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li>Использование многих уязвимостей затрудняется в новых
версиях Android, поэтому мы рекомендуем всем пользователям
своевременно обновлять систему.</li>
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li>
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li>ADlab из Venustech: CVE-2017-0630</li>
<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-10287</li>
<li>Экулар Сюй (徐健) из Trend Micro: CVE-2017-0599, CVE-2017-0635</li>
<li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0601</li>
<li>Итан Йонкер из <a href="https://twrp.me/">Team Win Recovery Project</a>: CVE-2017-0493</li>
<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296</li>
<li>godzheng (郑文选 <a href="https://twitter.com/virtualseekers">@VirtualSeekers</a>) из Tencent PC Manager: CVE-2017-0602</li>
<li><a href="https://www.linkedin.com/in/g%C3%BCliz-seray-tuncay-952a1b9/">Гюлиз Серай Тунджай</a> из <a href="http://tuncay2.web.engr.illinois.edu">Иллинойсского университета в Урбане-Шампейне</a>: CVE-2017-0593</li>
<li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283</li>
<li>Цзюйху Не, Ян Чэн, Нань Ли и Циу Хуан из Xiaomi Inc: CVE-2016-10276</li>
<li><a href="https://github.com/michalbednarski">Михал Беднарский</a>: CVE-2017-0598</li>
<li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla's Product Security Team: CVE-2017-0331, CVE-2017-0606</li>
<li><a href="mailto:jiych.guru@gmail.com">Niky1235</a> (<a href="https://twitter.com/jiych_guru">@jiych_guru</a>): CVE-2017-0603</li>
<li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280</li>
<li>Рои Хэй (<a href="https://twitter.com/roeehay">@roeehay</a>) из <a href="https://alephsecurity.com/">Aleph Research</a>: CVE-2016-10277</li>
<li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-10274</li>
<li><a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-10291</li>
<li>Василий Васильев: CVE-2017-0589</li>
<li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600</li>
<li>Силин Гун из отдела безопасности платформы Tencent: CVE-2017-0597</li>
<li>Синюань Линь из 360 Marvel Team: CVE-2017-0627</li>
<li>Юн Ван (王勇) (<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>) из Alibaba Inc: CVE-2017-0588</li>
<li>Юнган Го (<a href="https://twitter.com/guoygang">@guoygang</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465</li>
<li>Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615</li>
<li>Юй Пань и Пэйдэ Чжан из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625</li>
</ul>
<h2 id="2017-05-01-details">Описание уязвимостей (обновление системы безопасности 2017-05-01)</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-05-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="rce-in-mediaserver">Удаленное выполнение кода через mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0587</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/a86eb798d077b9b25c8f8c77e3c02c2f287c1ce7">A-35219737</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>4 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0588</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6f1d990ce0f116a205f467d9eb2082795e33872b">A-34618607</a></td>
<td>Критический</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>21 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0589</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/bcfc7124f6ef9f1ec128fb2e90de774a5b33d199">A-34897036</a></td>
<td>Критический</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>1 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0590</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/45c97f878bee15cd97262fe7f57ecea71990fed7">A-35039946</a></td>
<td>Критический</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>6 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0591</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/5c3fd5d93a268abb20ff22f26009535b40db3c7d">A-34097672</a></td>
<td>Критический</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2017-0592</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/acc192347665943ca674acf117e4f74a88436922">A-34970788</a></td>
<td>Критический</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать специальные разрешения. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0593</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/78efbc95412b8efa9a44d573f5767ae927927d48">A-34114230</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>5 января 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediaserver">Повышение привилегий через mediaserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0594</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/594bf934384920618d2b6ce0bcda1f60144cb3eb">A-34617444</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>22 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0595</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34705519</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>24 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0596</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34749392</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
<td>24 января 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0597</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/a9188f89179a7edd301abaf37d644adf5d647a04">A-34749571</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>25 января 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-framework-apis">Раскрытие информации через Framework API</h3>
<p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0598</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/4e110ab20bb91e945a17c6e166e14e2da9608f08">A-34128677</a>
[<a href="https://android.googlesource.com/platform/frameworks/base/+/d42e1204d5dddb78ec9d20d125951b59a8344f40">2</a>]</td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>6 января 2017 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0599</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/a1424724a00d62ac5efa0e27953eed66850d662f">A-34672748</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>23 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0600</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/961e5ac5788b52304e64b9a509781beaf5201fb0">A-35269635</a></td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>10 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-bluetooth">Повышение привилегий через Bluetooth</h3>
<p>Уязвимость потенциально позволяет локальному вредоносному ПО принять вредоносные файлы через Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем. </p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0601</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/667d2cbe3eb1450f273a4f6595ccef35e1f0fe4b">A-35258579</a></td>
<td>Средний</td>
<td>Все</td>
<td>7.0, 7.1.1, 7.1.2</td>
<td>9 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-file-based-encryption">Раскрытие информации через шифрование файлов</h3>
<p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту ОС для заблокированного экрана. Из-за этого проблеме присвоен средний уровень серьезности.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0493</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/e4cefbf4fce458489b5f1bebc79dfaf566bcc5d5">A-32793550</a>
[<a href="https://android.googlesource.com/platform/frameworks/base/+/f806d65e615b942c268a5f68d44bde9d55634972">2</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>7.0, 7.1.1</td>
<td>9 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-bluetooth">Раскрытие информации через Bluetooth</h3>
<p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Из-за особенностей проблемы ей присвоен средний уровень серьезности.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0602</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/a4875a49404c544134df37022ae587a4a3321647">A-34946955</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>5 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-openssl-&-boringssl">Раскрытие информации через OpenSSL и BoringSSL</h3>
<p>Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации. Из-за особенностей проблемы ей присвоен средний уровень серьезности.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-7056</td>
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/13179a8e75fee98740b5ce728752aa7294b3e32d">A-33752052</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>19 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver-2">Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0603</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/36b04932bb93cc3269279282686b439a17a89920">A-35763994</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>23 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver-3">Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Из-за особенностей проблемы ей присвоен низкий уровень серьезности.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0635</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/523f6b49c1a2289161f40cf9fe80b92e592e9441">A-35467107</a></td>
<td>Низкий</td>
<td>Все</td>
<td>7.0, 7.1.1, 7.1.2</td>
<td>16 февраля 2017 г.</td>
</tr>
</tbody></table>
<h2 id="2017-05-05-details">Описание уязвимостей (обновление системы безопасности 2017-05-05)</h2>
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-05-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="rce-in-giflib">Удаленное выполнение кода через GIFLIB</h3>
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-7555</td>
<td><a href="https://android.googlesource.com/platform/external/giflib/+/dc07290edccc2c3fc4062da835306f809cea1fdc">A-34697653</a></td>
<td>Критический</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
<td>13 апреля 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediatek-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10274</td>
<td>A-30202412*<br />
M-ALPS02897901</td>
<td>Критический</td>
<td>Нет**</td>
<td>16 июля 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-bootloader">Повышение привилегий через загрузчик Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10275</td>
<td>A-34514954<br />
<a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=1a0a15c380e11fc46f8d8706ea5ae22b752bdd0b">
QC-CR#1009111</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One</td>
<td>13 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-10276</td>
<td>A-32952839<br />
<a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=5dac431748027e8b50a5c4079967def4ea53ad64">
QC-CR#1094105</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>16 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-sound-subsystem">Повышение привилегий через звуковую подсистему ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-9794</td>
<td>A-34068036<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=a27178e05b7c332522df40904f27674e36ee3757">
Upstream kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td>
<td>3 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-motorola-bootloader">Повышение привилегий через загрузчик Motorola</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10277</td>
<td>A-33840490*<br />
</td>
<td>Критический</td>
<td>Nexus 6</td>
<td>21 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-nvidia-video-driver">Повышение привилегий через видеодрайвер NVIDIA</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0331</td>
<td>A-34113000*<br />
N-CVE-2017-0331</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>4 января 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-qualcomm-power-driver">Повышение привилегий через драйвер питания Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0604</td>
<td>A-35392981<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6975e2dd5f37de965093ba3a8a08635a77a960f7">
QC-CR#826589</a></td>
<td>Критический</td>
<td>Нет*</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-kernel-trace-subsystem">Повышение привилегий через подсистему трассировки ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0605</td>
<td>A-35399704<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=2161ae9a70b12cf18ac8e5952a20161ffbccb477">
QC-CR#1048480</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3>
<p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 года.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10240</td>
<td>A-32578446**<br />
QC-CR#955710</td>
<td>Критический</td>
<td>Nexus 6P</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-10241</td>
<td>A-35436149**<br />
QC-CR#1068577</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-10278</td>
<td>A-31624008**<br />
QC-CR#1043004</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-10279</td>
<td>A-31624421**<br />
QC-CR#1031821</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
</tbody></table>
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
<p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="rce-in-libxml2">Удаленное выполнение кода через libxml2</h3>
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5131</td>
<td>A-32956747*</td>
<td>Высокий</td>
<td>Нет**</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>23 июля 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-mediatek-thermal-driver">Повышение привилегий через драйвер температурного датчика MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10280</td>
<td>A-28175767*<br />
M-ALPS02696445</td>
<td>Высокий</td>
<td>Нет**</td>
<td>11 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-10281</td>
<td>A-28175647*<br />
M-ALPS02696475</td>
<td>Высокий</td>
<td>Нет**</td>
<td>11 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-10282</td>
<td>A-33939045*<br />
M-ALPS03149189</td>
<td>Высокий</td>
<td>Нет**</td>
<td>27 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10283</td>
<td>A-32094986<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=93863644b4547324309613361d70ad9dc91f8dfd">
QC-CR#2002052</a></td>
<td>Высокий</td>
<td>Nexus 5X, Pixel, Pixel XL, Android One</td>
<td>11 октября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-video-driver">Повышение привилегий через видеодрайвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10284</td>
<td>A-32402303*<br />
QC-CR#2000664</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>24 октября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-10285</td>
<td>A-33752702<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=67dfd3a65336e0b3f55ee83d6312321dc5f2a6f9">
QC-CR#1104899</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>19 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-10286</td>
<td>A-35400904<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=5d30a3d0dc04916ddfb972bfc52f8e636642f999">
QC-CR#1090237</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="eop-in-kernel-performance-subsystem">Повышение привилегий через подсистему производительности ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-9004</td>
<td>A-34515362<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=c3c87e770458aa004bd7ed3f29945ff436fd6511">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td>
<td>23 ноября 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-sound-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10287</td>
<td>A-33784446<br />
<a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=937bc9e644180e258c68662095861803f7ba4ded">
QC-CR#1112751</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>20 декабря 2016 г.</td>
</tr>
<tr>
<td>CVE-2017-0606</td>
<td>A-34088848<br />
<a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=d3237316314c3d6f75a58192971f66e3822cd250">
QC-CR#1116015</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>3 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2016-5860</td>
<td>A-34623424<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=9f91ae0d7203714fc39ae78e1f1c4fd71ed40498">
QC-CR#1100682</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>22 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2016-5867</td>
<td>A-35400602<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=065360da7147003aed8f59782b7652d565f56be5">
QC-CR#1095947</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0607</td>
<td>A-35400551<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b003c8d5407773d3aa28a48c9841e4c124da453d">
QC-CR#1085928</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0608</td>
<td>A-35400458<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b66f442dd97c781e873e8f7b248e197f86fd2980">
QC-CR#1098363</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0609</td>
<td>A-35399801<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=38a83df036084c00e8c5a4599c8ee7880b4ee567">
QC-CR#1090482</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2016-5859</td>
<td>A-35399758<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=97fdb441a9fb330a76245e473bc1a2155c809ebe">
QC-CR#1096672</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0610</td>
<td>A-35399404<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=65009746a6e649779f73d665934561ea983892fe">
QC-CR#1094852</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0611</td>
<td>A-35393841<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=1aa5df9246557a98181f03e98530ffd509b954c8">
QC-CR#1084210</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2016-5853</td>
<td>A-35392629<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a8f3b894de319718aecfc2ce9c691514696805be">
QC-CR#1102987</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-led-driver">Повышение привилегий через LED-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10288</td>
<td>A-33863909<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=db2cdc95204bc404f03613d5dd7002251fb33660">
QC-CR#1109763</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>23 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-crypto-driver">Повышение привилегий через драйвер шифрования Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10289</td>
<td>A-33899710<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a604e6f3889ccc343857532b63dea27603381816">
QC-CR#1116295</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>24 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-shared-memory-driver">Повышение привилегий через драйвер разделения памяти Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10290</td>
<td>A-33898330<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49">
QC-CR#1109782</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>24 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-slimbus-driver">Повышение привилегий через Slimbus-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10291</td>
<td>A-34030871<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a225074c0494ca8125ca0ac2f9ebc8a2bd3612de">
QC-CR#986837</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td>
<td>31 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-adsprpc-driver">Повышение привилегий через ADSPRPC-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0465</td>
<td>A-34112914<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=3823f0f8d0bbbbd675a42a54691f4051b3c7e544">
QC-CR#1110747</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>5 января 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-secure-execution-environment-communicator-driver">Повышение привилегий через драйвер Qualcomm для QSEE Communicator</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0612</td>
<td>A-34389303<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=05efafc998dc86c3b75af9803ca71255ddd7a8eb">
QC-CR#1061845</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>10 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0613</td>
<td>A-35400457<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b108c651cae9913da1ab163cb4e5f7f2db87b747">
QC-CR#1086140</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0614</td>
<td>A-35399405<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=fc2ae27eb9721a0ce050c2062734fec545cda604">
QC-CR#1080290</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediatek-power-driver">Повышение привилегий через драйвер питания MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0615</td>
<td>A-34259126*<br />
M-ALPS03150278</td>
<td>Высокий</td>
<td>Нет**</td>
<td>12 января 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-mediatek-system-management-interrupt-driver">Повышение привилегий через драйвер прерывания системного управления MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0616</td>
<td>A-34470286*<br />
M-ALPS03149160</td>
<td>Высокий</td>
<td>Нет**</td>
<td>19 января 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-mediatek-video-driver">Повышение привилегий через видеодрайвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0617</td>
<td>A-34471002*<br />
M-ALPS03149173</td>
<td>Высокий</td>
<td>Нет**</td>
<td>19 января 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-mediatek-command-queue-driver">Повышение привилегий через драйвер очереди команд MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0618</td>
<td>A-35100728*<br />
M-ALPS03161536</td>
<td>Высокий</td>
<td>Нет**</td>
<td>7 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="eop-in-qualcomm-pin-controller-driver">Повышение привилегий через драйвер контроллера контактов Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0619</td>
<td>A-35401152<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.14/commit/?id=72f67b29a9c5e6e8d3c34751600c749c5f5e13e1">
QC-CR#826566</a></td>
<td>Высокий</td>
<td>Nexus 6, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-secure-channel-manager-driver">Повышение привилегий через драйвер управления защищенным каналом Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0620</td>
<td>A-35401052<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=01b2c9a5d728ff6f2f1f28a5d4e927aaeabf56ed">
QC-CR#1081711</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-sound-codec-driver">Повышение привилегий через аудиодрайвер кодеков Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5862</td>
<td>A-35399803<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=4199451e83729a3add781eeafaee32994ff65b04">
QC-CR#1099607</a></td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-voltage-regulator-driver">Повышение привилегий через драйвер регулятора напряжения ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9940</td>
<td>A-35399757<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=60a2362f769cf549dc466134efe71c8bf9fbaaba">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0621</td>
<td>A-35399703<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=9656e2c2b3523af20502bf1e933e35a397f5e82f">
QC-CR#831322</a></td>
<td>Высокий</td>
<td>Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-networking-driver">Повышение привилегий через сетевой драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5868</td>
<td>A-35392791<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=fbb765a3f813f5cc85ddab21487fd65f24bf6a8c">
QC-CR#1104431</a></td>
<td>Высокий</td>
<td>Nexus 5X, Pixel, Pixel XL</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-7184</td>
<td>A-36565222<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=677e806da4d916052585301785d847c3b3e6186a">
Upstream kernel</a> <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f843ee6dd019bcece3e74e76ad9df0155655d0df">
[2]</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One</td>
<td>23 марта 2017 г.</td>
</tr>
</tbody></table>
<h3 id="eop-in-goodix-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Goodix</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0622</td>
<td>A-32749036<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=40efa25345003a96db34effbd23ed39530b3ac10">
QC-CR#1098602</a></td>
<td>Высокий</td>
<td>Android One</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<h3 id="eop-in-htc-bootloader">Повышение привилегий через загрузчик HTC</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0623</td>
<td>A-32512358*<br />
</td>
<td>Высокий</td>
<td>Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0624</td>
<td>A-34327795*<br />
QC-CR#2005832</td>
<td>Высокий</td>
<td>Nexus 5X, Pixel, Pixel XL</td>
<td>16 января 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-mediatek-command-queue-driver">Раскрытие информации через драйвер очереди команд MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0625</td>
<td>A-35142799*<br />
M-ALPS03161531</td>
<td>Высокий</td>
<td>Нет**</td>
<td>8 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="id-in-qualcomm-crypto-engine-driver">Раскрытие информации через драйвер Qualcomm для шифрования</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0626</td>
<td>A-35393124<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=64551bccab9b5b933757f6256b58f9ca0544f004">
QC-CR#1088050</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="dos-in-qualcomm-wi-fi-driver">Отказ в обслуживании в Wi-Fi-драйвере Qualcomm</h3>
<p>Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10292</td>
<td>A-34514463*<br />
QC-CR#1065466</td>
<td>Высокий</td>
<td>Nexus 5X, Pixel, Pixel XL</td>
<td>16 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-kernel-uvc-driver">Раскрытие информации через UVC-драйвер ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0627</td>
<td>A-33300353*<br />
</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>2 декабря 2016 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10293</td>
<td>A-33352393<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=2469d5374745a2228f774adbca6fb95a79b9047f">
QC-CR#1101943</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Android One</td>
<td>4 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-power-driver-(device-specific)">Раскрытие информации через драйвер питания Qualcomm (уязвимость устройства)</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10294</td>
<td>A-33621829<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9e9bc51ffb8a298f0be5befe346762cdb6e1d49c">
QC-CR#1105481</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>14 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-led-driver">Раскрытие информации через LED-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10295</td>
<td>A-33781694<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=f11ae3df500bc2a093ddffee6ea40da859de0fa9">
QC-CR#1109326</a></td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>20 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-shared-memory-driver">Раскрытие информации через драйвер разделения памяти Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-10296</td>
<td>A-33845464<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49">
QC-CR#1109782</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>22 декабря 2016 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-camera-driver">Раскрытие информации через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0628</td>
<td>A-34230377<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f">
QC-CR#1086833</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Pixel, Pixel XL</td>
<td>10 января 2017 г.</td>
</tr>
<tr>
<td>CVE-2017-0629</td>
<td>A-35214296<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f">
QC-CR#1086833</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Pixel, Pixel XL</td>
<td>8 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-kernel-trace-subsystem">Раскрытие информации через подсистему трассировки ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0630</td>
<td>A-34277115*<br />
</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td>
<td>11 января 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-qualcomm-sound-codec-driver">Раскрытие информации через аудиодрайвер кодеков Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5858</td>
<td>A-35400153<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=3154eb1d263b9c3eab2c9fa8ebe498390bf5d711">
QC-CR#1096799</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=afc5bea71bc8f251dad1104568383019f4923af6">
[2]</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-camera-driver-2">Раскрытие информации через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0631</td>
<td>A-35399756<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=8236d6ebc7e26361ca7078cbeba01509f10941d8">
QC-CR#1093232</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-sound-driver">Раскрытие информации через аудиодрайвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5347</td>
<td>A-35394329<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=f14390f13e62460fc6b05fc0acde0e825374fdb6">
QC-CR#1100878</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-spcom-driver">Раскрытие информации через SPCom-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5854</td>
<td>A-35392792<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=28d23d4d7999f683b27b6e0c489635265b67a4c9">
QC-CR#1092683</a></td>
<td>Средний</td>
<td>Нет*</td>
<td>15 февраля 2017 г.</td>
</tr>
<tr>
<td>CVE-2016-5855</td>
<td>A-35393081<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a5edb54e93ba85719091fe2bc426d75fa7059834">
QC-CR#1094143</a></td>
<td>Средний</td>
<td>Нет*</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h3 id="id-in-qualcomm-sound-codec-driver-2">Раскрытие информации через аудиодрайвер кодеков Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0632</td>
<td>A-35392586<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=970d6933e53c1f7ca8c8b67f49147b18505c3b8f">
QC-CR#832915</a></td>
<td>Средний</td>
<td>Android One</td>
<td>15 февраля 2017 г.</td>
</tr>
</tbody></table>
<h3 id="id-in-broadcom-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Broadcom</h3>
<p>Уязвимость позволяет локальному вредоносному компоненту получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0633</td>
<td>A-36000515*<br />
B-RB#117131</td>
<td>Средний</td>
<td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td>
<td>23 февраля 2017 г.</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="id-in-synaptics-touchscreen-driver">Раскрытие информации через драйвер сенсорного экрана Synaptics</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2017-0634</td>
<td>A-32511682*<br />
</td>
<td>Средний</td>
<td>Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</tbody></table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="vulnerabilities-in-qualcomm-components-2">Уязвимости в компонентах Qualcomm</h3>
<p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 20142016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности.</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9923</td>
<td>A-35434045**<br />
QC-CR#403910</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9924</td>
<td>A-35434631**<br />
QC-CR#596102</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9925</td>
<td>A-35444657**<br />
QC-CR#638130</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9926</td>
<td>A-35433784**<br />
QC-CR#631527</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9927</td>
<td>A-35433785**<br />
QC-CR#661111</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9928</td>
<td>A-35438623**<br />
QC-CR#696972</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9929</td>
<td>A-35443954**<br />
QC-CR#644783</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9930</td>
<td>A-35432946**<br />
QC-CR#634637</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2015-9005</td>
<td>A-36393500**<br />
QC-CR#741548</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2015-9006</td>
<td>A-36393450**<br />
QC-CR#750559</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2015-9007</td>
<td>A-36393700**<br />
QC-CR#807173</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-10297</td>
<td>A-36393451**<br />
QC-CR#1061123</td>
<td>Критический</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9941</td>
<td>A-36385125**<br />
QC-CR#509915</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9942</td>
<td>A-36385319**<br />
QC-CR#533283</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9943</td>
<td>A-36385219**<br />
QC-CR#546527</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9944</td>
<td>A-36384534**<br />
QC-CR#613175</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9945</td>
<td>A-36386912**<br />
QC-CR#623452</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9946</td>
<td>A-36385281**<br />
QC-CR#520149</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9947</td>
<td>A-36392400**<br />
QC-CR#650540</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9948</td>
<td>A-36385126**<br />
QC-CR#650500</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9949</td>
<td>A-36390608**<br />
QC-CR#652426</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9950</td>
<td>A-36385321**<br />
QC-CR#655530</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9951</td>
<td>A-36389161**<br />
QC-CR#525043</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2014-9952</td>
<td>A-36387019**<br />
QC-CR#674836</td>
<td>Высокий</td>
<td>Нет***</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
</tbody></table>
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
<p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p>
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть
после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
</strong></p>
<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
<ul>
<li>В исправлении от 1 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-01.</li>
<li>В исправлении от 5 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-05.
</li>
</ul>
<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p>
<ul>
<li>[ro.build.version.security_patch]:[2017-05-01];</li>
<li>[ro.build.version.security_patch]:[2017-05-05].</li>
</ul>
<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p>
<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p>
<ul>
<li>На устройствах с установленным обновлением от 1 мая 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li>
<li>На устройствах с установленным обновлением от 5 мая 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
</ul>
<p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p>
<p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p>
<p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-05-01-details">2017-05-01</a> и <a href="#2017-05-05-details">2017-05-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p>
<ul>
<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li>
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li>
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li>
</ul>
<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p>
<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p>
<table>
<tbody><tr>
<th>Префикс</th>
<th>Значение</th>
</tr>
<tr>
<td>A-</td>
<td>Идентификатор ошибки Android</td>
</tr>
<tr>
<td>QC-</td>
<td>Ссылочный номер Qualcomm</td>
</tr>
<tr>
<td>M-</td>
<td>Ссылочный номер MediaTek</td>
</tr>
<tr>
<td>N-</td>
<td>Ссылочный номер NVIDIA</td>
</tr>
<tr>
<td>B-</td>
<td>Ссылочный номер Broadcom</td>
</tr>
</tbody></table>
<h2 id="revisions">Версии</h2>
<ul>
<li>1 мая 2017 года. Бюллетень опубликован.</li>
<li>2 мая 2017 года. Добавлены ссылки на AOSP.</li>
</ul>
</body></html>
Reference in a new issue View git blame Copy permalink