fuquan/allwinner_a64
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
allwinner_a64/android/docs/source.android.com/ru/security/bulletin/2016-05-01.html
August 5425409085 upload android base code part8
2018-08-08 20:10:12 +08:00

1367 lines
63 KiB
HTML
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<html devsite>
<head>
<title>Бюллетень по безопасности Android  май 2016 г.</title>
<meta name="project_path" value="/_project.yaml" />
<meta name="book_path" value="/_book.yaml" />
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 2 мая 2016 г. | Обновлено 4 мая 2016 г.</em></p>
<p>В этом бюллетене содержится информация об уязвимостях в защите
устройств Android. К его выходу мы выпустили автоматическое обновление
системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus
на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>.
Перечисленные проблемы устранены в исправлении
от 1 мая 2016 года или более новом. О том, как узнать дату последнего
обновления системы безопасности, рассказывается в <a href="https://support.google.com/nexus/answer/4457705">документации Nexus</a>.</p>
<p>Мы сообщили партнерам об уязвимостях 4 апреля 2016 года или ранее.
Исправления проблем загружены в хранилище Android Open Source Project (AOSP).</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет
удаленно выполнять код на пораженном устройстве (например, при работе
с электронной почтой, просмотре сайтов в Интернете или обработке
медиафайлов MMS).</p>
<p>Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a>
рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов,
например SafetyNet, помогают снизить вероятность атак на Android.</p>
<p>Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li> Мы переименовали Бюллетень по безопасности Nexus в Бюллетень
по безопасности Android. Теперь он содержит информацию об
уязвимостях, которые встречаются на всех устройствах Android,
а не только на устройствах Nexus.</li>
<li> На основании данных, собранных за последние 6 месяцев, мы обновили
<a href="/security/overview/updates-resources.html#severity">уровни серьезности</a> уязвимостей.
Теперь они лучше отражают реальный
риск для безопасности пользователей.</li>
</ul>
<h2 id="security_vulnerability_summary">Перечень уязвимостей</h2>
<p>В таблице ниже перечислены уязвимости, их идентификаторы (CVE)
и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus.
<a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству
при атаке с использованием уязвимости, если средства защиты будут отключены
разработчиком или взломаны.</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Nexus?</th>
</tr>
<tr>
<td>Удаленное выполнение кода через mediaserver</td>
<td>CVE-2016-2428<br>
CVE-2016-2429</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Debuggerd</td>
<td>CVE-2016-2430</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через TrustZone процессора Qualcomm </td>
<td>CVE-2016-2431<br>
CVE-2016-2432</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm</td>
<td>CVE-2015-0569<br>
CVE-2015-0570</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через видеодрайвер NVIDIA </td>
<td>CVE-2016-2434<br>
CVE-2016-2435<br>
CVE-2016-2436<br>
CVE-2016-2437</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через ядро</td>
<td>CVE-2015-1805</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Удаленное выполнение кода через ядро</td>
<td>CVE-2016-2438</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через контроллер точек доступа Qualcomm</td>
<td>CVE-2016-2060</td>
<td>Высокий</td>
<td>Нет</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Bluetooth</td>
<td>CVE-2016-2439</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Binder</td>
<td>CVE-2016-2440</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Buspm-драйвер Qualcomm</td>
<td>CVE-2016-2441<br>
CVE-2016-2442</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через MDP-драйвер Qualcomm</td>
<td>CVE-2016-2443</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm</td>
<td>CVE-2015-0571</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через видеодрайвер NVIDIA</td>
<td>CVE-2016-2444<br>
CVE-2016-2445<br>
CVE-2016-2446</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi</td>
<td>CVE-2016-4477</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через mediaserver</td>
<td>CVE-2016-2448<br>
CVE-2016-2449<br>
CVE-2016-2450<br>
CVE-2016-2451<br>
CVE-2016-2452</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер MediaTek</td>
<td>CVE-2016-2453</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в аппаратном кодеке Qualcomm</td>
<td>CVE-2016-2454</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Conscrypt</td>
<td>CVE-2016-2461<br>
CVE-2016-2462</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через OpenSSL и BoringSSL</td>
<td>CVE-2016-0705</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер MediaTek</td>
<td>CVE-2016-2456</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi</td>
<td>CVE-2016-2457</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через почтовый клиент AOSP </td>
<td>CVE-2016-2458</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через mediaserver</td>
<td>CVE-2016-2459<br>
CVE-2016-2460</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в ядре</td>
<td>CVE-2016-0774</td>
<td>Низкий</td>
<td>Да</td>
</tr>
</table>
<h2 id="android_and_google_service_mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов,
например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li> Использование многих уязвимостей затрудняется в новых версиях Android,
поэтому мы рекомендуем всем пользователям своевременно обновлять
систему.</li>
<li> Команда, отвечающая за безопасность Android, активно отслеживает
злоупотребления с помощью <a href="/security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти
сервисы предупреждают пользователя об установке
<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена
по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>.
Она особенно важна, если пользователь устанавливает ПО из сторонних
источников. Хотя в Google Play инструменты для рутинга запрещены,
они могут встречаться в других магазинах. Если пользователь решает
установить такое приложение, Проверка предупреждает об этом.
Кроме того, она пытается идентифицировать известное вредоносное ПО,
использующее уязвимость для повышения привилегий, и блокировать
его установку. Если подобное ПО уже есть на устройстве, система
уведомит об этом пользователя и попытается удалить приложение.</li>
<li> Приложения Google Hangouts и Messenger не передают медиафайлы таким
процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li> Абхишек Арья, Оливер Чен и Мартин Барбелла из команды
безопасности Google Chrome: CVE-2016-2454
<li> Энди Тайлер (<a href="https://twitter.com/ticarpi">@ticarpi</a>) из
<a href="https://www.e2e-assure.com">e2e-assure</a>: CVE-2016-2457
<li> Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и
Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-2441,
CVE-2016-2442
<li> Дмитрий Лукьяненко
(<a href="http://www.linkedin.com/in/dzima">www.linkedin.com/in/dzima</a>): CVE-2016-2458
<li> Гэл Бениамини: CVE-2016-2431
<li> Хао Чэнь из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
<li> Джейк Валлетта из Mandiant, дочерней компании FireEye: CVE-2016-2060
<li> Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)
и pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>) из IceSword Lab,
Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436,
CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
<li> Имре Рад из <a href="http://www.search-lab.hu">Search-Lab Ltd.</a>: CVE-2016-4477
<li> Джереми Джослин из Google: CVE-2016-2461
<li> Кенни Рут из Google: CVE-2016-2462
<li> Марко Грасси (<a href="https://twitter.com/marcograss">@marcograss</a>) из KeenLab
(<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-2443
<li> Михал Беднарский
(<a href="https://github.com/michalbednarski">https://github.com/michalbednarski</a>): CVE-2016-2440
<li> Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>),
Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь
Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-2450, CVE-2016-2448,
CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
<li> Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend Micro:
CVE-2016-2459, CVE-2016-2460
<li> Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.:
CVE-2016-2428, CVE-2016-2429
<li> <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>,
<a href="mailto:zlbzlb815@163.com">Лубо Чжан</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)
и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-2437
<li> Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-2439
<li> Зак Риггл (<a href="https://twitter.com/ebeip90">@ebeip90</a>) из команды
безопасности Android: CVE-2016-2430
</li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></ul>
<h2 id="security_vulnerability_details">Описание уязвимостей</h2>
<p>В этом разделе вы найдете подробную информацию обо всех <a href="#security_vulnerability_summary">перечисленных выше</a>
уязвимостях: описание, обоснование серьезности, а также таблицу с CVE, ссылкой
на ошибку, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP
(при наличии) и датой сообщения об ошибке.
Где возможно, мы приведем
основную ссылку на сообщение в AOSP, связанное с идентификатором ошибки,
и дополнительные ссылки в квадратных скобках.</p>
<h3 id="remote_code_execution_vulnerability_in_mediaserver">
Удаленное выполнение кода через mediaserver</h3>
<p>При обработке медиафайлов и данных в специально созданном файле
злоумышленник может нарушать целостность информации в памяти
и удаленно выполнять код как процесс mediaserver.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения
позволяют контенту, особенно MMS-сообщениям и воспроизводимым
в браузере медиафайлам, дистанционно обращаться к ней.</p>
<p>Уязвимости присвоен критический уровень серьезности из-за возможности
удаленного выполнения кода в контексте сервиса mediaserver. У него есть доступ
к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних
приложений.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2428</td>
<td><a href="https://android.googlesource.com/platform/external/aac/+/5d4405f601fa11a8955fd7611532c982420e4206">
26751339</a></td>
<td>Критический</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>22 января 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2429</td>
<td><a href="https://android.googlesource.com/platform/external/flac/+/b499389da21d89d32deff500376c5ee4f8f0b04c">
27211885</a></td>
<td>Критический</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>16 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_debuggerd">
Повышение привилегий через Debuggerd</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте отладчика Android. Ей присвоен критический уровень серьезности,
поскольку из-за нее нарушается работа системы безопасности. Возможно,
для устранения проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2430</td>
<td><a href="https://android.googlesource.com/platform/system/core/+/ad54cfed4516292654c997910839153264ae00a0">
27299236</a></td>
<td>Критический</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>22 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_trustzone">
Повышение привилегий через TrustZone процессора Qualcomm </h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте ядра TrustZone. Ей присвоен критический уровень серьезности,
поскольку из-за нее нарушается работа системы безопасности. Возможно,
для устранения проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2431</td>
<td>24968809*</td>
<td>Критический</td>
<td>Nexus 5, Nexus 6, Nexus 7 (2013), Android One</td>
<td>15 октября 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-2432</td>
<td>25913059*</td>
<td>Критический</td>
<td>Nexus 6, Android One</td>
<td>28 ноября 2015 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_wi-fi_driver">
Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО повышать привилегии
пользователя и выполнять произвольный код в контексте ядра. Ей присвоен
критический уровень серьезности, поскольку из-за нее нарушается работа
системы безопасности. Возможно, для устранения проблемы потребуется
переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-0569</td>
<td>26754117*</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 7 (2013)</td>
<td>23 января 2016 г.</td>
</tr>
<tr>
<td>CVE-2015-0570</td>
<td>26764809*</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 7 (2013)</td>
<td>25 января 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_nvidia_video_driver">
Повышение привилегий через видеодрайвер NVIDIA</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
из-за нее нарушается работа системы безопасности. Возможно,
для устранения проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2434</td>
<td>27251090*</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>17 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2435</td>
<td>27297988*</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>20 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2436</td>
<td>27299111*</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>22 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2437</td>
<td>27436822*</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>1 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_kernel">
Повышение привилегий через ядро</h3>
<p>Уязвимость позволяет локальному вредоносному ПО повышать привилегии
пользователя и выполнять произвольный код в контексте ядра. Ей присвоен
критический уровень серьезности, поскольку из-за нее нарушается работа
системы безопасности. Возможно, для устранения проблемы
потребуется переустановить ОС. Узнайте больше об этой уязвимости
в <a href="/security/advisory/2016-03-18.html">Примечании по безопасности Android</a> от 18 марта 2016 года.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-1805</td>
<td>27275324*</td>
<td>Критический</td>
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9</td>
<td>19 февраля 2016 г.</td>
</tr>
</table>
<p>*Исправление опубликовано в AOSP для следующих версий ядра:
<a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">3.14</a>
<a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">3.10</a>
<a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">3.4</a></p>
<h3 id="remote_code_execution_vulnerability_in_kernel">
Удаленное выполнение кода через ядро</h3>
<p>Уязвимость в подсистеме аудио позволяет локальному вредоносному ПО выполнять
произвольный код в контексте ядра. Как правило, таким ошибкам присваивают
критический уровень серьезности, но в этом случае уязвимость требует сначала
нарушить защиту привилегированного сервиса, вызывающего подсистему аудио,
поэтому уровень был снижен до высокого.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2438</td>
<td>26636060*</td>
<td>Высокий</td>
<td>Nexus 9 </td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>*Исправление опубликовано в <a href="https://github.com/torvalds/linux/commit/b5a663aa426f4884c71cd8580adae73f33570f0d">сообществе Linux</a>.</p>
<h3 id="information_disclosure_vulnerability_in_qualcomm_tethering_controller">
Раскрытие информации через контроллер точек доступа Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный
доступ к информации, используя которую можно установить личность пользователя.
Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью
можно получить разрешения, недоступные сторонним приложениям
(например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2060</td>
<td>27942588*</td>
<td>Высокий</td>
<td>Нет</td>
<td>23 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних драйверах для устройств, на которых присутствует уязвимость.</p>
<h3 id="remote_code_execution_vulnerability_in_bluetooth">
Удаленное выполнение кода через Bluetooth</h3>
<p>Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять
произвольный код во время подключения устройства Bluetooth. Из-за этого
проблеме присвоен высокий уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2439</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/9b534de2aca5d790c2a1c4d76b545f16137d95dd">
27411268</a></td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>28 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_binder">
Повышение привилегий через Binder</h3>
<p>Уязвимость позволяет вредоносному ПО выполнять произвольный код
в контексте процесса другого приложения (при очистке памяти). Из-за этого
проблеме присвоен высокий уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2440</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/a59b827869a2ea04022dd225007f29af8d61837a">
27252896</a></td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>18 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_buspm_driver">
Повышение привилегий через Buspm-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Как правило, таким ошибкам присваивают критический
уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту
сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2441</td>
<td>26354602*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P</td>
<td>30 декабря 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-2442</td>
<td>26494907*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P</td>
<td>30 декабря 2015 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_mdp_driver">
Повышение привилегий через MDP-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Как правило, таким ошибкам присваивают
критический уровень серьезности, но в этом случае уязвимость требует сначала
нарушить защиту сервиса, вызывающего драйвер, поэтому уровень был снижен
до высокого.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2443</td>
<td>26404525*</td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>5 января 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_qualcomm_wi-fi_driver">
Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
несанкционированные системные вызовы для изменения настроек и
работы устройства. Проблеме присвоен высокий уровень серьезности, поскольку
с ее помощью можно получить разрешения, недоступные сторонним приложениям
(например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-0571</td>
<td>26763920*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 7 (2013)</td>
<td>25 января 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_nvidia_video_driver">
Повышение привилегий через видеодрайвер NVIDIA</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Как правило, таким ошибкам присваивают критический
уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту
высокопривилегированного сервиса, вызывающего драйвер, поэтому уровень
был снижен до высокого.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2444</td>
<td>27208332*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>16 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2445</td>
<td>27253079*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>17 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2446</td>
<td>27441354*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>1 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_wi-fi">
Повышение привилегий через Wi-Fi</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте системного приложения с расширенным доступом. Ей присвоен высокий
уровень серьезности, поскольку с ее помощью можно получить разрешения,
недоступные сторонним приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<p><strong>Примечание.</strong> По запросу компании MITRE идентификатор уязвимости (CVE) был изменен с CVE-2016-2447 на CVE-2016-4477.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-4477</td>
<td><a href="https://android.googlesource.com/platform/external/wpa_supplicant_8/+/b79e09574e50e168dd5f19d540ae0b9a05bd1535">
27371366</a>
[<a href="https://android.googlesource.com/platform/external/wpa_supplicant_8/+/b845b81ec6d724bd359cdb77f515722dd4066cf8">2</a>]
</td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>24 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_mediaserver">
Повышение привилегий через mediaserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код в контексте системного приложения с расширенным
доступом. Проблеме присвоен высокий уровень серьезности, поскольку
с ее помощью можно получить разрешения, недоступные сторонним
приложениям (например, <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2448</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/a2d1d85726aa2a3126e9c331a8e00a8c319c9e2b">
27533704</a></td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>7 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2449</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/b04aee833c5cfb6b31b8558350feb14bb1a0f353">
27568958</a></td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>9 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2450</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/7fd96ebfc4c9da496c59d7c45e1f62be178e626d">
27569635</a></td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>9 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2451</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/f9ed2fe6d61259e779a37d4c2d7edb33a1c1f8ba">
27597103</a></td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>10 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2452</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/44749eb4f273f0eb681d0fa013e3beef754fa687">
27662364</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/65756b4082cd79a2d99b2ccb5b392291fd53703f">2</a>]
[<a href="https://android.googlesource.com/platform/frameworks/av/+/daa85dac2055b22dabbb3b4e537597e6ab73a866">3</a>]
</td>
<td>Высокий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>14 марта 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_mediatek_wi-fi_driver">
Повышение привилегий через Wi-Fi-драйвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Как правило, таким ошибкам присваивают критический
уровень серьезности, но в этом случае уязвимость требует сначала нарушить защиту
сервиса, вызывающего драйвер, поэтому уровень был снижен до высокого.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2453</td>
<td>27549705*</td>
<td>Высокий</td>
<td>Android One</td>
<td>8 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="remote_denial_of_service_vulnerability_in_qualcomm_hardware_codec">
Отказ в обслуживании в аппаратном кодеке Qualcomm</h3>
<p>При обработке медиафайлов и данных в специально созданном файле
злоумышленник может блокировать доступ к пораженному устройству,
выполняя его перезагрузку. Уязвимости присвоен высокий уровень серьезности,
поскольку она приводит к отказу в обслуживании.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2454</td>
<td>26221024*</td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>16 декабря 2015 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_conscrypt">
Повышение привилегий через Conscrypt</h3>
<p>Уязвимость позволяет подделывать аутентификацию сообщений для локального ПО.
Проблеме присвоен средний уровень серьезности, поскольку для ее использования
требуются скоординированные действия на нескольких устройствах.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2461</td>
<td><a href="https://android.googlesource.com/platform/external/conscrypt/+/50d0447566db4a77d78d592f1c1b5d31096fac8f">
27324690</a>
[<a href="https://android.googlesource.com/platform/external/conscrypt/+/1638945d4ed9403790962ec7abed1b7a232a9ff8">2</a>]
</td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-2462</td>
<td><a href="https://android.googlesource.com/platform/external/conscrypt/+/8bec47d2184fca7e8b7337d2a65b2b75a9bc8f54">
27371173</a></td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_openssl_&amp;_boringssl">
Повышение привилегий через OpenSSL и BoringSSL</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к данным.
Как правило, таким ошибкам присваивают
высокий уровень серьезности, но в этом случае для использования уязвимости
требуется редкая конфигурация, установленная вручную. Поэтому уровень был
снижен до среднего.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0705</td>
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/591be84e89682622957c8f103ca4be3a5ed0f800">
27449871</a></td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>7 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation_of_privilege_vulnerability_in_mediatek_wi-fi_driver">
Повышение привилегий через Wi-Fi-драйвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО вызвать отказ в обслуживании.
Как правило, таким ошибкам присваивают высокий уровень серьезности,
но в этом случае уязвимость требует сначала нарушить защиту системного сервиса,
поэтому уровень был снижен до среднего.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2456</td>
<td>27275187*</td>
<td>Средний</td>
<td>Android One</td>
<td>19 февраля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано в AOSP. Обновление содержится
в последних бинарных драйверах для устройств Nexus, которые
можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation_of_privilege_vulnerability_in_wi-fi">
Повышение привилегий через Wi-Fi</h3>
<p>Уязвимость позволяет гостевому аккаунту менять настройки Wi-Fi для основного
пользователя. Уязвимости присвоен средний уровень серьезности, поскольку
с ее помощью можно получить разрешения уровня <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">dangerous</a> (опасные).</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2457</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/12332e05f632794e18ea8c4ac52c98e82532e5db">
27411179</a></td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>29 февраля 2016 г.</td>
</tr>
</table>
<h3 id="information_disclosure_vulnerability_in_aosp_mail">
Раскрытие информации через почтовый клиент AOSP</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получить несанкционированный
доступ к конфиденциальным данным пользователя. Из-за этого проблеме присвоен
средний уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2458</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/UnifiedEmail/+/a55168330d9326ff2120285763c818733590266a">
27335139</a>
[<a href="https://android.googlesource.com/platform/packages/apps/Email/+/2791f0b33b610247ef87278862e66c6045f89693">2</a>]
</td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>23 февраля 2016 г.</td>
</tr>
</table>
<h3 id="information_disclosure_vulnerability_in_mediaserver">
Раскрытие информации через mediaserver</h3>
<p>Уязвимость позволяет ПО получить несанкционированный доступ
к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень
серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибки Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2459</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/a30d7d90c4f718e46fb41a99b3d52800e1011b73">
27556038</a></td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>7 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2460</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/a30d7d90c4f718e46fb41a99b3d52800e1011b73">
27555981</a></td>
<td>Средний</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>7 марта 2016 г.</td>
</tr>
</table>
<h3 id="denial_of_service_vulnerability_in_kernel">
Отказ в обслуживании в ядре</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку
устройства. Ей присвоен низкий уровень серьезности, поскольку она приводит
к временному отказу в обслуживании.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ошибка Android</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0774</td>
<td>27721803*</td>
<td>Низкий</td>
<td><a href="#nexus_devices">Все устройства</a></td>
<td>17 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление опубликовано в <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/fs/pipe.c?id=b381fbc509052d07ccf8641fd7560a25d46aaf1e">сообществе Linux</a>.</p>
<h2 id="common_questions_and_answers">Часто задаваемые вопросы</h2>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть
после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p>
<p>Перечисленные проблемы устранены в исправлении от 1 мая 2016 года
или более новом. О том, как узнать дату последнего обновления
системы безопасности, рассказывается в <a href="https://support.google.com/nexus/answer/4457705">документации Nexus</a>. Производители
устройств, позволяющие установить эти обновления, должны присвоить им
уровень [ro.build.version.security_patch]:[2016-05-01].</p>
<p id="nexus_devices"><strong>2. Как определить, на каких устройствах Nexus присутствует уязвимость?</strong></p>
<p>В каждой таблице из раздела <a href="security_vulnerability_details">Описание уязвимостей</a> есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.</p>
<ul>
<li> <strong>Все устройства.</strong> Проблема возникает на<em></em>
следующих
<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">поддерживаемых устройствах Nexus</a>: Nexus 5, Nexus 5X, Nexus 6,
Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и
Pixel C.
<li> <strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует
уязвимость.</li>
<li> <strong>Нет.</strong> Проблема не возникает ни на одном устройстве Nexus.<em></em></li>
</li></ul>
<p><strong>3. Почему в этот бюллетень добавлена информация об уязвимости CVE-2015-1805?</strong></p>
<p><a href="/security/advisory/2016-03-18.html">Примечание по безопасности Android</a> от 18 марта 2016 года было опубликовано незадолго до выхода апрельского <a href="2016-04-02.html">Бюллетеня по безопасности Nexus</a>. Из-за сжатых сроков производители устройств, использующие обновление системы безопасности от 1 апреля 2016 года, могли предоставить исправления для проблем из указанного бюллетеня, не устраняя уязвимость CVE-2015-1805. Информация о ней была снова включена в этот Бюллетень, поскольку проблему необходимо исправить для установки обновления системы безопасности от 1 мая 2016 года.</p>
<h2 id="revisions">Версии</h2>
<ul>
<li> 2 мая 2016 года. Бюллетень опубликован.</li>
<li> 4 мая 2016 года.
<ul>
<li> Добавлены ссылки на AOSP.
<li> Указано, присутствуют ли уязвимости на устройствах Nexus Player и Pixel C.
<li> По запросу компании MITRE идентификатор CVE-2016-2447 изменен на CVE-2016-4477.
</li></li></li></ul>
</li>
</ul>
</body>
</html>
Reference in a new issue View git blame Copy permalink