2636 lines
131 KiB
HTML
2636 lines
131 KiB
HTML
<html devsite>
|
||
<head>
|
||
<title>Бюллетень по безопасности Android – март 2017 г.</title>
|
||
<meta name="project_path" value="/_project.yaml" />
|
||
<meta name="book_path" value="/_book.yaml" />
|
||
</head>
|
||
<body>
|
||
<!--
|
||
Copyright 2017 The Android Open Source Project
|
||
|
||
Licensed under the Apache License, Version 2.0 (the "License");
|
||
you may not use this file except in compliance with the License.
|
||
You may obtain a copy of the License at
|
||
|
||
http://www.apache.org/licenses/LICENSE-2.0
|
||
|
||
Unless required by applicable law or agreed to in writing, software
|
||
distributed under the License is distributed on an "AS IS" BASIS,
|
||
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
|
||
See the License for the specific language governing permissions and
|
||
limitations under the License.
|
||
-->
|
||
|
||
<p><em>Опубликовано 6 марта 2017 г. | Обновлено 7 марта 2017 г.</em></p>
|
||
<p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 марта 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
|
||
<p>Мы сообщили партнерам об уязвимостях 6 февраля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP).
|
||
В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
|
||
<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).</p>
|
||
<p>Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p>
|
||
<p>Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.</p>
|
||
<h2 id="announcements">Объявления</h2>
|
||
<ul>
|
||
<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
|
||
<ul>
|
||
<li><strong>2017-03-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-03-01 и более ранние.</li>
|
||
<li><strong>2017-03-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-03-01 и 2017-03-05, а также более ранние.</li>
|
||
</ul>
|
||
</li>
|
||
<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 марта 2017 года.</li>
|
||
</ul>
|
||
<h2 id="security-vulnerability-summary">Перечень уязвимостей</h2>
|
||
<p>В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. <a href="{@docRoot}security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
|
||
<h3 id="2017-03-01-summary">Перечень уязвимостей (обновление системы безопасности 2017-03-01)</h3>
|
||
<p>Перечисленные проблемы должны быть устранены в исправлении от 1 марта 2017 года или более новом.</p>
|
||
<table>
|
||
<col width="55%">
|
||
<col width="20%">
|
||
<col width="13%">
|
||
<col width="12%">
|
||
<tr>
|
||
<th>Уязвимость</th>
|
||
<th>CVE</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Затрагивает устройства Google?</th>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через OpenSSL и BoringSSL</td>
|
||
<td>CVE-2016-2182</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через mediaserver</td>
|
||
<td>CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0474</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через верификатор восстановления</td>
|
||
<td>CVE-2017-0475</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через клиент для обмена сообщениями AOSP</td>
|
||
<td>CVE-2017-0476</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через libgdx</td>
|
||
<td>CVE-2017-0477</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Удаленное выполнение кода через библиотеку Framesequence</td>
|
||
<td>CVE-2017-0478</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через NFC</td>
|
||
<td>CVE-2017-0481</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через audioserver</td>
|
||
<td>CVE-2017-0479, CVE-2017-0480</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в mediaserver</td>
|
||
<td>CVE-2017-0482, CVE-2017-0483, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0488</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через диспетчер местоположения</td>
|
||
<td>CVE-2017-0489</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Wi-Fi</td>
|
||
<td>CVE-2017-0490</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через диспетчер пакетов</td>
|
||
<td>CVE-2017-0491</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через System UI</td>
|
||
<td>CVE-2017-0492</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через клиент для обмена сообщениями AOSP</td>
|
||
<td>CVE-2017-0494</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через mediaserver</td>
|
||
<td>CVE-2017-0495</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в мастере настройки</td>
|
||
<td>CVE-2017-0496</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в mediaserver</td>
|
||
<td>CVE-2017-0497</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в мастере настройки</td>
|
||
<td>CVE-2017-0498</td>
|
||
<td>Средний</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в audioserver</td>
|
||
<td>CVE-2017-0499</td>
|
||
<td>Низкий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
<h3 id="2017-03-05-summary">Перечень уязвимостей (обновление системы безопасности 2017-03-05)</h3>
|
||
<p>В исправлении от 5 марта 2017 года или более новом устранены все проблемы, упомянутые в обновлении 2017-03-01, а также уязвимости, перечисленные ниже.</p>
|
||
<table>
|
||
<col width="55%">
|
||
<col width="20%">
|
||
<col width="13%">
|
||
<col width="12%">
|
||
<tr>
|
||
<th>Уязвимость</th>
|
||
<th>CVE</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Затрагивает устройства Google?</th>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через компоненты MediaTek</td>
|
||
<td>CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0504, CVE-2017-0505, CVE-2017-0506</td>
|
||
<td>Критический</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер NVIDIA для графического процессора</td>
|
||
<td>CVE-2017-0337, CVE-2017-0338, CVE-2017-0333, CVE-2017-0306, CVE-2017-0335</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через подсистему ION ядра</td>
|
||
<td>CVE-2017-0507, CVE-2017-0508</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Wi-Fi-драйвер Broadcom</td>
|
||
<td>CVE-2017-0509</td>
|
||
<td>Критический</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через FIQ-отладчик ядра</td>
|
||
<td>CVE-2017-0510</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер Qualcomm для графического процессора</td>
|
||
<td>CVE-2016-8479</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через сетевую подсистему ядра</td>
|
||
<td>CVE-2016-9806, CVE-2016-10200</td>
|
||
<td>Критический</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Уязвимости в компонентах Qualcomm</td>
|
||
<td>CVE-2016-8484, CVE-2016-8485, CVE-2016-8486, CVE-2016-8487, CVE-2016-8488</td>
|
||
<td>Критический</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через сетевую подсистему ядра</td>
|
||
<td>CVE-2016-8655, CVE-2016-9793</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер устройств ввода Qualcomm</td>
|
||
<td>CVE-2017-0516</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер MediaTek для аппаратного датчика</td>
|
||
<td>CVE-2017-0517</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через ADSPRPC-драйвер Qualcomm</td>
|
||
<td>CVE-2017-0457</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер сканера отпечатков пальцев Qualcomm</td>
|
||
<td>CVE-2017-0518, CVE-2017-0519</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер Qualcomm для шифрования</td>
|
||
<td>CVE-2017-0520</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер Qualcomm для камеры</td>
|
||
<td>CVE-2017-0458, CVE-2017-0521</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через APK MediaTek</td>
|
||
<td>CVE-2017-0522</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm</td>
|
||
<td>CVE-2017-0464, CVE-2017-0453, CVE-2017-0523</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер сенсорного экрана Synaptics</td>
|
||
<td>CVE-2017-0524</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер усилителя Qualcomm</td>
|
||
<td>CVE-2017-0456, CVE-2017-0525</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер контроллера датчиков HTC</td>
|
||
<td>CVE-2017-0526, CVE-2017-0527</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер NVIDIA для графического процессора</td>
|
||
<td>CVE-2017-0307</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через сетевой драйвер Qualcomm</td>
|
||
<td>CVE-2017-0463, CVE-2017-0460</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через подсистему безопасности ядра</td>
|
||
<td>CVE-2017-0528</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через SPCom-драйвер Qualcomm</td>
|
||
<td>CVE-2016-5856, CVE-2016-5857</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через сетевую подсистему ядра</td>
|
||
<td>CVE-2014-8709</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер MediaTek</td>
|
||
<td>CVE-2017-0529</td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через загрузчик Qualcomm</td>
|
||
<td>CVE-2017-0455</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер питания Qualcomm</td>
|
||
<td>CVE-2016-8483</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер NVIDIA для графического процессора</td>
|
||
<td>CVE-2017-0334, CVE-2017-0336</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Отказ в обслуживании в криптографической подсистеме ядра</td>
|
||
<td>CVE-2016-8650</td>
|
||
<td>Высокий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства)</td>
|
||
<td>CVE-2016-8417</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через Wi-Fi-драйвер Qualcomm</td>
|
||
<td>CVE-2017-0461, CVE-2017-0459, CVE-2017-0531</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер видеокодека MediaTek</td>
|
||
<td>CVE-2017-0532</td>
|
||
<td>Средний</td>
|
||
<td>Нет*</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через видеодрайвер Qualcomm</td>
|
||
<td>CVE-2017-0533, CVE-2017-0534, CVE-2016-8416, CVE-2016-8478</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер Qualcomm для камеры</td>
|
||
<td>CVE-2016-8413, CVE-2016-8477</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через аудиодрайвер кодеков HTC</td>
|
||
<td>CVE-2017-0535</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер сенсорного экрана Synaptics</td>
|
||
<td>CVE-2017-0536</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через USB-драйвер ядра</td>
|
||
<td>CVE-2017-0537</td>
|
||
<td>Средний</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Раскрытие информации через драйвер Qualcomm для камеры</td>
|
||
<td>CVE-2017-0452</td>
|
||
<td>Низкий</td>
|
||
<td>Да</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
<h2 id="mitigations">Предотвращение атак</h2>
|
||
<p>Ниже рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
|
||
<ul>
|
||
<li>Использование многих уязвимостей затрудняется в новых
|
||
версиях Android, поэтому мы рекомендуем всем пользователям
|
||
своевременно обновлять систему.</li>
|
||
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены,
|
||
они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО,
|
||
использующее уязвимость для повышения привилегий, и блокировать
|
||
его установку. Если подобное ПО уже есть на устройстве, система
|
||
уведомит об этом пользователя и попытается удалить приложение.</li>
|
||
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким
|
||
процессам, как mediaserver, автоматически.</li>
|
||
</ul>
|
||
<h2 id="acknowledgements">Благодарности</h2>
|
||
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
|
||
<ul>
|
||
<li>Александр Потапенко из команды Google Dynamic Tools: CVE-2017-0537
|
||
<li>Баоцзэн Дин, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0506
|
||
<li>Баоцзэн Дин, Нин Ю, Чэнмин Ян, Пэн Сяо и Ян Сун из Alibaba Mobile Security Group: CVE-2017-0463
|
||
<li>Билли Лау из команды безопасности Android: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
|
||
<li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
|
||
<li><a href="mailto:derrek.haxx@gmail.com">derrek</a> (<a href="https://twitter.com/derrekr6">@derrekr6</a>) и <a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0521
|
||
<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
|
||
<li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0490
|
||
<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
|
||
<li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
|
||
<li>Хироки Ямамото и Фан Чень из Sony Mobile Communications Inc.: CVE-2017-0481
|
||
<li>Саги Кедми и Рои Хэй из IBM Security X-Force: CVE-2017-0510
|
||
<li>Цзяньцзюнь Дай (<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>) из <a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a>: CVE-2017-0478
|
||
<li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681, CVE-2016-6682, CVE-2016-3930
|
||
<li><a href="mailto:zlbzlb815@163.com">Лубо Чжан</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8479
|
||
<li>Макото Онуки из Google: CVE-2017-0491
|
||
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), <a href="mailto:arnow117@gmail.com">Ханьсян Вэнь</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0479, CVE-2017-0480
|
||
<li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0535
|
||
<li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla Motors Product Security Team: CVE-2017-0306
|
||
<li>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室): CVE-2016-8417
|
||
<li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) из KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
|
||
<li>Цин Чжан из Qihoo 360 и Гуандун Бай из Технологического института Сингапура (SIT): CVE-2017-0496
|
||
<li>Цюйхэ и ваньчоучоу из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
|
||
<li><a href="mailto:keun-o.park@darkmatter.ae">Sahara</a> из Secure Communications в DarkMatter: CVE-2017-0528
|
||
<li>salls (<a href="https://twitter.com/chris_salls">@chris_salls</a>) из команды Shellphish Grill, Калифорнийский университет в Санта-Барбаре: CVE-2017-0505
|
||
<li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0504, CVE-2017-0516
|
||
<li>Шон Бопре (beaups): CVE-2017-0455
|
||
<li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из TrendMicro: CVE-2017-0452
|
||
<li>Шиничи Мацумото из Fujitsu: CVE-2017-0498
|
||
<li><a href="mailto:smarques84@gmail.com">Стефан Марк</a> из <a href="http://www.byterev.com">ByteRev</a>: CVE-2017-0489
|
||
<li>Светослав Ганов из Google: CVE-2017-0492
|
||
<li><a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0333
|
||
<li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495
|
||
<li>Виш У (吴潍浠 此彼) (<a href="https://twitter.com/wish_wu">@wish_wu</a>) из Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
|
||
<li>Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
|
||
<li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0526, CVE-2017-0527
|
||
<li>Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>), <a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:shaodacheng2016@gmail.com">Дачэн Шао</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0483</li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></ul>
|
||
|
||
<h2 id="2017-03-01-details">Описание уязвимостей (обновление системы безопасности 2017-03-01)</h2>
|
||
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, обозначенных в разделе <a href="#2017-03-01-summary">Перечень уязвимостей (обновление системы безопасности 2017-03-01)</a>: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
|
||
|
||
|
||
<h3 id="rce-in-openssl-&-boringssl">Удаленное выполнение кода через OpenSSL и BoringSSL</h3>
|
||
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке файлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-2182</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/54bf62a81586d99d0a951ca3342d569b59e69b80">
|
||
A-32096880</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>5 августа 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="rce-in-mediaserver-">Удаленное выполнение кода через mediaserver
|
||
</h3>
|
||
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации
|
||
в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0466</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">A-33139050</a>
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/ec9ab83ac437d31f484a86643e2cc66db8efae4c">2</a>]
|
||
</td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>25 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0467</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">A-33250932</a>
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">2</a>]
|
||
</td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>30 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0468</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/0e8b1dff88e08b9d738d2360f05b96108e190995">A-33351708</a>
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">2</a>]
|
||
</td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>5 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0469</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/21851eaecc814be709cb0c20f732cb858cfe1440">
|
||
A-33450635</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>8 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0470</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/6aac82003d665708b4e21e9b91693b642e2fa64f">
|
||
A-33818500</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>21 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0471</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/4a61d15e7b0ab979ba7e80db8ddbde025c1ce6cc">
|
||
A-33816782</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>21 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0472</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/dfa7251ff270ae7e12a019e6735542e36b2a47e0">
|
||
A-33862021</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>23 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0473</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/0a4463e2beddb8290e05ad552e48b17686f854ce">
|
||
A-33982658</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>30 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0474</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libvpx/+/6f5927de29337fa532c64d0ef8c7cb68f7c89889">
|
||
A-32589224</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>7.0, 7.1.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="eop-in-recovery-verifier">Повышение привилегий через верификатор восстановления</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0475</td>
|
||
<td><a href="https://android.googlesource.com/platform/bootable/recovery/+/2c6c23f651abb3d215134dfba463eb72a5e9f8eb">
|
||
A-31914369</a></td>
|
||
<td>Критический</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>2 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="rce-in-aosp-messaging">Удаленное выполнение кода через клиент для обмена сообщениями AOSP</h3>
|
||
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте непривилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0476</td>
|
||
<td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/8ba22b48ebff50311d7eaa8d512f9d507f0bdd0d">
|
||
A-33388925</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>6 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="rce-in-libgdx">Удаленное выполнение кода через libgdx</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0477</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libgdx/+/fba04a52f43315cdb7dd38766822af0324eab7c5">
|
||
A-33621647</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>7.1.1</td>
|
||
<td>14 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="rce-in-framesequence-library">Удаленное выполнение кода через библиотеку Framesequence</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0478</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/ex/+/7c824f17b3eea976ca58be7ea097cb807126f73b">
|
||
A-33718716</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>16 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="eop-in-nfc">Повышение привилегий через NFC</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса.
|
||
Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0481</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libnfc-nci/+/c67cc6ad2addddcb7185a33b08d27290ce54e350">
|
||
A-33434992</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>6 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0479</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">
|
||
A-32707507</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/av/+/8415635765380be496da9b4578d8f134a527d86b">2</a>]
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>7 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0480</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">
|
||
A-32705429</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/av/+/8415635765380be496da9b4578d8f134a527d86b">2</a>]
|
||
</td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>7 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0482</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/ec9ab83ac437d31f484a86643e2cc66db8efae4c">
|
||
A-33090864</a>
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/0e8b1dff88e08b9d738d2360f05b96108e190995">2</a>]
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/a467b1fb2956fdcee5636ab63573a4bca8150dbe">3</a>]
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/3695b6bdaa183bb2852da06b63ebd5b9c2cace36">4</a>]
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/c4f152575bd6d8cc6db1f89806e2ba1fd1bb314f">5</a>]
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">6</a>]</td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>22 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0483</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/bc62c086e9ba7530723dc8874b83159f4d77d976">
|
||
A-33137046</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/av/+/5cabe32a59f9be1e913b6a07a23d4cfa55e3fb2f">2</a>]</td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>24 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0484</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/fd9a12f9fdd9dd3e66c59dd7037e864b948085f7">
|
||
A-33298089</a>
|
||
[<a href="https://android.googlesource.com/platform/external/libavc/+/a467b1fb2956fdcee5636ab63573a4bca8150dbe">2</a>]</td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>1 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0485</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/3695b6bdaa183bb2852da06b63ebd5b9c2cace36">
|
||
A-33387820</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>6 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0486</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/19814b7ad4ea6f0cc4cab34e50ebab2e180fc269">
|
||
A-33621215</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>14 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0487</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/aa78b96e842fc1fb70a18acff22be35c7a715b23">
|
||
A-33751193</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>19 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0488</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/0340381cd8c220311fd4fe2e8b23e1534657e399">
|
||
A-34097213</a></td>
|
||
<td>Высокий</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<h3 id="eop-in-location-manager">Повышение привилегий через диспетчер местоположения</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС для данных о местоположении. Проблеме присвоен средний уровень серьезности, поскольку она может использоваться для генерации неправильных данных.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0489</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/d22261fef84481651e12995062105239d551cbc6">
|
||
A-33091107</a></td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>20 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-wi-fi">Повышение привилегий через Wi-Fi</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО удалять пользовательские данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем). </p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0490</td>
|
||
<td><a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/1166ca8adba9b49c9185dad11b28b02e72124d95">
|
||
A-33178389</a>
|
||
[<a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/1ad3b1e3256a226be362de1a4959f2a642d349b7">2</a>]
|
||
[<a href="https://android.googlesource.com/platform/frameworks/opt/net/wifi/+/41c42f5bb544acf8bede2d05c6325657d92bd83c">3</a>]
|
||
</td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>25 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-package-manager">Повышение привилегий через диспетчер пакетов</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО блокировать удаление приложений или разрешений пользователями. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0491</td>
|
||
<td><a href="https://android.googlesource.com/platform/packages/apps/PackageInstaller/+/5c49b6bf732c88481466dea341917b8604ce53fa">
|
||
A-32553261</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-system-ui">Повышение привилегий через System UI</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО создать наложение интерфейса на весь экран. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0492</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/f4bed684c939b0f8809ef404b8609fe4ef849263">
|
||
A-30150688</a>
|
||
</td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>7.1.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-aosp-messaging">Раскрытие информации через клиент для обмена сообщениями AOSP</h3>
|
||
<p>Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Из-за этого проблеме присвоен средний уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0494</td>
|
||
<td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/3f9821128abd66c4cd2f040d8243efb334bfad2d">
|
||
A-32764144</a></td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>9 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0495</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/libavc/+/85c0ec4106659a11c220cd1210f8d76c33d9e2ae">
|
||
A-33552073</a></td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>11 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="dos-in-setup-wizard">Отказ в обслуживании в мастере настройки</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО временно заблокировать доступ к пораженному устройству. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0496</td>
|
||
<td>A-31554152*</td>
|
||
<td>Средний</td>
|
||
<td>Нет**</td>
|
||
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
|
||
<td>14 сентября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
<h3 id="dos-in-mediaserver-2">Отказ в обслуживании в mediaserver</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0497</td>
|
||
<td><a href="https://android.googlesource.com/platform/external/skia/+/8888cbf8e74671d44e9ff92ec3847cd647b8cdfb">
|
||
A-33300701</a></td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>7.0, 7.1.1</td>
|
||
<td>2 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="dos-in-setup-wizard-2">Отказ в обслуживании в мастере настройки</h3>
|
||
<p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, запросить вход в аккаунт Google после сброса настроек. Проблеме присвоен средний уровень серьезности, поскольку для ее решения может потребоваться сброс настроек устройства. </p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0498</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/1c4d535d0806dbeb6d2fa5cea0373cbd9ab6d33b">
|
||
A-30352311</a>
|
||
[<a href="https://android.googlesource.com/platform/frameworks/base/+/5f621b5b1549e8379aee05807652d5111382ccc6">2</a>]
|
||
</td>
|
||
<td>Средний</td>
|
||
<td>Все</td>
|
||
<td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="dos-in-audioserver">Отказ в обслуживании в audioserver</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять перезагрузку или вызывать зависание устройства. Проблеме присвоен низкий уровень серьезности, поскольку она приводит к временному отказу в обслуживании.</p>
|
||
|
||
<table>
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<col width="10%">
|
||
<col width="19%">
|
||
<col width="18%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Обновленные версии AOSP</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0499</td>
|
||
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/22e26d8ee73488c58ba3e7928e5da155151abfd0">
|
||
A-32095713</a></td>
|
||
<td>Низкий приоритет</td>
|
||
<td>Все</td>
|
||
<td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td>
|
||
<td>11 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h2 id="2017-03-05-details">Описание уязвимостей (обновление системы безопасности 2017-03-05)</h2>
|
||
<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, обозначенных в разделе <a href="#2017-03-05-summary">Перечень уязвимостей (обновление системы безопасности 2017-03-05)</a>: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
|
||
|
||
|
||
<h3 id="eop-in-mediatek-components">Повышение привилегий через компоненты MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0500</td>
|
||
<td>A-28429685*<br>
|
||
M-ALPS02710006</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>27 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0501</td>
|
||
<td>A-28430015*<br>
|
||
M-ALPS02708983</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>27 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0502</td>
|
||
<td>A-28430164*<br>
|
||
M-ALPS02710027</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>27 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0503</td>
|
||
<td>A-28449045*<br>
|
||
M-ALPS02710075</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>28 апреля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0504</td>
|
||
<td>A-30074628*<br>
|
||
M-ALPS02829371</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>9 июля 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0505</td>
|
||
<td>A-31822282*<br>
|
||
M-ALPS02992041</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>28 сентября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0506</td>
|
||
<td>A-32276718*<br>
|
||
M-ALPS03006904</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>18 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0337</td>
|
||
<td>A-31992762*<br>
|
||
N-CVE-2017-0337</td>
|
||
<td>Критический</td>
|
||
<td>Pixel С</td>
|
||
<td>6 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0338</td>
|
||
<td>A-33057977*<br>
|
||
N-CVE-2017-0338</td>
|
||
<td>Критический</td>
|
||
<td>Pixel С</td>
|
||
<td>21 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0333</td>
|
||
<td>A-33899363*<br>
|
||
N-CVE-2017-0333</td>
|
||
<td>Критический</td>
|
||
<td>Pixel С</td>
|
||
<td>25 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0306</td>
|
||
<td>A-34132950*<br>
|
||
N-CVE-2017-0306</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 9</td>
|
||
<td>6 января 2017 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0335</td>
|
||
<td>A-33043375*<br>
|
||
N-CVE-2017-0335</td>
|
||
<td>Критический</td>
|
||
<td>Pixel С</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-kernel-ion-subsystem">Повышение привилегий через подсистему ION ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0507</td>
|
||
<td>A-31992382*</td>
|
||
<td>Критический</td>
|
||
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td>
|
||
<td>6 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0508</td>
|
||
<td>A-33940449*</td>
|
||
<td>Критический</td>
|
||
<td>Pixel С</td>
|
||
<td>28 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0509</td>
|
||
<td>A-32124445*<br>
|
||
B-RB#110688</td>
|
||
<td>Критический</td>
|
||
<td>Нет**</td>
|
||
<td>12 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-kernel-fiq-debugger">Повышение привилегий через FIQ-отладчик ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0510</td>
|
||
<td>A-32402555*</td>
|
||
<td>Критический</td>
|
||
<td>Nexus 9</td>
|
||
<td>25 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-gpu-driver">Повышение привилегий через драйвер Qualcomm для графического процессора</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8479</td>
|
||
<td>A-31824853*<br>
|
||
QC-CR#1093687</td>
|
||
<td>Критический</td>
|
||
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td>
|
||
<td>29 сентября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-9806</td>
|
||
<td>A-33393474<br>
|
||
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=92964c79b357efd980812c4de5c1fd2ec8bb5520">
|
||
Upstream kernel</a></td>
|
||
<td>Критический</td>
|
||
<td>Pixel C, Pixel, Pixel XL</td>
|
||
<td>4 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-10200</td>
|
||
<td>A-33753815<br>
|
||
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=32c231164b762dddefa13af5a0101032c70b50ef">
|
||
Upstream kernel</a></td>
|
||
<td>Критический</td>
|
||
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
|
||
<td>19 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3>
|
||
<p>Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8484</td>
|
||
<td>A-28823575**</td>
|
||
<td>Критический</td>
|
||
<td>Нет***</td>
|
||
<td>Доступно только сотрудникам Qualcomm</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8485</td>
|
||
<td>A-28823681**</td>
|
||
<td>Критический</td>
|
||
<td>Нет***</td>
|
||
<td>Доступно только сотрудникам Qualcomm</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8486</td>
|
||
<td>A-28823691**</td>
|
||
<td>Критический</td>
|
||
<td>Нет***</td>
|
||
<td>Доступно только сотрудникам Qualcomm</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8487</td>
|
||
<td>A-28823724**</td>
|
||
<td>Критический</td>
|
||
<td>Нет***</td>
|
||
<td>Доступно только сотрудникам Qualcomm</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8488</td>
|
||
<td>A-31625756**</td>
|
||
<td>Критический</td>
|
||
<td>Нет***</td>
|
||
<td>Доступно только сотрудникам Qualcomm</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-kernel-networking-subsystem-2">Повышение привилегий через сетевую подсистему ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8655</td>
|
||
<td>A-33358926<br>
|
||
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c">
|
||
Upstream kernel</a></td>
|
||
<td>Высокий</td>
|
||
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td>
|
||
<td>12 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-9793</td>
|
||
<td>A-33363517<br>
|
||
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=b98b0bc8c431e3ceb4b26b0dfc8db509518fb290">
|
||
Upstream kernel</a></td>
|
||
<td>Высокий</td>
|
||
<td>Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL</td>
|
||
<td>2 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-input-hardware-driver">Повышение привилегий через драйвер устройств ввода Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0516</td>
|
||
<td>A-32341680*<br>
|
||
QC-CR#1096301</td>
|
||
<td>Высокий</td>
|
||
<td>Android One, Pixel, Pixel XL</td>
|
||
<td>21 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-mediatek-hardware-sensor-driver">Повышение привилегий через драйвер MediaTek для аппаратного датчика</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
|
||
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0517</td>
|
||
<td>A-32372051*<br>
|
||
M-ALPS02973195</td>
|
||
<td>Высокий</td>
|
||
<td>Нет**</td>
|
||
<td>22 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-adsprpc-driver">Повышение привилегий через ADSPRPC-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0457</td>
|
||
<td>A-31695439*<br>
|
||
QC-CR#1086123<br>
|
||
QC-CR#1100695</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
|
||
<td>22 сентября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-fingerprint-sensor-driver">Повышение привилегий через драйвер сканера отпечатков пальцев Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0518</td>
|
||
<td>A-32370896*<br>
|
||
QC-CR#1086530</td>
|
||
<td>Высокий</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>24 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0519</td>
|
||
<td>A-32372915*<br>
|
||
QC-CR#1086530</td>
|
||
<td>Высокий</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>24 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-crypto-engine-driver">Повышение привилегий через драйвер Qualcomm для шифрования</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0520</td>
|
||
<td>A-31750232<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=eb2aad752c43f57e88ab9b0c3c5ee7b976ee31dd">
|
||
QC-CR#1082636</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>24 сентября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0458</td>
|
||
<td>A-32588962<br>
|
||
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=eba46cb98431ba1d7a6bd859f26f6ad03f1bf4d4">
|
||
QC-CR#1089433</a></td>
|
||
<td>Высокий</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>31 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0521</td>
|
||
<td>A-32919951<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=dbe4f26f200db10deaf38676b96d8738afcc10c8">
|
||
QC-CR#1097709</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>15 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-mediatek-apk">Повышение привилегий через APK MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0522</td>
|
||
<td>A-32916158*<br>
|
||
M-ALPS02708925</td>
|
||
<td>Высокий</td>
|
||
<td>Нет**</td>
|
||
<td>15 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0449S</td>
|
||
<td>A-32940193<br>
|
||
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=051597a4fe19fd1292fb7ea2e627d12d1fd2934f">
|
||
QC-CR#1102593</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Pixel, Pixel XL</td>
|
||
<td>15 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0453</td>
|
||
<td>A-33979145<br>
|
||
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=05af1f34723939f477cb7d25adb320d016d68513">
|
||
QC-CR#1105085</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Android One</td>
|
||
<td>30 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0523</td>
|
||
<td>A-32835279<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=5bb646471da76d3d5cd02cf3da7a03ce6e3cb582">
|
||
QC-CR#1096945</a></td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0524</td>
|
||
<td>A-33002026</td>
|
||
<td>Высокий</td>
|
||
<td>Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL</td>
|
||
<td>18 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-ipa-driver">Повышение привилегий через драйвер усилителя Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
|
||
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0456</td>
|
||
<td>A-33106520*<br>
|
||
QC-CR#1099598</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>23 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0525</td>
|
||
<td>A-33139056*<br>
|
||
QC-CR#1097714</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>25 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-htc-sensor-hub-driver">Повышение привилегий через драйвер контроллера датчиков HTC</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0526</td>
|
||
<td>A-33897738*</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 9</td>
|
||
<td>25 декабря 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0527</td>
|
||
<td>A-33899318*</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 9, Pixel, Pixel XL</td>
|
||
<td>25 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-nvidia-gpu-driver-2">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0307</td>
|
||
<td>A-33177895*<br>
|
||
N-CVE-2017-0307</td>
|
||
<td>Высокий</td>
|
||
<td>Нет**</td>
|
||
<td>28 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-networking-driver">Повышение привилегий через сетевой драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0463</td>
|
||
<td>A-33277611<br>
|
||
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=955bd7e7ac097bdffbadafab90e5378038fefeb2">
|
||
QC-CR#1101792</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>30 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0460 </td>
|
||
<td>A-31252965*<br>
|
||
QC-CR#1098801</td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-kernel-security-subsystem">Повышение привилегий через подсистему безопасности ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня ядра и аналогичные технологии защиты.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0528</td>
|
||
<td>A-33351919*</td>
|
||
<td>Высокий</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>4 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-spcom-driver">Повышение привилегий через SPCom-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-5856</td>
|
||
<td>A-32610665<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=0c0622914ba53cdcb6e79e85f64bfdf7762c0368">
|
||
QC-CR#1094078</a></td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-5857</td>
|
||
<td>A-34386529<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=d9d2c405d46ca27b25ed55a8dbd02bd1e633e2d5">
|
||
QC-CR#1094140</a></td>
|
||
<td>Высокий</td>
|
||
<td>Нет*</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="id-in-kernel-networking-subsystem">Раскрытие информации через сетевую подсистему ядра</h3>
|
||
<p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2014-8709</td>
|
||
<td>A-34077221<br>
|
||
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=338f977f4eb441e69bb9a46eaa0ac715c931a67f">
|
||
Upstream kernel</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus Player</td>
|
||
<td>9 ноября 2014 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-mediatek-driver">Раскрытие информации через драйвер MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
|
||
Из-за этого проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0529</td>
|
||
<td>A-28449427*<br>
|
||
M-ALPS02710042</td>
|
||
<td>Высокий</td>
|
||
<td>Нет**</td>
|
||
<td>27 апреля 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="id-in-qualcomm-bootloader">Раскрытие информации через загрузчик Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня загрузчика и аналогичные технологии защиты.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0455</td>
|
||
<td>A-32370952<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=2c00928b4884fdb0b1661bcc530d7e68c9561a2f">
|
||
QC-CR#1082755</a></td>
|
||
<td>Высокий</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>21 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-qualcomm-power-driver">Раскрытие информации через драйвер питания Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8483</td>
|
||
<td>A-33745862<br>
|
||
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6997dcb7ade1315474855821e64782205cb0b53a">
|
||
QC-CR#1035099</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P</td>
|
||
<td>19 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-nvidia-gpu-driver">Раскрытие информации через драйвер NVIDIA для графического процессора</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
|
||
Из-за этого проблеме присвоен высокий уровень серьезности.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0334</td>
|
||
<td>A-33245849*<br>
|
||
N-CVE-2017-0334</td>
|
||
<td>Высокий</td>
|
||
<td>Pixel С</td>
|
||
<td>30 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0336</td>
|
||
<td>A-33042679*<br>
|
||
N-CVE-2017-0336</td>
|
||
<td>Высокий</td>
|
||
<td>Pixel С</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="dos-in-kernel-cryptographic-subsystem">Отказ в обслуживании в криптографической подсистеме ядра</h3>
|
||
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8650</td>
|
||
<td>A-33401771<br>
|
||
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f5527fffff3f002b0a6b376163613b82f69de073">
|
||
Upstream kernel</a></td>
|
||
<td>Высокий</td>
|
||
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
|
||
<td>12 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="eop-in-qualcomm-camera-driver-(device-specific)">Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства)</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8417</td>
|
||
<td>A-32342399<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=01dcc0a7cc23f23a89adf72393d5a27c6d576cd0">
|
||
QC-CR#1088824</a></td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>21 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0461</td>
|
||
<td>A-32073794<br>
|
||
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=ce5d6f84420a2e6ca6aad6b866992970dd313a65">
|
||
QC-CR#1100132</a></td>
|
||
<td>Средний</td>
|
||
<td>Android One, Nexus 5X, Pixel, Pixel XL</td>
|
||
<td>9 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0459</td>
|
||
<td>A-32644895<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?h=rel/msm-3.18&id=ffacf6e2dc41b6063c3564791ed7a2f903e7e3b7">
|
||
QC-CR#1091939</a></td>
|
||
<td>Средний</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>3 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0531</td>
|
||
<td>A-32877245<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=530f3a0fd837ed105eddaf99810bc13d97dc4302">
|
||
QC-CR#1087469</a></td>
|
||
<td>Средний</td>
|
||
<td>Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
|
||
<td>13 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-mediatek-video-codec-driver">Раскрытие информации через драйвер видеокодека MediaTek</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0532</td>
|
||
<td>A-32370398*<br>
|
||
M-ALPS03069985</td>
|
||
<td>Средний</td>
|
||
<td>Нет**</td>
|
||
<td>22 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
|
||
|
||
|
||
<h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0533</td>
|
||
<td>A-32509422<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
|
||
QC-CR#1088206</a></td>
|
||
<td>Средний</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>27 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0534</td>
|
||
<td>A-32508732<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
|
||
QC-CR#1088206</a></td>
|
||
<td>Средний</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>28 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8416</td>
|
||
<td>A-32510746<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
|
||
QC-CR#1088206</a></td>
|
||
<td>Средний</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>28 октября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8478</td>
|
||
<td>A-32511270<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f">
|
||
QC-CR#1088206</a></td>
|
||
<td>Средний</td>
|
||
<td>Pixel, Pixel XL</td>
|
||
<td>28 октября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-qualcomm-camera-driver">Раскрытие информации через драйвер Qualcomm для камеры</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8413</td>
|
||
<td>A-32709702<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=bc77232707df371ff6bab9350ae39676535c0e9d">
|
||
QC-CR#518731</a></td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>4 ноября 2016 г.</td>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2016-8477</td>
|
||
<td>A-32720522<br>
|
||
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=33c9042e38506b04461fa99e304482bc20923508">
|
||
QC-CR#1090007</a>
|
||
[<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=96145eb5f0631f0e105d47abebc8f940f7621eeb">2</a>]</td>
|
||
<td>Средний</td>
|
||
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
|
||
<td>7 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
|
||
<h3 id="id-in-htc-sound-codec-driver">Раскрытие информации через аудиодрайвер кодеков HTC</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0535</td>
|
||
<td>A-33547247*</td>
|
||
<td>Средний</td>
|
||
<td>Nexus 9</td>
|
||
<td>11 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="id-in-synaptics-touchscreen-driver">Раскрытие информации через драйвер сенсорного экрана Synaptics</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0536</td>
|
||
<td>A-33555878*</td>
|
||
<td>Средний</td>
|
||
<td>Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL</td>
|
||
<td>12 декабря 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="id-in-kernel-usb-gadget-driver">Раскрытие информации через USB-драйвер ядра</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0537</td>
|
||
<td>A-31614969*</td>
|
||
<td>Средний</td>
|
||
<td>Pixel С</td>
|
||
<td>Доступно только сотрудникам Google</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
|
||
|
||
<h3 id="id-in-qualcomm-camera-driver-2">Раскрытие информации через драйвер Qualcomm для камеры</h3>
|
||
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен низкий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
|
||
|
||
<table>
|
||
<col width="19%">
|
||
<col width="20%">
|
||
<col width="10%">
|
||
<col width="23%">
|
||
<col width="17%">
|
||
<tr>
|
||
<th>CVE</th>
|
||
<th>Ссылки</th>
|
||
<th>Уровень серьезности</th>
|
||
<th>Обновленные устройства Google</th>
|
||
<th>Дата сообщения об ошибке</th>
|
||
</tr>
|
||
<tr>
|
||
<td>CVE-2017-0452</td>
|
||
<td>A-32873615*<br>
|
||
QC-CR#1093693</td>
|
||
<td>Низкий приоритет</td>
|
||
<td>Nexus 5X, Nexus 6P, Android One</td>
|
||
<td>10 ноября 2016 г.</td>
|
||
</tr>
|
||
</table>
|
||
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
|
||
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
|
||
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть
|
||
после прочтения бюллетеня.</p>
|
||
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
|
||
</strong></p>
|
||
<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p>
|
||
<ul>
|
||
<li>В исправлении от 1 марта 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-03-01.</li>
|
||
<li>В исправлении от 5 марта 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-03-05.
|
||
</li>
|
||
</ul>
|
||
<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p>
|
||
<ul>
|
||
<li>[ro.build.version.security_patch]:[2017-03-01]</li>
|
||
<li>[ro.build.version.security_patch]:[2017-03-05]</li>
|
||
</ul>
|
||
<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p>
|
||
<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p>
|
||
<ul>
|
||
<li>На устройствах с установленным обновлением от 1 марта 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li>
|
||
<li>На устройствах с установленным обновлением от 5 марта 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
|
||
</ul>
|
||
<p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p>
|
||
<p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p>
|
||
<p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-03-01-details">2017-03-01</a> и <a href="#2017-03-05-details">2017-03-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p>
|
||
<ul>
|
||
<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li>
|
||
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li>
|
||
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li>
|
||
</ul>
|
||
<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p>
|
||
<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>.
|
||
Каждая запись в нем может содержать префикс, указывающий на
|
||
источник ссылки, а именно:</p>
|
||
<table>
|
||
<tr>
|
||
<th>Префикс</th>
|
||
<th>Значение</th>
|
||
</tr>
|
||
<tr>
|
||
<td>A-</td>
|
||
<td>Идентификатор ошибки Android</td>
|
||
</tr>
|
||
<tr>
|
||
<td>QC-</td>
|
||
<td>Ссылочный номер Qualcomm</td>
|
||
</tr>
|
||
<tr>
|
||
<td>M-</td>
|
||
<td>Ссылочный номер MediaTek</td>
|
||
</tr>
|
||
<tr>
|
||
<td>N-</td>
|
||
<td>Ссылочный номер NVIDIA</td>
|
||
</tr>
|
||
<tr>
|
||
<td>B-</td>
|
||
<td>Ссылочный номер Broadcom</td>
|
||
</tr>
|
||
</table>
|
||
<h2 id="revisions">Версии</h2>
|
||
<ul>
|
||
<li>6 марта 2017 года. Бюллетень опубликован.</li>
|
||
<li>7 марта 2017 года. Добавлены ссылки на AOSP.</li>
|
||
</ul>
|
||
</body>
|
||
</html>
|