| <html devsite><head> |
| <title>Бюллетень по безопасности Android – май 2017 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>Опубликовано 1 мая 2017 г. | Обновлено 3 октября 2017 г.</em></p> |
| |
| <p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 мая 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| |
| <p>Мы сообщили партнерам об уязвимостях 3 апреля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). |
| В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| |
| <p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p> |
| |
| <p>У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p> |
| |
| <p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p> |
| <h2 id="announcements">Объявления</h2> |
| <ul> |
| <li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| <ul> |
| <li><strong>2017-05-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-05-01 и более ранние.</li> |
| <li><strong>2017-05-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-05-01 и 2017-05-05, а также более ранние.</li> |
| </ul> |
| </li> |
| <li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 мая 2017 года.</li> |
| </ul> |
| |
| <h2 id="mitigations">Предотвращение атак</h2> |
| |
| <p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p> |
| |
| <ul> |
| <li>Использование многих уязвимостей затрудняется в новых |
| версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> |
| <li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> |
| </ul> |
| |
| <h2 id="acknowledgements">Благодарности</h2> |
| |
| <p>Благодарим всех, кто помог обнаружить уязвимости:</p> |
| <ul> |
| <li>ADlab из Venustech: CVE-2017-0630</li> |
| <li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-10287.</li> |
| <li>Экулар Сюй (徐健) из Trend Micro: CVE-2017-0599, CVE-2017-0635</li> |
| <li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0601.</li> |
| <li>Итан Йонкер из <a href="https://twrp.me/">Team Win Recovery Project</a>: CVE-2017-0493</li> |
| <li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296.</li> |
| <li>godzheng (郑文选 <a href="https://twitter.com/virtualseekers">@VirtualSeekers</a>) из Tencent PC Manager: CVE-2017-0602.</li> |
| <li><a href="https://www.linkedin.com/in/g%C3%BCliz-seray-tuncay-952a1b9/">Гюлиз Серай Тунджай</a> из <a href="http://tuncay2.web.engr.illinois.edu">Иллинойсского университета в Урбане-Шампейне</a>: CVE-2017-0593.</li> |
| <li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283.</li> |
| <li>Цзюйху Не, Ян Чэн, Нань Ли и Циу Хуан из Xiaomi Inc: CVE-2016-10276.</li> |
| <li><a href="https://github.com/michalbednarski">Михал Беднарский</a>: CVE-2017-0598.</li> |
| <li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla's Product Security Team: CVE-2017-0331, CVE-2017-0606.</li> |
| <li><a href="mailto:[email protected]">Niky1235</a> (<a href="https://twitter.com/jiych_guru">@jiych_guru</a>): CVE-2017-0603.</li> |
| <li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280.</li> |
| <li>Рои Хэй (<a href="https://twitter.com/roeehay">@roeehay</a>) из <a href="https://alephsecurity.com/">Aleph Research</a>: CVE-2016-10277.</li> |
| <li><a href="mailto:[email protected]">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-10274.</li> |
| <li><a href="mailto:[email protected]">Тун Линь</a>, <a href="mailto:[email protected]">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-10291.</li> |
| <li>Василий Васильев: CVE-2017-0589</li> |
| <li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600.</li> |
| <li>Силин Гун из отдела безопасности платформы Tencent: CVE-2017-0597</li> |
| <li>Синюань Линь из 360 Marvel Team: CVE-2017-0627</li> |
| <li>Юн Ван (王勇) (<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>) из Alibaba Inc: CVE-2017-0588</li> |
| <li>Юнган Го (<a href="https://twitter.com/guoygang">@guoygang</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465</li> |
| <li>Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615</li> |
| <li>Юй Пань и Пэйдэ Чжан из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625</li> |
| </ul> |
| |
| <h2 id="2017-05-01-details">Описание уязвимостей (обновление системы безопасности 2017-05-01)</h2> |
| |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-05-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="rce-in-mediaserver">Удаленное выполнение кода через mediaserver</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0587</td> |
| <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/a86eb798d077b9b25c8f8c77e3c02c2f287c1ce7">A-35219737</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>4 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0588</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/6f1d990ce0f116a205f467d9eb2082795e33872b">A-34618607</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>21 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0589</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/bcfc7124f6ef9f1ec128fb2e90de774a5b33d199">A-34897036</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>1 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0590</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/45c97f878bee15cd97262fe7f57ecea71990fed7">A-35039946</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>6 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0591</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/5c3fd5d93a268abb20ff22f26009535b40db3c7d">A-34097672</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0592</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/acc192347665943ca674acf117e4f74a88436922">A-34970788</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать специальные разрешения. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0593</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/78efbc95412b8efa9a44d573f5767ae927927d48">A-34114230</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>5 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-mediaserver">Повышение привилегий через mediaserver</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0594</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/594bf934384920618d2b6ce0bcda1f60144cb3eb">A-34617444</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>22 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0595</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34705519</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>24 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0596</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34749392</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> |
| <td>24 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0597</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/a9188f89179a7edd301abaf37d644adf5d647a04">A-34749571</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>25 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-framework-apis">Раскрытие информации через Framework API</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0598</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4e110ab20bb91e945a17c6e166e14e2da9608f08">A-34128677</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/d42e1204d5dddb78ec9d20d125951b59a8344f40">2</a>]</td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>6 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0599</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/a1424724a00d62ac5efa0e27953eed66850d662f">A-34672748</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>23 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0600</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/961e5ac5788b52304e64b9a509781beaf5201fb0">A-35269635</a></td> |
| <td>Высокий</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>10 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-bluetooth">Повышение привилегий через Bluetooth</h3> |
| |
| <p>Уязвимость потенциально позволяет локальному вредоносному ПО принимать вредоносные файлы через Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем. </p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0601</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/667d2cbe3eb1450f273a4f6595ccef35e1f0fe4b">A-35258579</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>7.0, 7.1.1, 7.1.2</td> |
| <td>9 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-file-based-encryption">Раскрытие информации через шифрование файлов</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту ОС для заблокированного экрана. Из-за этого проблеме присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0493</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/e4cefbf4fce458489b5f1bebc79dfaf566bcc5d5">A-32793550</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/f806d65e615b942c268a5f68d44bde9d55634972">2</a>] [<a href="https://android.googlesource.com/platform/frameworks/base/+/58552f814a03d978b4a6507f3c16f71964f9b28f">3</a>]</td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>7.0, 7.1.1</td> |
| <td>9 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-bluetooth">Раскрытие информации через Bluetooth</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Из-за особенностей проблемы ей присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0602</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/a4875a49404c544134df37022ae587a4a3321647">A-34946955</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>5 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-openssl-&-boringssl">Раскрытие информации через OpenSSL и BoringSSL</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации. Из-за особенностей проблемы ей присвоен средний уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-7056</td> |
| <td><a href="https://android.googlesource.com/platform/external/boringssl/+/13179a8e75fee98740b5ce728752aa7294b3e32d">A-33752052</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>19 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-mediaserver-2">Отказ в обслуживании в mediaserver</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0603</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/36b04932bb93cc3269279282686b439a17a89920">A-35763994</a></td> |
| <td>Средний</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>23 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-mediaserver-3">Отказ в обслуживании в mediaserver</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Из-за особенностей проблемы ей присвоен низкий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0635</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/523f6b49c1a2289161f40cf9fe80b92e592e9441">A-35467107</a></td> |
| <td>Низкий</td> |
| <td>Все</td> |
| <td>7.0, 7.1.1, 7.1.2</td> |
| <td>16 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2017-05-05-details">Описание уязвимостей (обновление системы безопасности 2017-05-05)</h2> |
| |
| <p>В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-05-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> |
| |
| <h3 id="rce-in-giflib">Удаленное выполнение кода через GIFLIB</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-7555</td> |
| <td><a href="https://android.googlesource.com/platform/external/giflib/+/dc07290edccc2c3fc4062da835306f809cea1fdc">A-34697653</a></td> |
| <td>Критический</td> |
| <td>Все</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| <td>13 апреля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-mediatek-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10274</td> |
| <td>A-30202412*<br /> |
| M-ALPS02897901</td> |
| <td>Критический</td> |
| <td>Нет**</td> |
| <td>16 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-bootloader">Повышение привилегий через загрузчик Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10275</td> |
| <td>A-34514954<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=1a0a15c380e11fc46f8d8706ea5ae22b752bdd0b"> |
| QC-CR#1009111</a></td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One</td> |
| <td>13 сентября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10276</td> |
| <td>A-32952839<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=5dac431748027e8b50a5c4079967def4ea53ad64"> |
| QC-CR#1094105</a></td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>16 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-kernel-sound-subsystem">Повышение привилегий через звуковую подсистему ядра</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-9794</td> |
| <td>A-34068036<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=a27178e05b7c332522df40904f27674e36ee3757"> |
| Upstream kernel</a></td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> |
| <td>3 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-motorola-bootloader">Повышение привилегий через загрузчик Motorola</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10277</td> |
| <td>A-33840490*<br /> |
| </td> |
| <td>Критический</td> |
| <td>Nexus 6</td> |
| <td>21 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-nvidia-video-driver">Повышение привилегий через видеодрайвер NVIDIA</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0331</td> |
| <td>A-34113000*<br /> |
| N-CVE-2017-0331</td> |
| <td>Критический</td> |
| <td>Nexus 9</td> |
| <td>4 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-qualcomm-power-driver">Повышение привилегий через драйвер питания Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0604</td> |
| <td>A-35392981<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6975e2dd5f37de965093ba3a8a08635a77a960f7"> |
| QC-CR#826589</a></td> |
| <td>Критический</td> |
| <td>Нет*</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3> |
| |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 г.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности*</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10240</td> |
| <td>A-32578446**<br /> |
| QC-CR#955710</td> |
| <td>Критический</td> |
| <td>Nexus 6P</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10241</td> |
| <td>A-35436149**<br /> |
| QC-CR#1068577</td> |
| <td>Критический</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10278</td> |
| <td>A-31624008**<br /> |
| QC-CR#1043004</td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10279</td> |
| <td>A-31624421**<br /> |
| QC-CR#1031821</td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="rce-in-libxml2">Удаленное выполнение кода через libxml2</h3> |
| |
| <p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p> |
| |
| <table> |
| <colgroup><col width="18%" /> |
| <col width="17%" /> |
| <col width="10%" /> |
| <col width="19%" /> |
| <col width="18%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Обновленные версии AOSP</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5131</td> |
| <td>A-32956747*</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> |
| <td>23 июля 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-mediatek-thermal-driver">Повышение привилегий через драйвер температурного датчика MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10280</td> |
| <td>A-28175767*<br /> |
| M-ALPS02696445</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>11 апреля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10281</td> |
| <td>A-28175647*<br /> |
| M-ALPS02696475</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>11 апреля 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10282</td> |
| <td>A-33939045*<br /> |
| M-ALPS03149189</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>27 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10283</td> |
| <td>A-32094986<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=93863644b4547324309613361d70ad9dc91f8dfd"> |
| QC-CR#2002052</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Pixel, Pixel XL, Android One</td> |
| <td>11 октября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-video-driver">Повышение привилегий через видеодрайвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10284</td> |
| <td>A-32402303*<br /> |
| QC-CR#2000664</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>24 октября 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10285</td> |
| <td>A-33752702<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=67dfd3a65336e0b3f55ee83d6312321dc5f2a6f9"> |
| QC-CR#1104899</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>19 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10286</td> |
| <td>A-35400904<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=5d30a3d0dc04916ddfb972bfc52f8e636642f999"> |
| QC-CR#1090237</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="eop-in-kernel-performance-subsystem">Повышение привилегий через подсистему производительности ядра</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2015-9004</td> |
| <td>A-34515362<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=c3c87e770458aa004bd7ed3f29945ff436fd6511"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> |
| <td>23 ноября 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-sound-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10287</td> |
| <td>A-33784446<br /> |
| <a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=937bc9e644180e258c68662095861803f7ba4ded"> |
| QC-CR#1112751</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>20 декабря 2016 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0606</td> |
| <td>A-34088848<br /> |
| <a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=d3237316314c3d6f75a58192971f66e3822cd250"> |
| QC-CR#1116015</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>3 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5860</td> |
| <td>A-34623424<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=9f91ae0d7203714fc39ae78e1f1c4fd71ed40498"> |
| QC-CR#1100682</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>22 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5867</td> |
| <td>A-35400602<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=065360da7147003aed8f59782b7652d565f56be5"> |
| QC-CR#1095947</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0607</td> |
| <td>A-35400551<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b003c8d5407773d3aa28a48c9841e4c124da453d"> |
| QC-CR#1085928</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0608</td> |
| <td>A-35400458<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b66f442dd97c781e873e8f7b248e197f86fd2980"> |
| QC-CR#1098363</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0609</td> |
| <td>A-35399801<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=38a83df036084c00e8c5a4599c8ee7880b4ee567"> |
| QC-CR#1090482</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5859</td> |
| <td>A-35399758<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=97fdb441a9fb330a76245e473bc1a2155c809ebe"> |
| QC-CR#1096672</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0610</td> |
| <td>A-35399404<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=65009746a6e649779f73d665934561ea983892fe"> |
| QC-CR#1094852</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0611</td> |
| <td>A-35393841<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=1aa5df9246557a98181f03e98530ffd509b954c8"> |
| QC-CR#1084210</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5853</td> |
| <td>A-35392629<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a8f3b894de319718aecfc2ce9c691514696805be"> |
| QC-CR#1102987</a></td> |
| <td>Высокий</td> |
| <td>Нет*</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-led-driver">Повышение привилегий через LED-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10288</td> |
| <td>A-33863909<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=db2cdc95204bc404f03613d5dd7002251fb33660"> |
| QC-CR#1109763</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>23 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-crypto-driver">Повышение привилегий через драйвер шифрования Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10289</td> |
| <td>A-33899710<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a604e6f3889ccc343857532b63dea27603381816"> |
| QC-CR#1116295</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>24 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-shared-memory-driver">Повышение привилегий через драйвер общей памяти Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10290</td> |
| <td>A-33898330<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49"> |
| QC-CR#1109782</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>24 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-slimbus-driver">Повышение привилегий через Slimbus-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10291</td> |
| <td>A-34030871<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a225074c0494ca8125ca0ac2f9ebc8a2bd3612de"> |
| QC-CR#986837</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td> |
| <td>31 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-adsprpc-driver">Повышение привилегий через ADSPRPC-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0465</td> |
| <td>A-34112914<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=3823f0f8d0bbbbd675a42a54691f4051b3c7e544"> |
| QC-CR#1110747</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>5 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-secure-execution-environment-communicator-driver">Повышение привилегий через драйвер Qualcomm для QSEE Communicator</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0612</td> |
| <td>A-34389303<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=05efafc998dc86c3b75af9803ca71255ddd7a8eb"> |
| QC-CR#1061845</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0613</td> |
| <td>A-35400457<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b108c651cae9913da1ab163cb4e5f7f2db87b747"> |
| QC-CR#1086140</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0614</td> |
| <td>A-35399405<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=fc2ae27eb9721a0ce050c2062734fec545cda604"> |
| QC-CR#1080290</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-mediatek-power-driver">Повышение привилегий через драйвер питания MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0615</td> |
| <td>A-34259126*<br /> |
| M-ALPS03150278</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>12 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-mediatek-system-management-interrupt-driver">Повышение привилегий через драйвер прерываний системного управления MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0616</td> |
| <td>A-34470286*<br /> |
| M-ALPS03149160</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>19 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-mediatek-video-driver">Повышение привилегий через видеодрайвер MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0617</td> |
| <td>A-34471002*<br /> |
| M-ALPS03149173</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>19 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-mediatek-command-queue-driver">Повышение привилегий через драйвер очереди команд MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0618</td> |
| <td>A-35100728*<br /> |
| M-ALPS03161536</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>7 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="eop-in-qualcomm-pin-controller-driver">Повышение привилегий через драйвер контроллера контактов Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0619</td> |
| <td>A-35401152<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.14/commit/?id=72f67b29a9c5e6e8d3c34751600c749c5f5e13e1"> |
| QC-CR#826566</a></td> |
| <td>Высокий</td> |
| <td>Nexus 6, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-secure-channel-manager-driver">Повышение привилегий через драйвер управления защищенным каналом Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0620</td> |
| <td>A-35401052<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=01b2c9a5d728ff6f2f1f28a5d4e927aaeabf56ed"> |
| QC-CR#1081711</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-sound-codec-driver">Повышение привилегий через аудиодрайвер кодеков Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5862</td> |
| <td>A-35399803<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=4199451e83729a3add781eeafaee32994ff65b04"> |
| QC-CR#1099607</a></td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-kernel-voltage-regulator-driver">Повышение привилегий через драйвер регулятора напряжения ядра</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-9940</td> |
| <td>A-35399757<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=60a2362f769cf549dc466134efe71c8bf9fbaaba"> |
| Upstream kernel</a></td> |
| <td>Высокий</td> |
| <td>Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0621</td> |
| <td>A-35399703<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=9656e2c2b3523af20502bf1e933e35a397f5e82f"> |
| QC-CR#831322</a></td> |
| <td>Высокий</td> |
| <td>Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-qualcomm-networking-driver">Повышение привилегий через сетевой драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5868</td> |
| <td>A-35392791<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=fbb765a3f813f5cc85ddab21487fd65f24bf6a8c"> |
| QC-CR#1104431</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Pixel, Pixel XL</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-7184</td> |
| <td>A-36565222<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=677e806da4d916052585301785d847c3b3e6186a">Upstream kernel</a> <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f843ee6dd019bcece3e74e76ad9df0155655d0df">[2]</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One</td> |
| <td>23 марта 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-goodix-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Goodix</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0622</td> |
| <td>A-32749036<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=40efa25345003a96db34effbd23ed39530b3ac10"> |
| QC-CR#1098602</a></td> |
| <td>Высокий</td> |
| <td>Android One</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="eop-in-htc-bootloader">Повышение привилегий через загрузчик HTC</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0623</td> |
| <td>A-32512358*<br /> |
| </td> |
| <td>Высокий</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0624</td> |
| <td>A-34327795*<br /> |
| QC-CR#2005832</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Pixel, Pixel XL</td> |
| <td>16 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-mediatek-command-queue-driver">Раскрытие информации через драйвер очереди команд MediaTek</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0625</td> |
| <td>A-35142799*<br /> |
| M-ALPS03161531</td> |
| <td>Высокий</td> |
| <td>Нет**</td> |
| <td>8 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1 и выше, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="id-in-qualcomm-crypto-engine-driver">Раскрытие информации через драйвер Qualcomm для шифрования</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0626</td> |
| <td>A-35393124<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=64551bccab9b5b933757f6256b58f9ca0544f004"> |
| QC-CR#1088050</a></td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="dos-in-qualcomm-wi-fi-driver">Отказ в обслуживании в Wi-Fi-драйвере Qualcomm</h3> |
| |
| <p>Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10292</td> |
| <td>A-34514463*<br /> |
| QC-CR#1065466</td> |
| <td>Высокий</td> |
| <td>Nexus 5X, Pixel, Pixel XL</td> |
| <td>16 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-kernel-uvc-driver">Раскрытие информации через UVC-драйвер ядра</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0627</td> |
| <td>A-33300353*<br /> |
| </td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>2 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10293</td> |
| <td>A-33352393<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=2469d5374745a2228f774adbca6fb95a79b9047f"> |
| QC-CR#1101943</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6P, Android One</td> |
| <td>4 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-power-driver-(device-specific)">Раскрытие информации через драйвер питания Qualcomm (только на некоторых устройствах)</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10294</td> |
| <td>A-33621829<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9e9bc51ffb8a298f0be5befe346762cdb6e1d49c"> |
| QC-CR#1105481</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> |
| <td>14 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-led-driver">Раскрытие информации через LED-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. |
| Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10295</td> |
| <td>A-33781694<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=f11ae3df500bc2a093ddffee6ea40da859de0fa9"> |
| QC-CR#1109326</a></td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>20 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-shared-memory-driver">Раскрытие информации через драйвер общей памяти Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10296</td> |
| <td>A-33845464<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49"> |
| QC-CR#1109782</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>22 декабря 2016 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-camera-driver">Раскрытие информации через драйвер Qualcomm для камеры</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0628</td> |
| <td>A-34230377<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f"> |
| QC-CR#1086833</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Pixel, Pixel XL</td> |
| <td>10 января 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0629</td> |
| <td>A-35214296<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f"> |
| QC-CR#1086833</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Pixel, Pixel XL</td> |
| <td>8 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-kernel-trace-subsystem">Раскрытие информации через подсистему трассировки ядра</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0630</td> |
| <td>A-34277115*<br /> |
| </td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> |
| <td>11 января 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-qualcomm-sound-codec-driver">Раскрытие информации через аудиодрайвер кодеков Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5858</td> |
| <td>A-35400153<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=3154eb1d263b9c3eab2c9fa8ebe498390bf5d711">QC-CR#1096799</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=afc5bea71bc8f251dad1104568383019f4923af6">[2]</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-camera-driver-2">Раскрытие информации через драйвер Qualcomm для камеры</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0631</td> |
| <td>A-35399756<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=8236d6ebc7e26361ca7078cbeba01509f10941d8"> |
| QC-CR#1093232</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-sound-driver">Раскрытие информации через аудиодрайвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5347</td> |
| <td>A-35394329<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=f14390f13e62460fc6b05fc0acde0e825374fdb6"> |
| QC-CR#1100878</a></td> |
| <td>Средний</td> |
| <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-qualcomm-spcom-driver">Раскрытие информации через SPCom-драйвер Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-5854</td> |
| <td>A-35392792<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=28d23d4d7999f683b27b6e0c489635265b67a4c9"> |
| QC-CR#1092683</a></td> |
| <td>Средний</td> |
| <td>Нет*</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-5855</td> |
| <td>A-35393081<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a5edb54e93ba85719091fe2bc426d75fa7059834"> |
| QC-CR#1094143</a></td> |
| <td>Средний</td> |
| <td>Нет*</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> |
| |
| <h3 id="id-in-qualcomm-sound-codec-driver-2">Раскрытие информации через аудиодрайвер кодеков Qualcomm</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0632</td> |
| <td>A-35392586<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=970d6933e53c1f7ca8c8b67f49147b18505c3b8f"> |
| QC-CR#832915</a></td> |
| <td>Средний</td> |
| <td>Android One</td> |
| <td>15 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="id-in-broadcom-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Broadcom</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному компоненту получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0633</td> |
| <td>A-36000515*<br /> |
| B-RB#117131</td> |
| <td>Средний</td> |
| <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> |
| <td>23 февраля 2017 г.</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="id-in-synaptics-touchscreen-driver">Раскрытие информации через драйвер сенсорного экрана Synaptics</h3> |
| |
| <p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0634</td> |
| <td>A-32511682*<br /> |
| </td> |
| <td>Средний</td> |
| <td>Pixel, Pixel XL</td> |
| <td>Доступно только сотрудникам Google</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <h3 id="vulnerabilities-in-qualcomm-components-2">Уязвимости в компонентах Qualcomm</h3> |
| |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности.</p> |
| |
| <table> |
| <colgroup><col width="19%" /> |
| <col width="20%" /> |
| <col width="10%" /> |
| <col width="23%" /> |
| <col width="17%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Уровень серьезности*</th> |
| <th>Обновленные устройства Google</th> |
| <th>Дата сообщения об ошибке</th> |
| </tr> |
| <tr> |
| <td>CVE-2014-9923</td> |
| <td>A-35434045**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9924</td> |
| <td>A-35434631**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9925</td> |
| <td>A-35444657**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9926</td> |
| <td>A-35433784**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9927</td> |
| <td>A-35433785**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9928</td> |
| <td>A-35438623**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9929</td> |
| <td>A-35443954**<br /> |
| QC-CR#644783</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9930</td> |
| <td>A-35432946**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9005</td> |
| <td>A-36393500**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9006</td> |
| <td>A-36393450**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2015-9007</td> |
| <td>A-36393700**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10297</td> |
| <td>A-36393451**</td> |
| <td>Критический</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9941</td> |
| <td>A-36385125**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9942</td> |
| <td>A-36385319**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9943</td> |
| <td>A-36385219**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9944</td> |
| <td>A-36384534**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9945</td> |
| <td>A-36386912**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9946</td> |
| <td>A-36385281**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9947</td> |
| <td>A-36392400**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9948</td> |
| <td>A-36385126**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9949</td> |
| <td>A-36390608**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9950</td> |
| <td>A-36385321**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9951</td> |
| <td>A-36389161**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| <tr> |
| <td>CVE-2014-9952</td> |
| <td>A-36387019**</td> |
| <td>Высокий</td> |
| <td>Нет***</td> |
| <td>Доступно только сотрудникам Qualcomm</td> |
| </tr> |
| </tbody></table> |
| |
| <p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> |
| |
| <p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> |
| |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> |
| |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong></p> |
| |
| <p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> |
| |
| <ul> |
| <li>В исправлении от 1 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-01.</li> |
| <li>В исправлении от 5 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-05. |
| </li> |
| </ul> |
| |
| <p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2017-05-01]</li> |
| <li>[ro.build.version.security_patch]:[2017-05-05]</li> |
| </ul> |
| |
| <p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> |
| |
| <p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> |
| <ul> |
| <li>На устройствах с установленным обновлением от 1 мая 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением от 5 мая 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| |
| <p>Рекомендуем партнерам собрать все исправления проблем в одно обновление.</p> |
| |
| <p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p> |
| |
| <p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-05-01-details">2017-05-01</a> и <a href="#2017-05-05-details">2017-05-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p> |
| <ul> |
| <li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li> |
| <li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> |
| <li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li> |
| </ul> |
| <p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p> |
| |
| <p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p> |
| |
| <table> |
| <tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <h2 id="revisions">Версии</h2> |
| <ul> |
| <li>1 мая 2017 года. Бюллетень опубликован.</li> |
| <li>2 мая 2017 года. Добавлены ссылки на AOSP.</li> |
| <li>10 августа 2017 года. Добавлена дополнительная ссылка на AOSP для CVE-2017-0493.</li> |
| <li>17 августа 2017 года. Обновлены ссылочные номера.</li> |
| <li>3 октября 2017 года. Удалена информация об уязвимости CVE-2017-0605.</li> |
| </ul> |
| |
| </body></html> |
