Google Git
Sign in
android / platform / docs / source.android.com / f9835d7a59b5f692182c85f85d33f2ad754faff6 / . / src-intl / ru_ALL / security / bulletin / 2016-07-01.jd
blob: ff9ba17531c42b44dd54abc444c194f073488f39 [file] [log] [blame]
page.title=Бюллетень по безопасности Android – июль 2016 г.
@jd:body
<!--
Copyright 2016 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 6 июля 2016 г. | Обновлено 14 июля 2016 г.</em></p>
<p>В этом бюллетене содержится информация об уязвимостях в защите
устройств Android. К его выходу мы выпустили автоматическое обновление
системы безопасности для устройств Nexus и опубликовали образы
прошивок Nexus на <a href="https://developers.google.com/android/nexus/images">сайте для разработчиков</a>. Все актуальные проблемы,
перечисленные здесь, устранены в исправлении от 5 июля 2016 года
или более новом. О том, как проверить обновления системы безопасности,
можно узнать в <a href="https://support.google.com/nexus/answer/4457705#nexus_devices">Справочном центре</a>.</p>
<p>
Мы сообщили партнерам об уязвимостях 6 июня 2016 года или ранее.
Исправления проблем загружены в хранилище Android Open Source Project (AOSP).
В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
<p>Наиболее серьезная из уязвимостей имеет критический уровень
и позволяет удаленно выполнять код на пораженном устройстве
(например, при работе с электронной почтой, просмотре сайтов
в Интернете или обработке медиафайлов MMS).</p>
<p>Обнаруженные уязвимости не эксплуатировались. В разделе <a href="mitigations">Предотвращение атак</a>
рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов,
например SafetyNet, помогают снизить вероятность атак на Android.</p>
<p>Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li>Мы включили в этот бюллетень сведения о двух обновлениях,
чтобы помочь нашим партнерам как можно скорее устранить
уязвимости, затрагивающие все устройства Android. Дополнительную
информацию вы найдете в разделе
<a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
<ul>
<li><strong>2016-07-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-07-01.
<li><strong>2016-07-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2016-07-01 и 2016-07-05.</li>
</li></ul>
</li>
<li>На поддерживаемые устройства Nexus будет установлено единое автоматическое обновление
системы безопасности от 5 июля 2016 года.</li>
</ul>
<h2 id="security_vulnerability_summary">Перечень уязвимостей</h2>
<p>В таблице ниже перечислены уязвимости, их идентификаторы (CVE)
и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus. <a href="{@docRoot}security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству
при атаке с использованием уязвимости, если средства защиты будут отключены
разработчиком или взломаны.</p>
<h3 id="2016-07-01_summary">Перечень уязвимостей (обновление системы безопасности 2016-07-01)</h3>
<p>
Перечисленные проблемы должны быть устранены в исправлении от 1 июля 2016 года или более новом.</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Nexus?</th>
</tr>
<tr>
<td>Удаленное выполнение кода через mediaserver</td>
<td>CVE-2016-2506, CVE-2016-2505, CVE-2016-2507, CVE-2016-2508,
CVE-2016-3741, CVE-2016-3742, CVE-2016-3743</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Удаленное выполнение кода через OpenSSL и BoringSSL</td>
<td>CVE-2016-2108</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Bluetooth</td>
<td>CVE-2016-3744</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через libpng</td>
<td>CVE-2016-3751</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через mediaserver</td>
<td>CVE-2016-3745, CVE-2016-3746, CVE-2016-3747</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через сокеты</td>
<td>CVE-2016-3748</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через LockSettingsService</td>
<td>CVE-2016-3749</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Framework API</td>
<td>CVE-2016-3750</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через службу ChooserTarget</td>
<td>CVE-2016-3752</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через mediaserver</td>
<td>CVE-2016-3753</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Раскрытие информации через OpenSSL</td>
<td>CVE-2016-2107</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Отказ в обслуживании в mediaserver</td>
<td>CVE-2016-3754, CVE-2016-3755, CVE-2016-3756</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в libc</td>
<td>CVE-2016-3818</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через lsof</td>
<td>CVE-2016-3757</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через DexClassLoader</td>
<td>CVE-2016-3758</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Framework API</td>
<td>CVE-2016-3759</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Bluetooth</td>
<td>CVE-2016-3760</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через NFC</td>
<td>CVE-2016-3761</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через сокеты</td>
<td>CVE-2016-3762</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через Proxy Auto-Config</td>
<td>CVE-2016-3763</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через mediaserver</td>
<td>CVE-2016-3764, CVE-2016-3765</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в mediaserver</td>
<td>CVE-2016-3766</td>
<td>Средний</td>
<td>Да</td>
</tr>
</table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
на которых установлены все доступные обновления.</p>
<h3 id="2016-07-05_summary">Перечень уязвимостей (обновление системы безопасности 2016-07-05)</h3>
<p>
В исправлении от 5 июля 2016 года или более новом устранены все проблемы,
упомянутые в обновлении 2016-07-01, а также уязвимости, перечисленные ниже.</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Nexus?</th>
</tr>
<tr>
<td>Повышение привилегий через драйвер Qualcomm для графического
процессора (уязвимость устройства)</td>
<td>CVE-2016-2503, CVE-2016-2067</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3767</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через компонент производительности процессора Qualcomm
(уязвимость устройства)</td>
<td>CVE-2016-3768</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через видеодрайвер NVIDIA
(уязвимость устройства)</td>
<td>CVE-2016-3769</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйверы MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773,
CVE-2016-3774</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через файловую систему ядра
(уязвимость устройства)</td>
<td>CVE-2016-3775</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через USB-драйвер (уязвимость устройства)</td>
<td>CVE-2015-8816</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через компоненты Qualcomm
(уязвимость устройства)</td>
<td>CVE-2014-9794, CVE-2014-9795, CVE-2015-8892, CVE-2013-7457, CVE-2014-9781,
CVE-2014-9786, CVE-2014-9788, CVE-2014-9779, CVE-2014-9780, CVE-2014-9789,
CVE-2014-9793, CVE-2014-9782, CVE-2014-9783, CVE-2014-9785, CVE-2014-9787,
CVE-2014-9784, CVE-2014-9777, CVE-2014-9778, CVE-2014-9790, CVE-2014-9792,
CVE-2014-9797, CVE-2014-9791, CVE-2014-9796, CVE-2014-9800, CVE-2014-9799,
CVE-2014-9801, CVE-2014-9802, CVE-2015-8891, CVE-2015-8888, CVE-2015-8889,
CVE-2015-8890</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через USB-драйвер Qualcomm
(уязвимость устройства)</td>
<td>CVE-2016-2502</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm
(уязвимость устройства)</td>
<td>CVE-2016-3792</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер Qualcomm для камеры
(уязвимость устройства)</td>
<td>CVE-2016-2501</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер NVIDIA для камеры
(уязвимость устройства)</td>
<td>CVE-2016-3793</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер питания MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3795, CVE-2016-3796</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Wi-Fi-драйвер Qualcomm
(уязвимость устройства)</td>
<td>CVE-2016-3797</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер MediaTek для аппаратного датчика
(уязвимость устройства)</td>
<td>CVE-2016-3798</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через видеодрайвер MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3799, CVE-2016-3800</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через GPS-драйвер MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3801</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через файловую систему ядра
(уязвимость устройства)</td>
<td>CVE-2016-3802, CVE-2016-3803</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер управления питанием MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3804, CVE-2016-3805</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер дисплея MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3806</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер SPI
(уязвимость устройства)</td>
<td>CVE-2016-3807, CVE-2016-3808</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через аудиодрайвер Qualcomm
(уязвимость устройства)</td>
<td>CVE-2016-2068</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через ядро (уязвимость устройства)</td>
<td>CVE-2014-9803</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через сетевой компонент (уязвимость устройства)</td>
<td>CVE-2016-3809</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через Wi-Fi-драйвер MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3810</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через видеодрайвер ядра
(уязвимость устройства)</td>
<td>CVE-2016-3811</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через драйвер видеокодека MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3812</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через USB-драйвер Qualcomm
(уязвимость устройства)</td>
<td>CVE-2016-3813</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через драйвер NVIDIA для камеры
(уязвимость устройства)</td>
<td>CVE-2016-3814, CVE-2016-3815</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через драйвер дисплея MediaTek
(уязвимость устройства)</td>
<td>CVE-2016-3816</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через драйвер ядра для телетайпа
(уязвимость устройства)</td>
<td>CVE-2016-0723</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в загрузчике Qualcomm
(уязвимость устройства)</td>
<td>CVE-2014-9798, CVE-2015-8893</td>
<td>Средний</td>
<td>Да</td>
</tr>
</table>
<h2 id="mitigations">Предотвращение атак</h2>
<p>Ниже рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a>
и средства защиты сервисов, например SafetyNet, позволяют
снизить вероятность атак на Android.</p>
<ul>
<li>Использование многих уязвимостей затрудняется в новых
версиях Android, поэтому мы рекомендуем всем пользователям
своевременно обновлять систему.</li>
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью
<a href="{@docRoot}security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке
<a href="{@docRoot}security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с
<a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь
устанавливает ПО из сторонних источников. Хотя в
Google Play инструменты для рутинга запрещены,
они могут встречаться в других магазинах. Если пользователь решает
установить такое приложение, Проверка предупреждает об этом.
Кроме того, она пытается идентифицировать известное вредоносное ПО,
использующее уязвимость для повышения привилегий, и блокировать
его установку. Если подобное ПО уже есть на устройстве, система
уведомит об этом пользователя и попытается удалить приложение.</li>
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким
процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li>Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности
Google Chrome: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
<li>Адам Доненфелд и другие сотрудники Check Point Software Technologies Ltd.: CVE-2016-2503
<li>Адам Пауэлл из Google: CVE-2016-3752
<li>Алекс Чапман и Пол Стоун из Context Information Security: CVE-2016-3763
<li>Энди Тайлер (<a href="https://twitter.com/ticarpi">@ticarpi</a>) из
<a href="https://www.e2e-assure.com/">e2e-assure</a>: CVE-2016-2457
<li>Бен Хоукс из Google Project Zero: CVE-2016-3775
<li>Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>),
Юань-Цун Ло (<a href="mailto:[email protected]">computernik@gmail.com</a>)
и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-3770,
CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
<li>Кристофер Тейт из Google: CVE-2016-3759
<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab
(<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-3762
<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)
и pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>) из IceSword Lab,
<a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a>: CVE-2016-3806,
CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810,
CVE-2016-3795, CVE-2016-3796
<li>Грег Кайзер из команды Google Android: CVE-2016-3758
<li>Гуан Гун (龚广) (<a href="https://twitter.com/oldfresher">@oldfresher</a>)
из Mobile Safe Team, <a href="http://www.360.com">Qihoo 360 Technology Co.
Ltd</a>.: CVE-2016-3764
<li>Хао Чэнь и Гуан Гун из Mobile Safe Team, <a href="http://www.360.com">
Qihoo 360 Technology Co. Ltd</a>.: CVE-2016-3792, CVE-2016-3768
<li>Хао Цинь из Security Research Lab, <a href="http://www.cmcm.com">Cheetah
Mobile</a>: CVE-2016-3754, CVE-2016-3766
<li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)
и pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>) из IceSword Lab,
<a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>: CVE-2016-3814,
CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
<li>Марко Нелиссен из Google: CVE-2016-3818
<li>Марк Бренд из Google Project Zero: CVE-2016-3757
<li><a href="https://github.com/michalbednarski">Михал Беднарский</a>: CVE-2016-3750
<li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>),
Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и
Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-3747,
CVE-2016-3746, CVE-2016-3765
<li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba
Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801,
CVE-2016-3812, CVE-2016-3798
<li>Питер Пи (<a href="https://twitter.com/heisecode">@heisecode</a>) из Trend
Micro: CVE-2016-3793
<li>Рики Вэй из Google: CVE-2016-3749
<li>Роланд Крак: CVE-2016-3753
<li>Скотт Бауэр (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>):
CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
<li>Василий Васильев: CVE-2016-2507
<li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из
Alibaba Inc.: CVE-2016-2508, CVE-2016-3755
<li>Вэнь Ню (<a href="https://twitter.com/NWMonster">@NWMonster</a>) из KeenLab
(<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-3809
<li>Силин Гун из отдела безопасности платформы Tencent: CVE-2016-3745
<li>Яцун Гу из лаборатории TCA Института программного обеспечения Китайской академии наук:
CVE-2016-3761
<li>Юнкэ Ван (<a href="https://twitter.com/Rudykewang">@Rudykewang</a>) из
Xuanwu LAB, Tencent: CVE-2016-2505
<li>Юнкэ Ван (<a href="https://twitter.com/Rudykewang">@Rudykewang</a>) и
Вэй Вэй (<a href="https://twitter.com/Danny__Wei">@Danny__Wei</a>) из Xuanwu
LAB, Tencent: CVE-2016-2506
<li>Юйлун Чжан и Тао (Ленкс) Вэй из Baidu X-Lab: CVE-2016-3744</li>
</li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></ul>
<h2 id="2016-07-01_details">Описание уязвимостей (обновление системы безопасности 2016-07-01)</h2>
<p>В этом разделе вы найдете подробную информацию обо всех
<a href="#2016-07-01_summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности,
таблицу с CVE, ссылками, уровнем серьезности, уязвимыми
устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения
об ошибке. Где возможно, мы приведем основную ссылку на опубликованное
изменение, связанное с идентификатором ошибки (например, список AOSP),
и дополнительные ссылки в квадратных скобках.</p>
<h3 id="remote-code-execution-vulnerability-in-mediaserver">
Удаленное выполнение кода через mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации
в памяти при обработке медиафайлов и данных в специально созданном файле.
Проблеме присвоен критический уровень серьезности из-за возможности
удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ
к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних
приложений.</p>
<p>Уязвимая функция является основной составляющей ОС. Многие приложения
позволяют контенту, особенно MMS-сообщениям и воспроизводимым
в браузере медиафайлам, дистанционно обращаться к ней.</p>
<table>
<col width="19%">
<col width="19%">
<col width="10%">
<col width="16%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2506</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/e248db02fbab2ee9162940bc19f087fd7d96cb9d">
A-28175045</a></td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>11 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2505</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/4f236c532039a61f0cf681d2e3c6e022911bbb5c">
A-28333006</a></td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>21 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2507</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/60547808ca4e9cfac50028c00c58a6ceb2319301">
A-28532266</a></td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>2 мая 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2508</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/f81038006b4c59a5a148dcad887371206033c28f">
A-28799341</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/d112f7d0c1dbaf0368365885becb11ca8d3f13a4">2</a>]
</td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>16 мая 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3741</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/e629194c62a9a129ce378e08cb1059a8a53f1795">
A-28165661</a>
[<a href="https://android.googlesource.com/platform/external/libavc/+/cc676ebd95247646e67907ccab150fb77a847335">2</a>]
</td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-3742</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/a583270e1c96d307469c83dc42bd3c5f1b9ef63f">
A-28165659</a>
</td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
<tr>
<td>CVE-2016-3743</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/ecf6c7ce6d5a22d52160698aab44fc234c63291a">
A-27907656</a>
</td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="remote-code-execution-vulnerability-in-openssl-&amp;-boringssl">
Удаленное выполнение кода через OpenSSL и BoringSSL</h3>
<p>Уязвимость позволяет злоумышленнику нарушить целостность информации
в памяти при обработке файлов и данных в специально созданном файле.
Проблеме присвоен критический уровень серьезности из-за возможности
удаленного выполнения кода в контексте затрагиваемого процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2108</td>
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/74750e1fb24149043a533497f79c577b704d6e30">
A-28175332</a>
</td>
<td>Критический</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>3 мая 2016 г.</td>
</tr>
</table>
<h3 id="remote-code-execution-vulnerability-in-bluetooth">
Удаленное выполнение кода через Bluetooth</h3>
<p>Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять
произвольный код во время подключения устройства Bluetooth. Из-за этого
проблеме присвоен высокий уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3744</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/514139f4b40cbb035bb92f3e24d5a389d75db9e6">
A-27930580</a></td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>30 марта 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-libpng">
Повышение привилегий через libpng</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код в контексте системного приложения с расширенным
доступом. Проблеме присвоен высокий уровень серьезности, поскольку
с ее помощью можно получить разрешения, недоступные
сторонним приложениям (например,
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3751</td>
<td><a href="https://android.googlesource.com/platform/external/libpng/+/9d4853418ab2f754c2b63e091c29c5529b8b86ca">
A-23265085</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>3 декабря 2015 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-mediaserver">
Повышение привилегий через mediaserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код в контексте системного приложения с расширенным
доступом. Проблеме присвоен высокий уровень серьезности, поскольку
с ее помощью можно получить разрешения, недоступные
сторонним приложениям (например,
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">Signature</a> и
<a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">SignatureOrSystem</a>).</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3745</td>
<td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/073a80800f341325932c66818ce4302b312909a4">
A-28173666</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>10 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3746</td>
<td><a href="https://android.googlesource.com/platform/hardware/qcom/media/+/5b82f4f90c3d531313714df4b936f92fb0ff15cf">
A-27890802</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>27 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3747</td>
<td><a href="https://android.googlesource.com/platform/hardware/qcom/media/+/4ed06d14080d8667d5be14eed200e378cba78345">
A-27903498</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>28 марта 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-sockets">
Повышение привилегий через сокеты</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к системным вызовам.
Проблеме присвоен
высокий уровень серьезности, поскольку она позволяет обойти защиту,
предотвращающую атаки на платформу.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3748</td>
<td><a href="https://android.googlesource.com/platform/external/sepolicy/+/556bb0f55324e8839d7b735a0de9bc31028e839e">
A-28171804</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>13 апреля 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-locksettingsservice">
Повышение привилегий через LockSettingsService</h3>
<p>Уязвимость позволяет вредоносному ПО сбрасывать пароль для блокировки экрана без разрешения пользователя. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость локально обходит обязательные требования относительно взаимодействия с пользователем либо изменения настроек безопасности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3749</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/e83f0f6a5a6f35323f5367f99c8e287c440f33f5">
A-28163930</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-framework-apis">
Повышение привилегий через Framework API</h3>
<p>Уязвимость повышает привилегии через Parcels Framework API и позволяет
локальному вредоносному ПО обходить защиту ОС, обеспечивающую
раздельное хранение данных приложений. Проблеме присвоен высокий уровень
серьезности, поскольку с ее помощью можно получить несанкционированный
доступ к данным.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3750</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/54cb02ad733fb71b1bdf78590428817fb780aff8">
A-28395952</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>16 декабря 2015 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-choosertarget-service">
Повышение привилегий через службу ChooserTarget</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте другого приложения. Проблеме присвоен высокий уровень
серьезности, поскольку с ее помощью можно получить несанкционированный
доступ к данным о действиях в другом приложении.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3752</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/ddbf2db5b946be8fdc45c7b0327bf560b2a06988">
A-28384423</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="information-disclosure-vulnerability-in-mediaserver">
Раскрытие информации через mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику получить удаленный доступ
к защищенным данным, с которыми могут работать только
авторизованные приложения, установленные на устройстве. Из-за этого
проблеме присвоен высокий уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3753</td>
<td>A-27210135</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4</td>
<td>15 февраля 2016 г.</td>
</tr>
</table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
на которых установлены все доступные обновления.</p>
<h3 id="information-disclosure-vulnerability-in-openssl">
Раскрытие информации через OpenSSL</h3>
<p>Уязвимость позволяет злоумышленнику получить удаленный доступ
к защищенным данным, с которыми могут работать только
авторизованные приложения, установленные на устройстве. Из-за этого
проблеме присвоен высокий уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2107</td>
<td>A-28550804</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1</td>
<td>13 апреля 2016 г.</td>
</tr>
</table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
на которых установлены все доступные обновления.</p>
<h3 id="denial-of-service-vulnerability-in-mediaserver">
Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
зависание устройства с помощью специально созданного файла. Проблеме
присвоен высокий уровень серьезности, поскольку она приводит к отказу
в обслуживании.</p>
<table>
<col width="19%">
<col width="19%">
<col width="10%">
<col width="16%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3754</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6fdee2a83432b3b150d6a34f231c4e2f7353c01e">
A-28615448</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/e7142a0703bc93f75e213e96ebc19000022afed9">2</a>]
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>5 мая 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3755</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/d4841f1161bdb5e13cb19e81af42437a634dd6ef">
A-28470138</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>29 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3756</td>
<td><a href="https://android.googlesource.com/platform/external/tremolo/+/659030a2e80c38fb8da0a4eb68695349eec6778b">
A-28556125</a>
</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="denial-of-service-vulnerability-in-libc">
Отказ в обслуживании в libc</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
зависание устройства с помощью специально созданного файла. Проблеме
присвоен высокий уровень серьезности, поскольку она приводит к отказу
в обслуживании.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3818</td>
<td>A-28740702</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>*Эта уязвимость не затрагивает поддерживаемые устройства Nexus,
на которых установлены все доступные обновления.</p>
<h3 id="elevation-of-privilege-vulnerability-in-lsof">
Повышение привилегий через lsof</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять
произвольный код на устройстве. Из-за этого нарушается работа
системы безопасности. Проблеме присвоен средний уровень
серьезности, поскольку уязвимость требует выполнения нестандартного
набора действий вручную.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3757</td>
<td><a href="https://android.googlesource.com/platform/system/core/+/ae18eb014609948a40e22192b87b10efc680daa7">
A-28175237</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>11 апреля 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-dexclassloader">
Повышение привилегий через DexClassLoader</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности,
поскольку уязвимость требует выполнения нестандартного набора действий
вручную.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3758</td>
<td><a href="https://android.googlesource.com/platform/dalvik/+/338aeaf28e9981c15d0673b18487dba61eb5447c">
A-27840771</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-framework-apis-2">
Повышение привилегий через Framework API</h3>
<p>Уязвимость позволяет локальному вредоносному ПО запрашивать разрешения
на создание резервных копий и перехватывать все копируемые данные.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует
специальных разрешений для обхода защиты ОС, обеспечивающей раздельное
хранение данных приложений.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3759</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/9b8c6d2df35455ce9e67907edded1e4a2ecb9e28">
A-28406080</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-bluetooth">
Повышение привилегий через Bluetooth</h3>
<p>Уязвимость позволяет злоумышленнику, находящемуся поблизости, добавлять
устройства Bluetooth в список надежных и сохранять их для основного
пользователя. Проблеме присвоен средний уровень серьезности,
поскольку с ее помощью можно получить дополнительные
привилегии на устройстве без явного разрешения владельца.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3760</td>
<td><a href="https://android.googlesource.com/platform/hardware/libhardware/+/8b3d5a64c3c8d010ad4517f652731f09107ae9c5">A-27410683</a>
[<a href="https://android.googlesource.com/platform/system/bt/+/37c88107679d36c419572732b4af6e18bb2f7dce">2</a>]
[<a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/122feb9a0b04290f55183ff2f0384c6c53756bd8">3</a>]
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>29 февраля 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-nfc">
Повышение привилегий через NFC</h3>
<p>Уязвимость позволяет локальному вредоносному ПО, работающему
в фоновом режиме, получать несанкционированный доступ к данным
активного приложения. Проблеме присвоен средний уровень серьезности,
поскольку с ее помощью можно получить дополнительные
привилегии на устройстве без явного разрешения владельца.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3761</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Nfc/+/9ea802b5456a36f1115549b645b65c791eff3c2c">
A-28300969</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>20 апреля 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-sockets-2">
Повышение привилегий через сокеты</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать доступ
к некоторым нестандартным типам сокетов и, как следствие, возможность
выполнять произвольный код в контексте ядра. Проблеме
присвоен средний уровень серьезности, поскольку она позволяет обойти защиту, предотвращающую атаки на платформу.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3762</td>
<td><a href="https://android.googlesource.com/platform/external/sepolicy/+/abf0663ed884af7bc880a05e9529e6671eb58f39">
A-28612709</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>21 апреля 2016 г.</td>
</tr>
</table>
<h3 id="information-disclosure-vulnerability-in-proxy-auto-config">
Раскрытие информации через Proxy Auto-Config</h3>
<p>Уязвимость позволяет ПО получить несанкционированный доступ к
конфиденциальной информации. Из-за этого проблеме присвоен
средний уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3763</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/ec2fc50d202d975447211012997fe425496c849c">
A-27593919</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>10 марта 2016 г.</td>
</tr>
</table>
<h3 id="information-disclosure-vulnerability-in-mediaserver-2">
Раскрытие информации через mediaserver</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получить несанкционированный
доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний
уровень серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3764</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/daef4327fe0c75b0a90bb8627458feec7a301e1f">
A-28377502</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>25 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3765</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/d1c775d1d8d2ed117d1e026719b7f9f089716597">
A-28168413</a>
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>6.0, 6.0.1</td>
<td>8 апреля 2016 г.</td>
</tr>
</table>
<h3 id="denial-of-service-vulnerability-in-mediaserver-2">
Отказ в обслуживании в mediaserver</h3>
<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
зависание устройства с помощью специально созданного файла. Проблеме
присвоен средний уровень серьезности, поскольку она приводит к отказу
в обслуживании.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="19%">
<col width="18%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3766</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6fdee2a83432b3b150d6a34f231c4e2f7353c01e">
A-28471206</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/e7142a0703bc93f75e213e96ebc19000022afed9">2</a>]
</td>
<td>Средний</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>29 апреля 2016 г.</td>
</tr>
</table>
<h2 id="2016-07-05_details">Описание уязвимостей (обновление системы безопасности 2016-07-05)</h2>
<p>В этом разделе вы найдете подробную информацию обо всех
<a href="2016-07-05_summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности,
таблицу с CVE, ссылками, уровнем серьезности, уязвимыми
устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения
об ошибке. Где возможно, мы приведем основную ссылку на опубликованное
изменение, связанное с идентификатором ошибки (например, список AOSP),
и дополнительные ссылки в квадратных скобках.</p>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-gpu-driver">
Повышение привилегий через драйвер Qualcomm для графического процессора</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности,
поскольку из-за нее нарушается работа системы безопасности. Возможно,
для устранения проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2503</td>
<td>A-28084795*
QC-CR1006067</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6P</td>
<td>5 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-2067</td>
<td>A-28305757
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.18/commit/?id=410cfa95f0a1cf58819cbfbd896f9aa45b004ac0">
QC-CR988993</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P</td>
<td>20 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-wi-fi-driver">
Повышение привилегий через Wi-Fi-драйвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
из-за нее нарушается работа системы безопасности. Возможно, для устранения
проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3767</td>
<td>A-28169363*
<br>M-ALPS02689526</td>
<td>Критический</td>
<td>Android One</td>
<td>6 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-performance-component">
Повышение привилегий через компонент производительности Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
из-за нее нарушается работа системы безопасности. Возможно, для устранения
проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3768</td>
<td>A-28172137*
QC-CR1010644</td>
<td>Критический</td>
<td>Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013)</td>
<td>9 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-nvidia-video-driver">
Повышение привилегий через видеодрайвер NVIDIA</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
из-за нее нарушается работа системы безопасности. Возможно, для устранения
проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3769</td>
<td>A-28376656*<br>
N-CVE20163769</td>
<td>Критический</td>
<td>Nexus 9</td>
<td>18 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-drivers-device-specific">
Повышение привилегий через драйверы MediaTek (уязвимость устройства)</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
из-за нее нарушается работа системы безопасности. Возможно, для устранения
проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3770</td>
<td>A-28346752*<br>
M-ALPS02703102</td>
<td>Критический</td>
<td>Android One</td>
<td>22 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3771</td>
<td>A-29007611*<br>
M-ALPS02703102</td>
<td>Критический</td>
<td>Android One</td>
<td>22 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3772</td>
<td>A-29008188*<br>
M-ALPS02703102</td>
<td>Критический</td>
<td>Android One</td>
<td>22 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3773</td>
<td>A-29008363*<br>
M-ALPS02703102</td>
<td>Критический</td>
<td>Android One</td>
<td>22 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3774</td>
<td>A-29008609*<br>
M-ALPS02703102</td>
<td>Критический</td>
<td>Android One</td>
<td>22 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-kernel-file-system">
Повышение привилегий через файловую систему ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку
из-за нее нарушается работа системы безопасности. Возможно, для устранения
проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3775</td>
<td>A-28588279*</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P и Nexus Player, Pixel C</td>
<td>4 мая 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-usb-driver">
Повышение привилегий через USB-драйвер</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Ей присвоен критический уровень серьезности,
поскольку из-за нее нарушается работа системы безопасности. Возможно,
для устранения проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8816</td>
<td>A-28712303*</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C</td>
<td>4 мая 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-components">
Повышение привилегий через компоненты Qualcomm</h3>
<p>В таблице ниже перечислены уязвимости системы безопасности, затрагивающие
компоненты Qualcomm, в том числе загрузчик, драйвер камеры, символьный
драйвер, сеть, аудиодрайвер и видеодрайвер.</p>
<p>Наиболее важным проблемам присвоен критический уровень серьезности,
поскольку из-за них нарушается работа системы безопасности. Возможно,
для устранения такой проблемы потребуется переустановить ОС.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности*</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9795</td>
<td>A-28820720<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=ce2a0ea1f14298abc83729f3a095adab43342342">QC-CR681957</a>
[<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=fc3b31f81a1c128c2bcc745564a075022cd72a2e">2</a>]
</td>
<td>Критический</td>
<td>Nexus 5</td>
<td>8 августа 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9794</td>
<td>A-28821172<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=f39085971c8c4e36cadbf8a72aabe6c7ff538ffa">QC-CR646385</a>
</td>
<td>Критический</td>
<td>Nexus 7 (2013)</td>
<td>8 августа 2014 г.</td>
</tr>
<tr>
<td>CVE-2015-8892</td>
<td>A-28822807<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=fae606b9dd92c021e2419369975264f24f60db23">QC-CR902998</a>
</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6P</td>
<td>30 декабря 2015 г.</td>
</tr>
<tr>
<td>CVE-2014-9781</td>
<td>A-28410333<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/drivers/video/?h=LA.BF.1.1.3_rb1.12&amp;id=a2b5237ad265ec634489c8b296d870827b2a1b13&amp;context=20&amp;ignorews=0&amp;dt=0">QC-CR556471</a>
</td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>6 февраля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9786</td>
<td>A-28557260<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/patch/?id=2fb303d9c6ca080f253b10ed9384293ca69ad32b">QC-CR545979</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>13 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9788</td>
<td>A-28573112<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=73bfc22aa70cc0b7e6709381125a0a42aa72a4f2">QC-CR548872</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>13 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9779</td>
<td>A-28598347<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/arch/arm/mach-msm/qdsp6v2/msm_audio_ion.c?h=LA.BF.1.1.3_rb1.12&amp;id=0b5f49b360afdebf8ef55df1e48ec141b3629621">QC-CR548679</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>13 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9780</td>
<td>A-28602014<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.10/commit/?id=b5bb13e1f738f90df11e0c17f843c73999a84a54">QC-CR542222</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 5X, Nexus 6P</td>
<td>13 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9789</td>
<td>A-28749392<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=5720ed5c3a786e3ba0a2428ac45da5d7ec996b4e">QC-CR556425</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>13 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9793</td>
<td>A-28821253<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=0dcccecc4a6a9a9b3314cb87b2be8b52df1b7a81">QC-CR580567</a></td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>13 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9782</td>
<td>A-28431531<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/patch/?id=2e57a46ab2ba7299d99d9cdc1382bd1e612963fb">QC-CR511349</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>31 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9783</td>
<td>A-28441831<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=2b1050b49a9a5f7bb57006648d145e001a3eaa8b">QC-CR511382</a>
[<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=a7502f4f801bb95bff73617309835bb7a016cde5">2</a>]</td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>31 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9785</td>
<td>A-28469042<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=b4338420db61f029ca6713a89c41b3a5852b20ce">QC-CR545747</a></td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>31 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9787</td>
<td>A-28571496<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=528400ae4cba715f6c9ff4a2657dafd913f30b8b">QC-CR545764</a></td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>31 марта 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9784</td>
<td>A-28442449<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=36503d639cedcc73880974ed92132247576e72ba">QC-CR585147</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>30 апреля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9777</td>
<td>A-28598501<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=17bfaf64ad503d2e6607d2d3e0956f25bf07eb43">QC-CR563654</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>30 апреля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9778</td>
<td>A-28598515<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=af85054aa6a1bcd38be2354921f2f80aef1440e5">QC-CR563694</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>30 апреля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9790</td>
<td>A-28769136<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&amp;id=6ed921bda8cbb505e8654dfc1095185b0bccc38e">QC-CR545716</a>
[<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit?h=LA.BF.1.1.3_rb1.12&amp;id=9bc30c0d1832f7dd5b6fa10d5e48a29025176569">2</a>]</td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>30 апреля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9792</td>
<td>A-28769399<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=a3e3dd9fc0a2699ae053ffd3efb52cdc73ad94cd">QC-CR550606</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>30 апреля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9797</td>
<td>A-28821090<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=3312737f3e1ec84dd67ee0622c7dd031083f71a4">QC-CR674071</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>3 июля 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9791</td>
<td>A-28803396<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&amp;id=9aabfc9e7775abbbcf534cdecccc4f12ee423b27">QC-CR659364</a></td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>29 августа 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9796</td>
<td>A-28820722<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=2e21b3a57cac7fb876bcf43244d7cc3dc1f6030d">QC-CR684756</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>30 сентября 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9800</td>
<td>A-28822150<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=6390f200d966dc13cf61bb5abbe3110447ca82b5">QC-CR692478</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>31 октября 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9799</td>
<td>A-28821731<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=c2119f1fba46f3b6e153aa018f15ee46fe6d5b76">QC-CR691916</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>31 октября 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9801</td>
<td>A-28822060<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=cf8f5a105bafda906ccb7f149d1a5b8564ce20c0">QC-CR705078</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>28 ноября 2014 г.</td>
</tr>
<tr>
<td>CVE-2014-9802</td>
<td>A-28821965<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=222e0ec9bc755bfeaa74f9a0052b7c709a4ad054">QC-CR705108</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>31 декабря 2014 г.</td>
</tr>
<tr>
<td>CVE-2015-8891</td>
<td>A-28842418<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=4f829bb52d0338c87bc6fbd0414b258f55cc7c62">QC-CR813930</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>29 мая 2015 г.</td>
</tr>
<tr>
<td>CVE-2015-8888</td>
<td>A-28822465<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=1321f34f1ebcff61ad7e65e507cfd3e9028af19b">QC-CR813933</a></td>
<td>Высокий</td>
<td>Nexus 5</td>
<td>30 июня 2015 г.</td>
</tr>
<tr>
<td>CVE-2015-8889</td>
<td>A-28822677<br>
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=fa774e023554427ee14d7a49181e9d4afbec035e">QC-CR804067</a></td>
<td>Высокий</td>
<td>Nexus 6P</td>
<td>30 июня 2015 г.</td>
</tr>
<tr>
<td>CVE-2015-8890</td>
<td>A-28822878<br>
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=e22aca36da2bb6f5016f3c885eb8c8ff85c115e4">QC-CR823461</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>19 августа 2015 г</td>
</tr>
</table>
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-usb-driver">
Повышение привилегий через USB-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2502</td>
<td>A-27657963
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.10/commit/?id=0bc45d7712eabe315ce8299a49d16433c3801156">QC-CR997044</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P</td>
<td>11 марта 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-wi-fi-driver">
Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3792</td>
<td>A-27725204
<a href="https://us.codeaurora.org/cgit/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=28d4f0c1f712bffb4aa5b47f06e97d5a9fa06d29">QC-CR561022</a></td>
<td>Высокий</td>
<td>Nexus 7 (2013)</td>
<td>17 марта 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-camera-driver">
Повышение привилегий через драйвер Qualcomm для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2501</td>
<td>A-27890772*
QC-CR1001092</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013)</td>
<td>27 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-nvidia-camera-driver">
Повышение привилегий через драйвер NVIDIA для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3793</td>
<td>A-28026625*<br>
N-CVE20163793</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>5 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-power-driver">
Повышение привилегий через драйвер питания MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3795</td>
<td>A-28085222*<br>
M-ALPS02677244</td>
<td>Высокий</td>
<td>Android One</td>
<td>7 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3796</td>
<td>A-29008443*<br>
M-ALPS02677244</td>
<td>Высокий</td>
<td>Android One</td>
<td>7 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-wi-fi-driver-2">
Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3797</td>
<td>A-28085680*
QC-CR1001450</td>
<td>Высокий</td>
<td>Nexus 5X</td>
<td>7 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-hardware-sensor-driver">
Повышение привилегий через драйвер MediaTek для аппаратного датчика</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3798</td>
<td>A-28174490*<br>
M-ALPS02703105</td>
<td>Высокий</td>
<td>Android One</td>
<td>11 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-video-driver">
Повышение привилегий через видеодрайвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3799</td>
<td>A-28175025*<br>
M-ALPS02693738</td>
<td>Высокий</td>
<td>Android One</td>
<td>11 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3800</td>
<td>A-28175027*<br>
M-ALPS02693739</td>
<td>Высокий</td>
<td>Android One</td>
<td>11 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-gps-driver">
Повышение привилегий через GPS-драйвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3801</td>
<td>A-28174914*<br>
M-ALPS02688853</td>
<td>Высокий</td>
<td>Android One</td>
<td>11 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-kernel-file-system-2">
Повышение привилегий через файловую систему ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3802</td>
<td>A-28271368*</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>19 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3803</td>
<td>A-28588434*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P</td>
<td>4 мая 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-power-management-driver">
Повышение привилегий через драйвер управления питанием MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код
в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3804</td>
<td>A-28332766*<br>
M-ALPS02694410</td>
<td>Высокий</td>
<td>Android One</td>
<td>20 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3805</td>
<td>A-28333002*<br>
M-ALPS02694412</td>
<td>Высокий</td>
<td>Android One</td>
<td>21 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-mediatek-display-driver">
Повышение привилегий через драйвер дисплея MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3806</td>
<td>A-28402341*<br>
M-ALPS02715341</td>
<td>Высокий</td>
<td>Android One</td>
<td>26 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-serial-peripheral-interface-driver">
Повышение привилегий через драйвер SPI</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3807</td>
<td>A-28402196*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P</td>
<td>26 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3808</td>
<td>A-28430009*</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>26 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-sound-driver">
Повышение привилегий через аудиодрайвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2068</td>
<td>A-28470967
<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?h=APSS.FSM.3.0&amp;id=01ee86da5a0cd788f134e360e2be517ef52b6b00">QC-CR1006609</a></td>
<td>Высокий</td>
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P</td>
<td>28 апреля 2016 г.</td>
</tr>
</table>
<h3 id="elevation-of-privilege-vulnerability-in-kernel">
Повышение привилегий через ядро</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9803</td>
<td>A-28557020<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/arch/arm64/include/asm/pgtable.h?h=linux-3.10.y&amp;id=5a0fdfada3a2aa50d7b947a2e958bf00cbe0d830">
Upstream kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="information-disclosure-vulnerability-in-networking-component">
Раскрытие информации через сетевой компонент</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный
доступ к конфиденциальным данным.
Из-за этого проблеме присвоен высокий уровень
серьезности.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3809</td>
<td>A-27532522*</td>
<td>Высокий</td>
<td><a href="#all_nexus">Все устройства</a></td>
<td>5 марта 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information-disclosure-vulnerability-in-mediatek-wi-fi-driver">
Раскрытие информации через Wi-Fi-драйвер MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный
доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень
серьезности.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3810</td>
<td>A-28175522*<br>
M-ALPS02694389</td>
<td>Высокий</td>
<td>Android One</td>
<td>12 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="elevation-of-privilege-vulnerability-in-kernel-video-driver">
Повышение привилегий через видеодрайвер ядра</h3>
<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку
уязвимость требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3811</td>
<td>A-28447556*</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information-disclosure-vulnerability-in-mediatek-video-codec-driver">
Раскрытие информации через драйвер видеокодека MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к данным. Проблеме присвоен средний
уровень серьезности, поскольку уязвимость требует сначала
нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3812</td>
<td>A-28174833*<br>
M-ALPS02688832</td>
<td>Средний</td>
<td>Android One</td>
<td>11 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information-disclosure-vulnerability-in-qualcomm-usb-driver">
Раскрытие информации через USB-драйвер Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к данным.
Проблеме присвоен средний
уровень серьезности, поскольку уязвимость требует сначала
нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3813</td>
<td>A-28172322*
QC-CR1010222</td>
<td>Средний</td>
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P</td>
<td>11 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information-disclosure-vulnerability-in-nvidia-camera-driver">
Раскрытие информации через драйвер NVIDIA для камеры</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к данным.
Проблеме присвоен средний
уровень серьезности, поскольку уязвимость требует сначала
нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3814</td>
<td>A-28193342*<br>
N-CVE20163814</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>14 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3815</td>
<td>A-28522274*<br>
N-CVE20163815</td>
<td>Средний</td>
<td>Nexus 9</td>
<td>1 мая 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information-disclosure-vulnerability-in-mediatek-display-driver">
Раскрытие информации через драйвер дисплея MediaTek</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к данным. Проблеме присвоен средний
уровень серьезности, поскольку уязвимость требует сначала
нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3816</td>
<td>A-28402240*</td>
<td>Средний</td>
<td>Android One</td>
<td>26 апреля 2016 г.</td>
</tr>
</table>
<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p>
<h3 id="information-disclosure-vulnerability-in-kernel-teletype-driver">
Раскрытие информации через драйвер ядра для телетайпа</h3>
<p>Уязвимость позволяет локальному вредоносному ПО получать
несанкционированный доступ к данным.
Проблеме присвоен средний
уровень серьезности, поскольку уязвимость требует сначала
нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0723</td>
<td>A-28409131<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5c17c861a357e9458001f021a7afa7aab9937439">Upstream
kernel</a></td>
<td>Средний</td>
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus
Player, Pixel C</td>
<td>26 апреля 2016 г.</td>
</tr>
</table>
<h3 id="denial-of-service-vulnerability-in-qualcomm-bootloader">
Отказ в обслуживании в загрузчике Qualcomm</h3>
<p>Уязвимость позволяет локальному вредоносному ПО вызывать нарушения в работе
системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость
требует сначала нарушить защиту привилегированного процесса.</p>
<table>
<col width="19%">
<col width="16%">
<col width="10%">
<col width="27%">
<col width="16%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Nexus</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9798</td>
<td>A-28821448
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=b05eed2491a098bf627ac485a5b43d2f4fae2484">QC-CR681965</a></td>
<td>Средний</td>
<td>Nexus 5</td>
<td>31 октября 2014 г.</td>
</tr>
<tr>
<td>CVE-2015-8893</td>
<td>A-28822690
<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=800255e8bfcc31a02e89460460e3811f225e7a69">QC-CR822275</a></td>
<td>Средний</td>
<td>Nexus 5, Nexus 7 (2013)</td>
<td>19 августа 2015 г</td>
</tr>
</table>
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть
после прочтения бюллетеня.</p>
<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p>
<p>В исправлении от 1 июля 2016 года устранены все проблемы, связанные
с обновлением 2016-07-01. В исправлении от 5 июля 2016 года или более новом
устранены все проблемы, связанные с обновлением 2016-07-05. О том, как узнать дату
последнего обновления системы безопасности, рассказывается в <a href="https://support.google.com/nexus/answer/4457705">Справочном центре</a>.
Производители устройств, позволяющие установить эти обновления, должны
присвоить им уровень
[ro.build.version.security_patch]:[2016-07-01] или
[ro.build.version.security_patch]:[2016-07-05].</p>
<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p>
<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь
нашим партнерам как можно скорее устранить уязвимости, затрагивающие
все устройства Android. Рекомендуем партнерам Android исправить все
вышеперечисленные проблемы и установить последнее обновление системы
безопасности.</p>
<p>На устройствах с установленным обновлением от 5 июля 2016 года или более
новым должны быть исправлены все проблемы, упомянутые в этом бюллетене
и предыдущих выпусках.</p>
<p>На устройствах с установленным обновлением от 1 июля 2016 года должны
быть исправлены все проблемы, упомянутые в соответствующем разделе этого
бюллетеня, а также в предыдущих выпусках. Кроме того, на них могут быть устранены
некоторые уязвимости, исправленные в обновлении от 5 июля 2016 года.</p>
<p id="all_nexus"><strong>3. Как определить, на каких устройствах Nexus присутствует уязвимость?</strong></p>
<p>В каждой таблице разделов с описанием уязвимостей <a href="#2016-07-01_details">2016-07-01</a> и
<a href="#2016-07-05_details">2016-07-05</a> есть столбец "Обновленные устройства Nexus". В нем указано,
на каких устройствах присутствует уязвимость.</p>
<ul>
<li><strong>Все устройства.</strong> Проблема возникает на<em></em>
следующих
<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">поддерживаемых устройствах Nexus</a>: Nexus 5, Nexus 5X, Nexus 6,
Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player и
Pixel C.</li>
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует
уязвимость.</li>
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Nexus.<em></em></li>
</ul>
<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p>
<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>.
Каждая запись в нем может содержать префикс, указывающий на
источник ссылки, а именно:</p>
<table>
<tr>
<th>Префикс</th>
<th>Значение</th>
</tr>
<tr>
<td>A-</td>
<td>Идентификатор ошибки Android</td>
</tr>
<tr>
<td>QC-</td>
<td>Ссылочный номер Qualcomm</td>
</tr>
<tr>
<td>M-</td>
<td>Ссылочный номер MediaTek</td>
</tr>
<tr>
<td>N-</td>
<td>Ссылочный номер NVIDIA</td>
</tr>
</table>
<h2 id="revisions">Версии</h2>
<ul>
<li>6 июля 2016 года. Бюллетень опубликован.</li>
<li>7 июля 2016 года.
<ul>
<li>Добавлены ссылки на AOSP.
<li>Удалена информация об уязвимости CVE-2016-3794, совпадающей с CVE-2016-3814.
<li>Добавлена атрибуция уязвимостей CVE-2016-2501 и CVE-2016-2502.
</li></li></li></ul>
</li>
<li>11 июля 2016 года. Обновлена атрибуция уязвимости CVE-2016-3750.</li>
<li>14 июля 2016 года. Обновлена атрибуция уязвимости CVE-2016-2503.</li>
</ul>