Google Git
Sign in
android / platform / docs / source.android.com / f9835d7a59b5f692182c85f85d33f2ad754faff6 / . / src-intl / ru_ALL / security / bulletin / 2016-11-01.jd
blob: da5798636bb29d8fa9a72dc52f7beae43f678433 [file] [log] [blame]
page.title=Бюллетень по безопасности Android – ноябрь 2016 г.
@jd:body
<!--
Copyright 2016 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>Опубликовано 7 ноября 2016 г. | Обновлено 8 ноября 2016 г.</em></p>
<p>
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 6 ноября 2016 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&amp;nexus_devices">Справочном центре</a>.</p>
<p>
Мы сообщили партнерам об уязвимостях 20 октября 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP).
В этом бюллетене также приведены ссылки на исправления вне AOSP.
</p>
<p>
Наиболее серьезная из уязвимостей имеет критический уровень
и позволяет удаленно выполнять код на пораженном устройстве
(например, при работе с электронной почтой, просмотре сайтов
в Интернете или обработке медиафайлов MMS).</p>
<p>
Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p>
<p>
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.</p>
<h2 id="announcements">Объявления</h2>
<ul>
<li>После представления устройств Pixel и Pixel XL под фразой <a href="#google-devices">все устройства, поддерживаемые Google</a> теперь подразумевается "устройства Google" (вместо ранее используемого термина "устройства Nexus").
</li>
<li>Мы включили в этот бюллетень сведения о трех обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
<ul>
<li><strong>2016-11-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-11-01 и более ранние.</li>
<li><strong>2016-11-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2016-11-01 и 2016-11-05, а также более ранние.</li>
<li><strong>Дополнительные обновления системы безопасности</strong>
<p>Дополнительные обновления системы безопасности служат для определения устройств с исправленными проблемами, информация о которых была опубликована после выпуска обновления. Исправление таких уязвимостей не обязательно до обновления системы безопасности уровня 2016-12-01.
</p>
<ul>
<li><strong>2016-11-06</strong>: обновление системы безопасности, в котором исправлены все уязвимости уровня 2016-11-05, а также CVE-2016-5195, опубликованная 19 октября 2016 г.</li>
</ul>
</li>
</ul>
</li>
<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 ноября 2016 года.</li>
</ul>
<h2 id="security-vulnerability-summary">Перечень уязвимостей</h2>
<p>
В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. <a href="{@docRoot}security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p>
<h3 id="2016-11-01-summary">Перечень уязвимостей (обновление системы безопасности 2016-11-01)</h3>
<p>
Перечисленные проблемы должны быть устранены в исправлении от 1 ноября 2016 года или более новом.</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Google?</th>
</tr>
<tr>
<td>Удаленное выполнение кода через mediaserver</td>
<td>CVE-2016-6699</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через libzipfile</td>
<td>CVE-2016-6700</td>
<td>Критический</td>
<td>Нет*</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Skia</td>
<td>CVE-2016-6701</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Удаленное выполнение кода через libjpeg</td>
<td>CVE-2016-6702</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Android Runtime</td>
<td>CVE-2016-6703</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через mediaserver</td>
<td>CVE-2016-6704, CVE-2016-6705, CVE-2016-6706</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через System Server</td>
<td>CVE-2016-6707</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через System UI</td>
<td>CVE-2016-6708</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через Conscrypt</td>
<td>CVE-2016-6709</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через диспетчер загрузки</td>
<td>CVE-2016-6710</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в Bluetooth</td>
<td>CVE-2014-9908</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Отказ в обслуживании в OpenJDK</td>
<td>CVE-2015-0410</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в mediaserver</td>
<td>CVE-2016-6711, CVE-2016-6712, CVE-2016-6713, CVE-2016-6714</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Framework API</td>
<td>CVE-2016-6715</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через AOSP Launcher</td>
<td>CVE-2016-6716</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через mediaserver</td>
<td>CVE-2016-6717</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через сервис управления аккаунтами</td>
<td>CVE-2016-6718</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через Bluetooth</td>
<td>CVE-2016-6719</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через mediaserver</td>
<td>CVE-2016-6720, CVE-2016-6721, CVE-2016-6722</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в автоконфигурации прокси-сервера</td>
<td>CVE-2016-6723</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в сервисе управления вводом</td>
<td>CVE-2016-6724</td>
<td>Средний</td>
<td>Да</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="2016-11-05-summary">Перечень уязвимостей (обновление системы безопасности 2016-11-05)</h3>
<p>
В исправлении от 5 ноября 2016 года или более новом устранены все проблемы, упомянутые в обновлении 2016-11-01, а также уязвимости, перечисленные ниже.</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Google?</th>
</tr>
<tr>
<td>Удаленное выполнение кода через драйвер шифрования Qualcomm</td>
<td>CVE-2016-6725</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через файловую систему ядра</td>
<td>CVE-2015-8961, CVE-2016-7910, CVE-2016-7911</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через SCSI-драйвер ядра</td>
<td>CVE-2015-8962</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через медиадрайвер ядра</td>
<td>CVE-2016-7913</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через USB-драйвер ядра</td>
<td>CVE-2016-7912</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через подсистему ION ядра</td>
<td>CVE-2016-6728</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через загрузчик Qualcomm</td>
<td>CVE-2016-6729</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер NVIDIA для графического процессора</td>
<td>CVE-2016-6730, CVE-2016-6731, CVE-2016-6732, CVE-2016-6733, CVE-2016-6734, CVE-2016-6735, CVE-2016-6736</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через сетевую подсистему ядра</td>
<td>CVE-2016-6828</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через звуковую подсистему ядра</td>
<td>CVE-2016-2184</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через подсистему ION ядра</td>
<td>CVE-2016-6737</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Уязвимости в компонентах Qualcomm</td>
<td>CVE-2016-6726, CVE-2016-6727</td>
<td>Критический</td>
<td>Да</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Expat</td>
<td>CVE-2016-0718, CVE-2012-6702, CVE-2016-5300, CVE-2015-1283</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Webview</td>
<td>CVE-2016-6754</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Удаленное выполнение кода через Freetype</td>
<td>CVE-2014-9675</td>
<td>Высокий</td>
<td>Нет*</td>
</tr>
<tr>
<td>Повышение привилегий через подсистему производительности ядра</td>
<td>CVE-2015-8963</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через подсистему аудита системных вызовов</td>
<td>CVE-2016-6136</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер Qualcomm для шифрования</td>
<td>CVE-2016-6738</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер Qualcomm для камеры</td>
<td>CVE-2016-6739, CVE-2016-6740, CVE-2016-6741</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер шины Qualcomm</td>
<td>CVE-2016-3904</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Повышение привилегий через драйвер сенсорного экрана Synaptics</td>
<td>CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-6743</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через компоненты ядра</td>
<td>CVE-2015-8964, CVE-2016-7914, CVE-2016-7915, CVE-2016-7916</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через драйвер NVIDIA для графического процессора</td>
<td>CVE-2016-6746</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Отказ в обслуживании в mediaserver</td>
<td>CVE-2016-6747</td>
<td>Высокий</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через компоненты ядра</td>
<td>CVE-2016-6753, CVE-2016-7917</td>
<td>Средний</td>
<td>Да</td>
</tr>
<tr>
<td>Раскрытие информации через компоненты Qualcomm</td>
<td>CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-3906, CVE-2016-3907, CVE-2016-6698, CVE-2016-6751, CVE-2016-6752</td>
<td>Средний</td>
<td>Да</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p>
<h3 id="2016-11-06-summary">Перечень уязвимостей (обновление системы безопасности 2016-11-06)</h3>
<p>
В исправлении от 6 ноября 2016 года или более новом устранены все проблемы, упомянутые в обновлениях 2016-11-01 и 2016-11-05, а также уязвимости, перечисленные ниже.</p>
<table>
<col width="55%">
<col width="20%">
<col width="13%">
<col width="12%">
<tr>
<th>Уязвимость</th>
<th>CVE</th>
<th>Уровень серьезности</th>
<th>Затрагивает устройства Google?</th>
</tr>
<tr>
<td>Повышение привилегий через подсистему памяти ядра</td>
<td>CVE-2016-5195</td>
<td>Критический</td>
<td>Да</td>
</tr>
</table>
<h2 id="mitigations">Предотвращение атак</h2>
<p>
Ниже рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p>
<ul>
<li>Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li>
<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО,
использующее уязвимость для повышения привилегий, и блокировать
его установку. Если подобное ПО уже есть на устройстве, система
уведомит об этом пользователя и попытается удалить приложение.</li>
<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким
процессам, как mediaserver, автоматически.</li>
</ul>
<h2 id="acknowledgements">Благодарности</h2>
<p>
Благодарим всех, кто помог обнаружить уязвимости:</p>
<ul>
<li>Абхишек Арья, Оливер Чен и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-6722</li>
<li>Андрей Капишников и Мириам Гершенсон из Google: CVE-2016-6703</li>
<li>Ао Ван (<a href="http://twitter.com/@r4y2_wa">@r4y2_wa</a>) и <a href="http://weibo.com/ele7enxxh">Цзыно Хань</a> из <a href="http://www.pkav.net">PKAV</a>, Silence Information Technology: CVE-2016-6700, CVE-2016-6702</li>
<li>Askyshang из отдела безопасности платформы, Tencent: CVE-2016-6713</li>
<li>Билли Лау из команды безопасности Android: CVE-2016-6737</li>
<li><a href="mailto:[email protected]">Константинос Патсакис</a> и <a href="mailto:[email protected]">Ефимиос Алепис</a> из Университета Пирея: CVE-2016-6715</li>
<li>dragonltx из команды Alibaba Mobile Security: CVE-2016-6714</li>
<li>Гэл Бениамини из Project Zero: CVE-2016-6707, CVE-2016-6717</li>
<li>Гэнцзя Чэнь (<a href="http://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab,
<a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>.: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906</li>
<li>Гуан Гун (龚广) (<a href="http://twitter.com/oldfresher">@oldfresher</a>) из Alpha Team, <a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>.: CVE-2016-6754</li>
<li>Цзяньцян Чжао (<a href="http://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab,
<a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>.: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698</li>
<li>Марк Бренд из Project Zero: CVE-2016-6706</li>
<li>Марк Ренуф из Google: CVE-2016-6724</li>
<li>Михал Беднарский (<a href="https://github.com/michalbednarski">github.com/michalbednarski</a>): CVE-2016-6710</li>
<li>Минь Чун из команды безопасности Android: CVE-2016-6743</li>
<li>Питер Пи (<a href="http://twitter.com/heisecode">@heisecode</a>) из Trend Micro: CVE-2016-6721</li>
<li>Цидань Хэ (何淇丹) (<a href="http://twitter.com/flanker_hqd">@flanker_hqd</a>) и Гэнмин Лю (刘耕铭) (<a href="http://twitter.com/dmxcsnsbh">@dmxcsnsbh</a>) из KeenLab, Tencent: CVE-2016-6705</li>
<li>Робин Ли из Google: CVE-2016-6708</li>
<li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="http://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-6751</li>
<li>Сергей Бобров (<a href="http://twitter.com/Black2Fan">@Black2Fan</a>) из Лаборатории Касперского: CVE-2016-6716</li>
<li>Севен Шэнь (<a href="http://twitter.com/lingtongshen">@lingtongshen</a>) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753</li>
<li>Виктор ван дер Веен, Герберт Бос, Кавэ Разави и Криштиану Джуффрида из Амстердамского свободного университета; Яник Фратантонио, Мартина Линдорфер и Джованни Винья из Калифорнийского университета в Санта-Барбаре: CVE-2016-6728</li>
<li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc: CVE-2016-6712, CVE-2016-6699, CVE-2016-6711</li>
<li>Вэнькэ Доу (<a href="mailto:[email protected]">vancouverdou@gmail.com</a>), Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6720</li>
<li>Виш У (吴潍浠) (<a href="http://twitter.com/wish_wu">@wish_wu</a>) из Trend Micro Inc.: CVE-2016-6704</li>
<li>Яков Шафранович из <a href="https://wwws.nightwatchcybersecurity.com">Nightwatch Cybersecurity</a>: CVE-2016-6723</li>
<li><a href="mailto:[email protected]">Юань-Цун Ло</a>, <a href="mailto:[email protected]">Яо Цзюнь</a>, <a href="mailto:[email protected]">Тун Линь</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736</li>
<li><a href="mailto:[email protected]">Юань-Цун Ло</a>, <a href="mailto:[email protected]">Яо Цзюнь</a>, <a href="mailto:[email protected]">Сяодун Ван</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746</li>
</ul>
<p>
Отдельная благодарность Заку Ригглу из команды безопасности Android за его помощь с несколькими уязвимостями из этого бюллетеня.</p>
<h2 id="2016-11-01-details">Описание уязвимостей (обновление системы безопасности 2016-11-01)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех <a href="#2016-11-01-summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p>
<h3 id="rce-in-mediaserver">Удаленное выполнение кода через mediaserver</h3>
<p>
Уязвимость позволяет злоумышленнику нарушить целостность информации
в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности
удаленного выполнения кода в контексте процесса mediaserver.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6699</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/3b1c9f692c4d4b7a683c2b358fc89e831a641b88">
A-31373622</a></td>
<td>Критический</td>
<td>Все</td>
<td>7.0</td>
<td>27 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-libzipfile">Повышение привилегий через libzipfile</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6700</td>
<td>A-30916186</td>
<td>Критический</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1</td>
<td>17 августа 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="rce-in-skia">Удаленное выполнение кода через Skia</h3>
<p>
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса галереи.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6701</td>
<td><a href="https://android.googlesource.com/platform/external/skia/+/aca73722873e908633ff27375f6f93a08cbb7dd3">
A-30190637</a></td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="rce-in-libjpeg">Удаленное выполнение кода через libjpeg</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6702</td>
<td>A-30259087</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1</td>
<td>19 июля 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="rce-in-android-runtime">Удаленное выполнение кода через Android Runtime</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданных данных. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту среду выполнения.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6703</td>
<td>A-30765246</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-mediaserver">Повышение привилегий через mediaserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6704</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c6c446f9e022adf20064e65a17574804f8af8e7d">A-30229821</a>
[<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/9cb9810ecb63c8ff55ecf4bc77431dc5b0688b5f">2</a>]
[<a href="https://android.googlesource.com/platform/system/media/+/a6274f03b4dfe1c3a22af51e3a17ea56a314e747">3</a>]
</td>
<td>Высокий</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>19 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6705</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/3a03fa24d21f97e84e796ac5ef14b3f434c0e8f1">A-30907212</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/bd04b47d38a89f1dada1c6da2ef4a3d235c166b8">2</a>]
</td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6706</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/1d4feebdb85db46e138530f360d9ff2490e14353">
A-31385713</a>
</td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>8 сентября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-system-server">Повышение привилегий через System Server</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6707</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/16024ea7c4bae08c972cf6b3734029aad33e8870">
A-31350622</a>
</td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>7 сентября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-system-ui">Повышение привилегий через System UI</h3>
<p>
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту рабочих профилей в многооконном режиме. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем либо изменения настроек безопасности.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6708</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/c9c73fde339b4db496f2c1ff8c18df1e9db5a7c1">
A-30693465</a>
</td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="id-in-conscrypt">Раскрытие информации через Conscrypt</h3>
<p>
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации приложений, которые используют устаревший API шифрования. Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6709</td>
<td><a href="https://android.googlesource.com/platform/external/conscrypt/+/44ef9535b9afb123d150d8e0362e4bb50794dd41">
A-31081987</a>
</td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>9 октября 2015 г.</td>
</tr>
</table>
<h3 id="id-in-download-manager">Раскрытие информации через диспетчер загрузки</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6710</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/9fab683c9598d234dd8461335c276ed3e37c91e8">A-30537115</a>
[<a href="https://android.googlesource.com/platform/packages/providers/DownloadProvider/+/243e62949f7208d3b82eda3ee4ec22d3dbc1fb19">2</a>]
</td>
<td>Высокий</td>
<td>Все</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>30 июля 2016 г.</td>
</tr>
</table>
<h3 id="dos-in-bluetooth">Отказ в обслуживании в Bluetooth</h3>
<p>
Уязвимость позволяет находящемуся поблизости злоумышленнику заблокировать доступ по Bluetooth к пораженному устройству. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9908</td>
<td>A-28672558</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1</td>
<td>5 мая 2014 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="dos-in-openjdk">Отказ в обслуживании в OpenJDK</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-0410</td>
<td><a href="https://android.googlesource.com/platform/libcore/+/21098574528bdf99dd50a74a60e161573e999108">
A-30703445</a>
</td>
<td>Высокий</td>
<td>Все</td>
<td>7.0</td>
<td>16 января 2015 г.</td>
</tr>
</table>
<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6711</td>
<td><a href="https://android.googlesource.com/platform/external/libvpx/+/063be1485e0099bc81ace3a08b0ec9186dcad693">
A-30593765</a>
</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>1 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6712</td>
<td><a href="https://android.googlesource.com/platform/external/libvpx/+/fdb1b40e7bb147c07bda988c9501ad223795d12d">
A-30593752</a>
</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>1 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6713</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/8cafca0e8b1ed8125918e203118c5a4e612fd56c">
A-30822755</a></td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>11 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6714</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/5bdb0a6b72782e505671a387bb5f83222d891d6a">
A-31092462</a>
</td>
<td>Высокий</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>22 августа 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО записывать аудио, не запрашивая разрешение. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6715</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/3de09838fb0996bb4b420630800ad34e828fd1b6">
A-29833954</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>28 июня 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-aosp-launcher">Повышение привилегий через AOSP Launcher</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО создавать ярлыки с повышенными привилегиями без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6716</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Launcher3/+/e83fc11c982e67dd0181966f5f3a239ea6b14924">
A-30778130</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>7.0</td>
<td>5 августа 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-mediaserver-1">Повышение привилегий через mediaserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует эксплуатации другой уязвимости.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6717</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/45d9bbabbe7920bf4e0a68074b97d8260aef2e07">
A-31350239</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>7 сентября 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-account-manager-service">Повышение привилегий через сервис управления аккаунтами</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальной информации без взаимодействия с пользователем. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6718</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/fecfd550edeca422c0d9f32a9c0abe73398a1ff1">
A-30455516</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>7.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="eop-in-bluetooth">Повышение привилегий через Bluetooth</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО связываться с любыми устройствами Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6719</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/e1b6db10e913c09d0b695368336137f6aabee462">A-29043989</a>
[<a href="https://android.googlesource.com/platform/frameworks/base/+/b1dc1757071ba46ee653d68f331486e86778b8e4">2</a>]
</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h3 id="id-in-mediaserver">Раскрытие информации через mediaserver</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный
доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6720</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/0f177948ae2640bfe4d70f8e4248e106406b3b0a">A-29422020</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/2c75e1c3b98e4e94f50c63e2b7694be5f948477c">2</a>]
[<a href="https://android.googlesource.com/platform/frameworks/av/+/7c88b498fda1c2b608a9dd73960a2fd4d7b7e3f7">3</a>]
[<a href="https://android.googlesource.com/platform/frameworks/av/+/640b04121d7cd2cac90e2f7c82b97fce05f074a5">4</a>]</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>15 июня 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6721</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/f6bf0102bdc1adff973e08d8ce9c869c4e2efade">
A-30875060</a></td>
<td>Средний</td>
<td>Все</td>
<td>6.0, 6.0.1, 7.0</td>
<td>13 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6722</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/89c03b3b9ff74a507a8b8334c50b08b334483556">
A-31091777</a></td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>23 августа 2016 г.</td>
</tr>
</table>
<h3 id="dos-in-proxy-auto-config">Отказ в обслуживании в автоконфигурации прокси-сервера</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6723</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/d5b0d0b1df2e1a7943a4bb2034fd21487edd0264">A-30100884</a>
[<a href="https://android.googlesource.com/platform/frameworks/base/+/31f351160cdfd9dbe9919682ebe41bde3bcf91c6">2</a>]
</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>11 июля 2016 г.</td>
</tr>
</table>
<h3 id="dos-in-input-manager-service">Отказ в обслуживании в сервисе управления вводом</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО вызывать бесконечную цепочку перезагрузок устройства. Ей присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании, который устраняется сбросом настроек устройства.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6724</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/7625010a2d22f8c3f1aeae2ef88dde37cbebd0bf">
A-30568284</a>
</td>
<td>Средний</td>
<td>Все</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<h2 id="2016-11-05-details">Описание уязвимостей (обновление системы безопасности 2016-11-05)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех
<a href="#2016-11-05-summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
</p>
<h3 id="rce-in-qualcomm-crypto-driver">Удаленное выполнение кода через драйвер шифрования Qualcomm</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра.
Из-за этого проблеме присвоен критический уровень серьезности.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6725</td>
<td>A-30515053<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=cc95d644ee8a043f2883d65dda20e16f95041de3">QC-CR#1050970</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>25 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-file-system">Повышение привилегий через файловую систему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8961</td>
<td>A-30952474
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6934da9238da947628be83635e365df41064b09b">Upstream
kernel</a></td>
<td>Критический</td>
<td>Pixel, Pixel XL</td>
<td>18 октября 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-7911</td>
<td>A-30946378
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=8ba8682107ee2ca3347354e018865d8e1967c5f4">Upstream
kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>1 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-7910</td>
<td>A-30942273
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=77da160530dd1dc94f6ae15a981f24e5f0021e84">Upstream
kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>29 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-scsi-driver">Повышение привилегий через SCSI-драйвер ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8962</td>
<td>A-30951599
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f3951a3709ff50990bf3e188c27d346792103432">Upstream
kernel</a></td>
<td>Критический</td>
<td>Pixel, Pixel XL</td>
<td>30 октября 2015 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-media-driver">Повышение привилегий через медиадрайвер ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-7913</td>
<td>A-30946097
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=8dfbcc4351a0b6d2f2d77f367552f48ffefafe18">Upstream
kernel</a></td>
<td>Критический</td>
<td>Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL</td>
<td>28 января 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-usb-driver">Повышение привилегий через USB-драйвер ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-7912</td>
<td>A-30950866
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=38740a5b87d53ceb89eb2c970150f6e94e00373a">Upstream
kernel</a></td>
<td>Критический</td>
<td>Pixel C, Pixel, Pixel XL</td>
<td>14 апреля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-ion-subsystem">Повышение привилегий через подсистему ION ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6728</td>
<td>A-30400942*</td>
<td>Критический</td>
<td>Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C,
Android One</td>
<td>25 июля 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-bootloader">Повышение привилегий через загрузчик Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6729</td>
<td>A-30977990*
<br>
QC-CR#977684</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>25 июля 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6730</td>
<td>A-30904789*<br>
N-CVE-2016-6730</td>
<td>Критический</td>
<td>Pixel С</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6731</td>
<td>A-30906023*<br>
N-CVE-2016-6731</td>
<td>Критический</td>
<td>Pixel С</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6732</td>
<td>A-30906599*<br>
N-CVE-2016-6732</td>
<td>Критический</td>
<td>Pixel С</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6733</td>
<td>A-30906694*<br>
N-CVE-2016-6733</td>
<td>Критический</td>
<td>Pixel С</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6734</td>
<td>A-30907120*<br>
N-CVE-2016-6734</td>
<td>Критический</td>
<td>Pixel С</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6735</td>
<td>A-30907701*<br>
N-CVE-2016-6735</td>
<td>Критический</td>
<td>Pixel С</td>
<td>16 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6736</td>
<td>A-30953284*<br>
N-CVE-2016-6736</td>
<td>Критический</td>
<td>Pixel С</td>
<td>18 августа 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6828</td>
<td>A-31183296
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/include/net/tcp.h?id=bb1fceca22492109be12640d49f5ea5a544c6bb4">Upstream
kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>18 августа 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-sound-subsystem">Повышение привилегий через звуковую подсистему ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-2184</td>
<td>A-30952477
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=836b34a935abc91e13e63053d0a83b24dfb5ea78">Upstream
kernel</a></td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>31 марта 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-ion-subsystem-1">Повышение привилегий через подсистему ION ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6737</td>
<td>A-30928456*</td>
<td>Критический</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel,
Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3>
<p>
В таблице ниже перечислены уязвимости системы безопасности, затрагивающие компоненты Qualcomm, которые детально описаны в бюллетене по безопасности Qualcomm AMSS за июнь 2016 года и в оповещении системы безопасности 80-NV606-17.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности*</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6727</td>
<td>A-31092400**</td>
<td>Критический</td>
<td>Android One</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
<tr>
<td>CVE-2016-6726</td>
<td>A-30775830**</td>
<td>Высокий</td>
<td>Nexus 6, Android One</td>
<td>Доступно только сотрудникам Qualcomm</td>
</tr>
</table>
<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p>
<p>
**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="rce-in-expat">Удаленное выполнение кода через Expat</h3>
<p>
В таблице ниже перечислены уязвимости, затрагивающие библиотеку Expat.
Самая серьезная из них позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-0718</td>
<td><a href="https://android.googlesource.com/platform/external/expat/+/52ac633b73856ded34b33bd4adb4ab793bbbe963">
A-28698301</a></td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>10 мая 2016 г.</td>
</tr>
<tr>
<td>CVE-2012-6702</td>
<td><a href="https://android.googlesource.com/platform/external/expat/+/a11ff32280a863bff93df13ad643912ad9bf1302">
A-29149404</a></td>
<td>Средний</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>6 марта 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-5300</td>
<td><a href="https://android.googlesource.com/platform/external/expat/+/a11ff32280a863bff93df13ad643912ad9bf1302">
A-29149404</a></td>
<td>Средний</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>4 июня 2016 г.</td>
</tr>
<tr>
<td>CVE-2015-1283</td>
<td><a href="https://android.googlesource.com/platform/external/expat/+/13b40c2040a17038b63a61e2b112c634da203d3b">
A-27818751</a></td>
<td>Низкий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>24 июля 2015 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="rce-in-webview">Удаленное выполнение кода через Webview</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса при посещении сайта пользователем. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6754</td>
<td>A-31217937</td>
<td>Высокий</td>
<td>Нет*</td>
<td>5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>23 августа 2016 г.</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="rce-in-freetype">Удаленное выполнение кода через Freetype</h3>
<p>
Уязвимость позволяет злоумышленнику загрузить специально созданный шрифт, чтобы нарушить целостность информации в памяти непривилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
</p>
<table>
<col width="18%">
<col width="18%">
<col width="10%">
<col width="19%">
<col width="17%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Обновленные версии AOSP</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2014-9675</td>
<td><a href="https://android.googlesource.com/platform/external/freetype/+/f720f0dbcf012d6c984dbbefa0875ef9840458c6">A-24296662</a>
[<a href="https://android.googlesource.com/platform/external/pdfium/+/96f965ff7411f1edba72140fd70740e63cabec71">2</a>]
</td>
<td>Высокий</td>
<td>Нет*</td>
<td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
</p>
<h3 id="eop-in-kernel-performance-subsystem">Повышение привилегий через подсистему производительности ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8963</td>
<td>A-30952077
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=12ca6ad2e3a896256f086497a7c7406a547ee373">Upstream
kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>15 декабря 2015 г.</td>
</tr>
</table>
<h3 id="eop-in-kernel-system-call-auditing-subsystem">Повышение привилегий через подсистему аудита системных вызовов</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО нарушить работу аудита системных вызовов в ядре. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня ядра и аналогичные технологии защиты.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6136</td>
<td>A-30956807
<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=43761473c254b45883a64441dd0bc85a42f3645c">Upstream
kernel</a></td>
<td>Высокий</td>
<td>Android One, Pixel C, Nexus Player</td>
<td>1 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-qualcomm-crypto-engine-driver">Повышение привилегий через драйвер Qualcomm для шифрования</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6738</td>
<td>A-30034511
<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a829c54236b455885c3e9c7c77ac528b62045e79">QC-CR#1050538</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>7 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6739</td>
<td>A-30074605*<br>
QC-CR#1049826</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>11 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6740</td>
<td>A-30143904
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=ef78bd62f0c064ae4c827e158d828b2c110ebcdc">QC-CR#1056307</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>12 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6741</td>
<td>A-30559423
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=d291eebd8e43bba3229ae7ef9146a132894dc293">QC-CR#1060554</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>28 июля 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="eop-in-qualcomm-bus-driver">Повышение привилегий через драйвер шины Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-3904</td>
<td>A-30311977
<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=069683407ca9a820d05c914b57c587bcd3f16a3a">QC-CR#1050455</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>22 июля 2016 г.</td>
</tr>
</table>
<h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный
код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6742</td>
<td>A-30799828*</td>
<td>Высокий</td>
<td>Nexus 5X, Android One</td>
<td>9 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6744</td>
<td>A-30970485*</td>
<td>Высокий</td>
<td>Nexus 5X</td>
<td>19 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6745</td>
<td>A-31252388*</td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td>
<td>1 сентября 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6743</td>
<td>A-30937462*</td>
<td>Высокий</td>
<td>Nexus 9, Android One</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-kernel-components">Раскрытие информации через компоненты ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2015-8964</td>
<td>A-30951112
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=dd42bf1197144ede075a9d4793123f7689e164bc">Upstream
kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>27 ноября 2015 г.</td>
</tr>
<tr>
<td>CVE-2016-7915</td>
<td>A-30951261
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=50220dead1650609206efe91f0cc116132d59b3f">Upstream
kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>19 января 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-7914</td>
<td>A-30513364
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=8d4a2ec1e0b41b0cf9a0c5cd4511da7f8e4f3de2">Upstream
kernel</a></td>
<td>Высокий</td>
<td>Pixel C, Pixel, Pixel XL</td>
<td>6 апреля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-7916</td>
<td>A-30951939
<br>
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=8148a73c9901a8794a50f950083c00ccf97d43b3">Upstream
kernel</a></td>
<td>Высокий</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player,
Pixel, Pixel XL</td>
<td>5 мая 2016 г.</td>
</tr>
</table>
<h3 id="id-in-nvidia-gpu-driver">Раскрытие информации через драйвер NVIDIA для графического процессора</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Из-за этого проблеме присвоен высокий уровень серьезности.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6746</td>
<td>A-30955105*<br>
N-CVE-2016-6746</td>
<td>Высокий</td>
<td>Pixel С</td>
<td>18 августа 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="dos-in-mediaserver-1">Отказ в обслуживании в mediaserver</h3>
<p>
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать
зависание устройства с помощью специально созданного файла. Проблеме
присвоен высокий уровень серьезности, поскольку она приводит к отказу
в обслуживании.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6747</td>
<td>A-31244612*<br>
N-CVE-2016-6747</td>
<td>Высокий</td>
<td>Nexus 9</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-kernel-components-1">Раскрытие информации через компоненты ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-7917</td>
<td>A-30947055
<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=c58d6c93680f28ac58984af61d0a7ebf4319c241">Upstream
kernel</a></td>
<td>Средний</td>
<td>Pixel C, Pixel, Pixel XL</td>
<td>2 февраля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6753</td>
<td>A-30149174*</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL</td>
<td>13 июля 2016 г.</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h3 id="id-in-qualcomm-components">Раскрытие информации через компоненты Qualcomm</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
</p>
<table>
<col width="19%">
<col width="20%">
<col width="10%">
<col width="23%">
<col width="17%">
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные устройства Google</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-6748</td>
<td>A-30076504
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=be651d020b122a1ba9410d23ca4ebbe9f5598df6">QC-CR#987018</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>12 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6749</td>
<td>A-30228438
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=f9185dc83b92e7d1ee341e32e8cf5ed00a7253a7">QC-CR#1052818</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>12 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6750</td>
<td>A-30312054
<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=34bda711a1c7bc7f9fd7bea3a5be439ed00577e5">QC-CR#1052825</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>21 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3906</td>
<td>A-30445973
<br>
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=b333d32745fec4fb1098ee1a03d4425f3c1b4c2e">QC-CR#1054344</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P</td>
<td>27 июля 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-3907</td>
<td>A-30593266
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=744330f4e5d70dce71c4c9e03c5b6a8b59bb0cda">QC-CR#1054352</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td>
<td>2 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6698</td>
<td>A-30741851
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=de90beb76ad0b80da821c3b857dd30cd36319e61">QC-CR#1058826</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>2 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6751</td>
<td>A-30902162*<br>
QC-CR#1062271</td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>15 августа 2016 г.</td>
</tr>
<tr>
<td>CVE-2016-6752</td>
<td>A-31498159
<br>
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?h=0de2c7600c8f1f0152a2f421c6593f931186400a">QC-CR#987051</a></td>
<td>Средний</td>
<td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td>
<td>Доступно только сотрудникам Google</td>
</tr>
</table>
<p>
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.
</p>
<h2 id="2016-11-06-details">Описание уязвимостей (обновление системы безопасности 2016-11-06)</h2>
<p>
В этом разделе вы найдете подробную информацию обо всех <a href="#2016-11-06-summary">перечисленных выше</a> уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
</p>
<h3 id="eop-in-kernel-memory-subsystem">Повышение привилегий через подсистему памяти ядра</h3>
<p>
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
</p>
<p>
<strong>Примечание.</strong> В исправлении от 6 ноября 2016 года эта уязвимость устранена, как и все проблемы, упомянутые в обновлениях 2016-11-01 и 2016-11-05.
</p>
<table>
<tr>
<th>CVE</th>
<th>Ссылки</th>
<th>Уровень серьезности</th>
<th>Обновленные версии ядра</th>
<th>Дата сообщения об ошибке</th>
</tr>
<tr>
<td>CVE-2016-5195</td>
<td>A-32141528<br>
<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=9691eac5593ff1e2f82391ad327f21d90322aec1">Upstream kernel</a>
[<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=e45a502bdeae5a075257c4f061d1ff4ff0821354">2</a>]</td>
<td>Критический</td>
<td>3.10, 3.18</td>
<td>12 октября 2016 г.</td>
</tr>
</table>
<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2>
<p>
В этом разделе мы отвечаем на вопросы, которые могут возникнуть
после прочтения бюллетеня.
</p>
<p>
<strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong>
</p>
<p>
Информацию о том, как проверить обновления системы
безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&amp;nexus_devices">Справочном центре</a>.
</p>
<ul>
<li>В исправлении от 1 ноября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-11-01.</li>
<li>В исправлении от 5 ноября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-11-05.</li>
<li>В исправлении от 6 ноября 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-11-06.</li>
</ul>
<p>
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:
</p>
<ul>
<li>[ro.build.version.security_patch]:[2016-11-01];</li>
<li>[ro.build.version.security_patch]:[2016-11-05];</li>
<li>[ro.build.version.security_patch]:[2016-11-06].</li>
</ul>
<p>
<strong>2. Почему в этом бюллетене говорится о трех обновлениях системы безопасности?</strong>
</p>
<p>
Мы включили в этот бюллетень сведения о трех обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
</p>
<ul>
<li>На устройствах с установленным обновлением от 1 ноября 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li>
<li>На устройствах с установленным обновлением от 5 ноября 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
<li>На устройствах с установленным обновлением от 6 ноября 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li>
</ul>
<p>
Рекомендуем партнерам объединить все исправления проблем в одно обновление.
</p>
<p id="google-devices">
<strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong>
</p>
<p>
В каждой таблице разделов с описанием уязвимостей <a href="#2016-11-01-details">2016-11-01</a>, <a href="#2016-11-05-details">2016-11-05</a> и <a href="#2016-11-06-details">2016-11-06</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.
</p>
<ul>
<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&amp;nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li>
<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li>
<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em></li>
</ul>
<p>
<strong>4. На что указывают записи в столбце "Ссылки"?</strong>
</p>
<p>
В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>.
Каждая запись в нем может содержать префикс, указывающий на
источник ссылки, а именно:
</p>
<table>
<tr>
<th>Префикс</th>
<th>Значение</th>
</tr>
<tr>
<td>A-</td>
<td>Идентификатор ошибки Android</td>
</tr>
<tr>
<td>QC-</td>
<td>Ссылочный номер Qualcomm</td>
</tr>
<tr>
<td>M-</td>
<td>Ссылочный номер MediaTek</td>
</tr>
<tr>
<td>N-</td>
<td>Ссылочный номер NVIDIA</td>
</tr>
<tr>
<td>B-</td>
<td>Ссылочный номер Broadcom</td>
</tr>
</table>
<h2 id="revisions">Версии</h2>
<ul>
<li>7 ноября 2016 года. Бюллетень опубликован.</li>
<li>8 ноября 2016 года. Добавлены ссылки на AOSP и обновлено описание для CVE-2016-6709.</li>
</ul>