diff options
author | Android Partner Docs <noreply@android.com> | 2017-05-31 17:05:57 -0700 |
---|---|---|
committer | Clay Murphy <claym@google.com> | 2017-05-31 17:52:58 -0700 |
commit | db839ff8e0b66ac9f10c895bd6385453c533d18a (patch) | |
tree | e63cceb49a20a567a2cf48ca2f4ca446768481b1 /ru | |
parent | 493114bd93d9bde315c7b2f55ee67a814ca53c70 (diff) | |
download | source.android.com-db839ff8e0b66ac9f10c895bd6385453c533d18a.tar.gz |
Docs: Changes to source.android.com
- 157655846 Devsite localized content from translation request 6e6527... by Android Partner Docs <noreply@android.com>
- 157653127 Update Security bulletin index page with localized files by daroberts <daroberts@google.com>
- 157652951 Update hikey960 Mali binary path by Android Partner Docs <noreply@android.com>
- 157652539 Devsite localized content from translation request 247907... by Android Partner Docs <noreply@android.com>
- 157652360 Devsite localized content from translation request ab08b7... by Android Partner Docs <noreply@android.com>
- 157608266 Docs: adding pixels to chart, minor edits by hvm <hvm@google.com>
- 157510199 Remove use for LinkSprite Display - it is not working rel... by Android Partner Docs <noreply@android.com>
- 157492224 Bug: 35095538 by Android Partner Docs <noreply@android.com>
- 157160176 Remove period from code tag for /dev/null reference by claym <claym@google.com>
- 157135952 Devsite localized content from translation request 658510... by Android Partner Docs <noreply@android.com>
- 157123310 Devsite localized content from translation request 06c6fc... by Android Partner Docs <noreply@android.com>
- 156918142 Update 620 Hikey tgz file by daroberts <daroberts@google.com>
- 156914394 Fix tag errors by claym <claym@google.com>
- 156909651 Add revised version of CDD for 7.1, pdf and html. by gdimino <gdimino@google.com>
- 156909571 Update First API level build property description. by gdimino <gdimino@google.com>
- 156903965 Rewrite last paragraph to be more clear, fix line length,... by claym <claym@google.com>
- 156804736 Add IEEE 1394 by Android Partner Docs <noreply@android.com>
- 156776922 Add path to vold by daroberts <daroberts@google.com>
- 156775687 Link to application sandbox by daroberts <daroberts@google.com>
PiperOrigin-RevId: 157655846
Change-Id: Ib3717634953f239842b55869edf5715f52645749
Diffstat (limited to 'ru')
-rw-r--r-- | ru/security/bulletin/2017-05-01.html | 2504 |
1 files changed, 2504 insertions, 0 deletions
diff --git a/ru/security/bulletin/2017-05-01.html b/ru/security/bulletin/2017-05-01.html new file mode 100644 index 00000000..e39cda77 --- /dev/null +++ b/ru/security/bulletin/2017-05-01.html @@ -0,0 +1,2504 @@ +<html devsite><head> + <title>Бюллетень по безопасности Android – май 2017 г.</title> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> + </head> + <body> + <!-- + Copyright 2017 The Android Open Source Project + + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + + http://www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. + --> + +<p><em>Опубликовано 1 мая 2017 г. | Обновлено 2 мая 2017 г.</em></p> + +<p>В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 мая 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> + +<p>Мы сообщили партнерам об уязвимостях 3 апреля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). +В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> + +<p>Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.</p> + +<p>Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> описывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android.</p> + +<p>Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.</p> +<h2 id="announcements">Объявления</h2> +<ul> +<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. + <ul> + <li><strong>2017-05-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-05-01 и более ранние.</li> + <li><strong>2017-05-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-05-01 и 2017-05-05, а также более ранние.</li> +</ul> +</li> +<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 мая 2017 года.</li> +</ul> + +<h2 id="mitigations">Предотвращение атак</h2> + +<p>Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p> + +<ul> +<li>Использование многих уязвимостей затрудняется в новых +версиях Android, поэтому мы рекомендуем всем пользователям +своевременно обновлять систему.</li> +<li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> +<li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> +</ul> + +<h2 id="acknowledgements">Благодарности</h2> + +<p>Благодарим всех, кто помог обнаружить уязвимости:</p> +<ul> +<li>ADlab из Venustech: CVE-2017-0630</li> +<li>Ди Шэнь (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>), Tencent: CVE-2016-10287</li> +<li>Экулар Сюй (徐健) из Trend Micro: CVE-2017-0599, CVE-2017-0635</li> +<li>Энь Хэ (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) и Бо Лю из <a href="http://www.ms509.com">MS509Team</a>: CVE-2017-0601</li> +<li>Итан Йонкер из <a href="https://twrp.me/">Team Win Recovery Project</a>: CVE-2017-0493</li> +<li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296</li> +<li>godzheng (郑文选 <a href="https://twitter.com/virtualseekers">@VirtualSeekers</a>) из Tencent PC Manager: CVE-2017-0602</li> +<li><a href="https://www.linkedin.com/in/g%C3%BCliz-seray-tuncay-952a1b9/">Гюлиз Серай Тунджай</a> из <a href="http://tuncay2.web.engr.illinois.edu">Иллинойсского университета в Урбане-Шампейне</a>: CVE-2017-0593</li> +<li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283</li> +<li>Цзюйху Не, Ян Чэн, Нань Ли и Циу Хуан из Xiaomi Inc: CVE-2016-10276</li> +<li><a href="https://github.com/michalbednarski">Михал Беднарский</a>: CVE-2017-0598</li> +<li>Нейтан Крэнделл (<a href="https://twitter.com/natecray">@natecray</a>) из Tesla's Product Security Team: CVE-2017-0331, CVE-2017-0606</li> +<li><a href="mailto:jiych.guru@gmail.com">Niky1235</a> (<a href="https://twitter.com/jiych_guru">@jiych_guru</a>): CVE-2017-0603</li> +<li>Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280</li> +<li>Рои Хэй (<a href="https://twitter.com/roeehay">@roeehay</a>) из <a href="https://alephsecurity.com/">Aleph Research</a>: CVE-2016-10277</li> +<li><a href="mailto:sbauer@plzdonthack.me">Скотт Бауэр</a> (<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-10274</li> +<li><a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a> и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-10291</li> +<li>Василий Васильев: CVE-2017-0589</li> +<li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600</li> +<li>Силин Гун из отдела безопасности платформы Tencent: CVE-2017-0597</li> +<li>Синюань Линь из 360 Marvel Team: CVE-2017-0627</li> +<li>Юн Ван (王勇) (<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>) из Alibaba Inc: CVE-2017-0588</li> +<li>Юнган Го (<a href="https://twitter.com/guoygang">@guoygang</a>) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465</li> +<li>Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615</li> +<li>Юй Пань и Пэйдэ Чжан из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625</li> +</ul> + +<h2 id="2017-05-01-details">Описание уязвимостей (обновление системы безопасности 2017-05-01)</h2> + +<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-05-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> + +<h3 id="rce-in-mediaserver">Удаленное выполнение кода через mediaserver</h3> + +<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0587</td> + <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/a86eb798d077b9b25c8f8c77e3c02c2f287c1ce7">A-35219737</a></td> + <td>Критический</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>4 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0588</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/6f1d990ce0f116a205f467d9eb2082795e33872b">A-34618607</a></td> + <td>Критический</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>21 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0589</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/bcfc7124f6ef9f1ec128fb2e90de774a5b33d199">A-34897036</a></td> + <td>Критический</td> + <td>Все</td> + <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>1 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0590</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/45c97f878bee15cd97262fe7f57ecea71990fed7">A-35039946</a></td> + <td>Критический</td> + <td>Все</td> + <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>6 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0591</td> + <td><a href="https://android.googlesource.com/platform/external/libavc/+/5c3fd5d93a268abb20ff22f26009535b40db3c7d">A-34097672</a></td> + <td>Критический</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>Доступно только сотрудникам Google</td> + </tr> + <tr> + <td>CVE-2017-0592</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/acc192347665943ca674acf117e4f74a88436922">A-34970788</a></td> + <td>Критический</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</tbody></table> + +<h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать специальные разрешения. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0593</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/78efbc95412b8efa9a44d573f5767ae927927d48">A-34114230</a></td> + <td>Высокий</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>5 января 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-mediaserver">Повышение привилегий через mediaserver</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0594</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/594bf934384920618d2b6ce0bcda1f60144cb3eb">A-34617444</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>22 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0595</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34705519</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>24 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0596</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34749392</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>24 января 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0597</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/a9188f89179a7edd301abaf37d644adf5d647a04">A-34749571</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>25 января 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-framework-apis">Раскрытие информации через Framework API</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0598</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4e110ab20bb91e945a17c6e166e14e2da9608f08">A-34128677</a> + [<a href="https://android.googlesource.com/platform/frameworks/base/+/d42e1204d5dddb78ec9d20d125951b59a8344f40">2</a>]</td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>6 января 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="dos-in-mediaserver">Отказ в обслуживании в mediaserver</h3> + +<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0599</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/a1424724a00d62ac5efa0e27953eed66850d662f">A-34672748</a></td> + <td>Высокий</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>23 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0600</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/961e5ac5788b52304e64b9a509781beaf5201fb0">A-35269635</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>10 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-bluetooth">Повышение привилегий через Bluetooth</h3> + +<p>Уязвимость потенциально позволяет локальному вредоносному ПО принять вредоносные файлы через Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем. </p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0601</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/667d2cbe3eb1450f273a4f6595ccef35e1f0fe4b">A-35258579</a></td> + <td>Средний</td> + <td>Все</td> + <td>7.0, 7.1.1, 7.1.2</td> + <td>9 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-file-based-encryption">Раскрытие информации через шифрование файлов</h3> + +<p>Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту ОС для заблокированного экрана. Из-за этого проблеме присвоен средний уровень серьезности.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0493</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/e4cefbf4fce458489b5f1bebc79dfaf566bcc5d5">A-32793550</a> + [<a href="https://android.googlesource.com/platform/frameworks/base/+/f806d65e615b942c268a5f68d44bde9d55634972">2</a>]</td> + <td>Средний</td> + <td>Все</td> + <td>7.0, 7.1.1</td> + <td>9 ноября 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-bluetooth">Раскрытие информации через Bluetooth</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Из-за особенностей проблемы ей присвоен средний уровень серьезности.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0602</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/a4875a49404c544134df37022ae587a4a3321647">A-34946955</a></td> + <td>Средний</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>5 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-openssl-&-boringssl">Раскрытие информации через OpenSSL и BoringSSL</h3> + +<p>Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации. Из-за особенностей проблемы ей присвоен средний уровень серьезности.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-7056</td> + <td><a href="https://android.googlesource.com/platform/external/boringssl/+/13179a8e75fee98740b5ce728752aa7294b3e32d">A-33752052</a></td> + <td>Средний</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>19 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="dos-in-mediaserver-2">Отказ в обслуживании в mediaserver</h3> + +<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0603</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/36b04932bb93cc3269279282686b439a17a89920">A-35763994</a></td> + <td>Средний</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>23 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="dos-in-mediaserver-3">Отказ в обслуживании в mediaserver</h3> + +<p>Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Из-за особенностей проблемы ей присвоен низкий уровень серьезности.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0635</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/523f6b49c1a2289161f40cf9fe80b92e592e9441">A-35467107</a></td> + <td>Низкий</td> + <td>Все</td> + <td>7.0, 7.1.1, 7.1.2</td> + <td>16 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h2 id="2017-05-05-details">Описание уязвимостей (обновление системы безопасности 2017-05-05)</h2> + +<p>В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-05-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> + +<h3 id="rce-in-giflib">Удаленное выполнение кода через GIFLIB</h3> + +<p>Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2015-7555</td> + <td><a href="https://android.googlesource.com/platform/external/giflib/+/dc07290edccc2c3fc4062da835306f809cea1fdc">A-34697653</a></td> + <td>Критический</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> + <td>13 апреля 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-mediatek-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10274</td> + <td>A-30202412*<br /> + M-ALPS02897901</td> + <td>Критический</td> + <td>Нет**</td> + <td>16 июля 2016 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-qualcomm-bootloader">Повышение привилегий через загрузчик Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10275</td> + <td>A-34514954<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=1a0a15c380e11fc46f8d8706ea5ae22b752bdd0b"> +QC-CR#1009111</a></td> + <td>Критический</td> + <td>Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One</td> + <td>13 сентября 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-10276</td> + <td>A-32952839<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=5dac431748027e8b50a5c4079967def4ea53ad64"> +QC-CR#1094105</a></td> + <td>Критический</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> + <td>16 ноября 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-kernel-sound-subsystem">Повышение привилегий через звуковую подсистему ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-9794</td> + <td>A-34068036<br /> + <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=a27178e05b7c332522df40904f27674e36ee3757"> +Upstream kernel</a></td> + <td>Критический</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> + <td>3 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-motorola-bootloader">Повышение привилегий через загрузчик Motorola</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10277</td> + <td>A-33840490*<br /> + </td> + <td>Критический</td> + <td>Nexus 6</td> + <td>21 декабря 2016 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="eop-in-nvidia-video-driver">Повышение привилегий через видеодрайвер NVIDIA</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0331</td> + <td>A-34113000*<br /> + N-CVE-2017-0331</td> + <td>Критический</td> + <td>Nexus 9</td> + <td>4 января 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="eop-in-qualcomm-power-driver">Повышение привилегий через драйвер питания Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0604</td> + <td>A-35392981<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6975e2dd5f37de965093ba3a8a08635a77a960f7"> +QC-CR#826589</a></td> + <td>Критический</td> + <td>Нет*</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-kernel-trace-subsystem">Повышение привилегий через подсистему трассировки ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0605</td> + <td>A-35399704<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=2161ae9a70b12cf18ac8e5952a20161ffbccb477"> +QC-CR#1048480</a></td> + <td>Критический</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3> + +<p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 года.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10240</td> + <td>A-32578446**<br /> + QC-CR#955710</td> + <td>Критический</td> + <td>Nexus 6P</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2016-10241</td> + <td>A-35436149**<br /> + QC-CR#1068577</td> + <td>Критический</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2016-10278</td> + <td>A-31624008**<br /> + QC-CR#1043004</td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2016-10279</td> + <td>A-31624421**<br /> + QC-CR#1031821</td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> +</tbody></table> + +<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> + +<p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="rce-in-libxml2">Удаленное выполнение кода через libxml2</h3> + +<p>Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.</p> + +<table> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5131</td> + <td>A-32956747*</td> + <td>Высокий</td> + <td>Нет**</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0</td> + <td>23 июля 2016 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-mediatek-thermal-driver">Повышение привилегий через драйвер температурного датчика MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10280</td> + <td>A-28175767*<br /> + M-ALPS02696445</td> + <td>Высокий</td> + <td>Нет**</td> + <td>11 апреля 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-10281</td> + <td>A-28175647*<br /> + M-ALPS02696475</td> + <td>Высокий</td> + <td>Нет**</td> + <td>11 апреля 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-10282</td> + <td>A-33939045*<br /> + M-ALPS03149189</td> + <td>Высокий</td> + <td>Нет**</td> + <td>27 декабря 2016 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10283</td> + <td>A-32094986<br /> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=93863644b4547324309613361d70ad9dc91f8dfd"> +QC-CR#2002052</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL, Android One</td> + <td>11 октября 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-video-driver">Повышение привилегий через видеодрайвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10284</td> + <td>A-32402303*<br /> + QC-CR#2000664</td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>24 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-10285</td> + <td>A-33752702<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=67dfd3a65336e0b3f55ee83d6312321dc5f2a6f9"> +QC-CR#1104899</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>19 декабря 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-10286</td> + <td>A-35400904<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=5d30a3d0dc04916ddfb972bfc52f8e636642f999"> +QC-CR#1090237</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="eop-in-kernel-performance-subsystem">Повышение привилегий через подсистему производительности ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2015-9004</td> + <td>A-34515362<br /> + <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=c3c87e770458aa004bd7ed3f29945ff436fd6511"> +Upstream kernel</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> + <td>23 ноября 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-sound-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10287</td> + <td>A-33784446<br /> + <a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=937bc9e644180e258c68662095861803f7ba4ded"> +QC-CR#1112751</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>20 декабря 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0606</td> + <td>A-34088848<br /> + <a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=d3237316314c3d6f75a58192971f66e3822cd250"> +QC-CR#1116015</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>3 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2016-5860</td> + <td>A-34623424<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=9f91ae0d7203714fc39ae78e1f1c4fd71ed40498"> +QC-CR#1100682</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>22 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2016-5867</td> + <td>A-35400602<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=065360da7147003aed8f59782b7652d565f56be5"> +QC-CR#1095947</a></td> + <td>Высокий</td> + <td>Нет*</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0607</td> + <td>A-35400551<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b003c8d5407773d3aa28a48c9841e4c124da453d"> +QC-CR#1085928</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0608</td> + <td>A-35400458<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b66f442dd97c781e873e8f7b248e197f86fd2980"> +QC-CR#1098363</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0609</td> + <td>A-35399801<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=38a83df036084c00e8c5a4599c8ee7880b4ee567"> +QC-CR#1090482</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2016-5859</td> + <td>A-35399758<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=97fdb441a9fb330a76245e473bc1a2155c809ebe"> +QC-CR#1096672</a></td> + <td>Высокий</td> + <td>Нет*</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0610</td> + <td>A-35399404<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=65009746a6e649779f73d665934561ea983892fe"> +QC-CR#1094852</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0611</td> + <td>A-35393841<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=1aa5df9246557a98181f03e98530ffd509b954c8"> +QC-CR#1084210</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2016-5853</td> + <td>A-35392629<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a8f3b894de319718aecfc2ce9c691514696805be"> +QC-CR#1102987</a></td> + <td>Высокий</td> + <td>Нет*</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-qualcomm-led-driver">Повышение привилегий через LED-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10288</td> + <td>A-33863909<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=db2cdc95204bc404f03613d5dd7002251fb33660"> +QC-CR#1109763</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>23 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-crypto-driver">Повышение привилегий через драйвер шифрования Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10289</td> + <td>A-33899710<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a604e6f3889ccc343857532b63dea27603381816"> +QC-CR#1116295</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>24 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-shared-memory-driver">Повышение привилегий через драйвер разделения памяти Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10290</td> + <td>A-33898330<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49"> +QC-CR#1109782</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> + <td>24 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-slimbus-driver">Повышение привилегий через Slimbus-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10291</td> + <td>A-34030871<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a225074c0494ca8125ca0ac2f9ebc8a2bd3612de"> +QC-CR#986837</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Android One</td> + <td>31 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-adsprpc-driver">Повышение привилегий через ADSPRPC-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0465</td> + <td>A-34112914<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=3823f0f8d0bbbbd675a42a54691f4051b3c7e544"> +QC-CR#1110747</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>5 января 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-secure-execution-environment-communicator-driver">Повышение привилегий через драйвер Qualcomm для QSEE Communicator</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0612</td> + <td>A-34389303<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=05efafc998dc86c3b75af9803ca71255ddd7a8eb"> +QC-CR#1061845</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>10 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0613</td> + <td>A-35400457<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b108c651cae9913da1ab163cb4e5f7f2db87b747"> +QC-CR#1086140</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0614</td> + <td>A-35399405<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=fc2ae27eb9721a0ce050c2062734fec545cda604"> +QC-CR#1080290</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-mediatek-power-driver">Повышение привилегий через драйвер питания MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0615</td> + <td>A-34259126*<br /> + M-ALPS03150278</td> + <td>Высокий</td> + <td>Нет**</td> + <td>12 января 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-mediatek-system-management-interrupt-driver">Повышение привилегий через драйвер прерывания системного управления MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0616</td> + <td>A-34470286*<br /> + M-ALPS03149160</td> + <td>Высокий</td> + <td>Нет**</td> + <td>19 января 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-mediatek-video-driver">Повышение привилегий через видеодрайвер MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0617</td> + <td>A-34471002*<br /> + M-ALPS03149173</td> + <td>Высокий</td> + <td>Нет**</td> + <td>19 января 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-mediatek-command-queue-driver">Повышение привилегий через драйвер очереди команд MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0618</td> + <td>A-35100728*<br /> + M-ALPS03161536</td> + <td>Высокий</td> + <td>Нет**</td> + <td>7 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="eop-in-qualcomm-pin-controller-driver">Повышение привилегий через драйвер контроллера контактов Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0619</td> + <td>A-35401152<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.14/commit/?id=72f67b29a9c5e6e8d3c34751600c749c5f5e13e1"> +QC-CR#826566</a></td> + <td>Высокий</td> + <td>Nexus 6, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-secure-channel-manager-driver">Повышение привилегий через драйвер управления защищенным каналом Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0620</td> + <td>A-35401052<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=01b2c9a5d728ff6f2f1f28a5d4e927aaeabf56ed"> +QC-CR#1081711</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-sound-codec-driver">Повышение привилегий через аудиодрайвер кодеков Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5862</td> + <td>A-35399803<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=4199451e83729a3add781eeafaee32994ff65b04"> +QC-CR#1099607</a></td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-kernel-voltage-regulator-driver">Повышение привилегий через драйвер регулятора напряжения ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2014-9940</td> + <td>A-35399757<br /> + <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=60a2362f769cf549dc466134efe71c8bf9fbaaba"> +Upstream kernel</a></td> + <td>Высокий</td> + <td>Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-camera-driver">Повышение привилегий через драйвер Qualcomm для камеры</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0621</td> + <td>A-35399703<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=9656e2c2b3523af20502bf1e933e35a397f5e82f"> +QC-CR#831322</a></td> + <td>Высокий</td> + <td>Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-qualcomm-networking-driver">Повышение привилегий через сетевой драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5868</td> + <td>A-35392791<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=fbb765a3f813f5cc85ddab21487fd65f24bf6a8c"> +QC-CR#1104431</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-7184</td> + <td>A-36565222<br /> + <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=677e806da4d916052585301785d847c3b3e6186a"> +Upstream kernel</a> <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f843ee6dd019bcece3e74e76ad9df0155655d0df"> +[2]</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One</td> + <td>23 марта 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="eop-in-goodix-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Goodix</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0622</td> + <td>A-32749036<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=40efa25345003a96db34effbd23ed39530b3ac10"> +QC-CR#1098602</a></td> + <td>Высокий</td> + <td>Android One</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</tbody></table> + +<h3 id="eop-in-htc-bootloader">Повышение привилегий через загрузчик HTC</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0623</td> + <td>A-32512358*<br /> + </td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="id-in-qualcomm-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0624</td> + <td>A-34327795*<br /> + QC-CR#2005832</td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>16 января 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="id-in-mediatek-command-queue-driver">Раскрытие информации через драйвер очереди команд MediaTek</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0625</td> + <td>A-35142799*<br /> + M-ALPS03161531</td> + <td>Высокий</td> + <td>Нет**</td> + <td>8 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="id-in-qualcomm-crypto-engine-driver">Раскрытие информации через драйвер Qualcomm для шифрования</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0626</td> + <td>A-35393124<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=64551bccab9b5b933757f6256b58f9ca0544f004"> +QC-CR#1088050</a></td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="dos-in-qualcomm-wi-fi-driver">Отказ в обслуживании в Wi-Fi-драйвере Qualcomm</h3> + +<p>Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10292</td> + <td>A-34514463*<br /> + QC-CR#1065466</td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>16 декабря 2016 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="id-in-kernel-uvc-driver">Раскрытие информации через UVC-драйвер ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0627</td> + <td>A-33300353*<br /> + </td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> + <td>2 декабря 2016 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="id-in-qualcomm-video-driver">Раскрытие информации через видеодрайвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10293</td> + <td>A-33352393<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=2469d5374745a2228f774adbca6fb95a79b9047f"> +QC-CR#1101943</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Android One</td> + <td>4 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-power-driver-(device-specific)">Раскрытие информации через драйвер питания Qualcomm (уязвимость устройства)</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10294</td> + <td>A-33621829<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9e9bc51ffb8a298f0be5befe346762cdb6e1d49c"> +QC-CR#1105481</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> + <td>14 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-led-driver">Раскрытие информации через LED-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10295</td> + <td>A-33781694<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=f11ae3df500bc2a093ddffee6ea40da859de0fa9"> +QC-CR#1109326</a></td> + <td>Средний</td> + <td>Pixel, Pixel XL</td> + <td>20 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-shared-memory-driver">Раскрытие информации через драйвер разделения памяти Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10296</td> + <td>A-33845464<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49"> +QC-CR#1109782</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>22 декабря 2016 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-camera-driver">Раскрытие информации через драйвер Qualcomm для камеры</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0628</td> + <td>A-34230377<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f"> +QC-CR#1086833</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6, Pixel, Pixel XL</td> + <td>10 января 2017 г.</td> + </tr> + <tr> + <td>CVE-2017-0629</td> + <td>A-35214296<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f"> +QC-CR#1086833</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6, Pixel, Pixel XL</td> + <td>8 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-kernel-trace-subsystem">Раскрытие информации через подсистему трассировки ядра</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0630</td> + <td>A-34277115*<br /> + </td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player</td> + <td>11 января 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="id-in-qualcomm-sound-codec-driver">Раскрытие информации через аудиодрайвер кодеков Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5858</td> + <td>A-35400153<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=3154eb1d263b9c3eab2c9fa8ebe498390bf5d711"> +QC-CR#1096799</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=afc5bea71bc8f251dad1104568383019f4923af6"> +[2]</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-camera-driver-2">Раскрытие информации через драйвер Qualcomm для камеры</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0631</td> + <td>A-35399756<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=8236d6ebc7e26361ca7078cbeba01509f10941d8"> +QC-CR#1093232</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-sound-driver">Раскрытие информации через аудиодрайвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5347</td> + <td>A-35394329<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=f14390f13e62460fc6b05fc0acde0e825374fdb6"> +QC-CR#1100878</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-qualcomm-spcom-driver">Раскрытие информации через SPCom-драйвер Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5854</td> + <td>A-35392792<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=28d23d4d7999f683b27b6e0c489635265b67a4c9"> +QC-CR#1092683</a></td> + <td>Средний</td> + <td>Нет*</td> + <td>15 февраля 2017 г.</td> + </tr> + <tr> + <td>CVE-2016-5855</td> + <td>A-35393081<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a5edb54e93ba85719091fe2bc426d75fa7059834"> +QC-CR#1094143</a></td> + <td>Средний</td> + <td>Нет*</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h3 id="id-in-qualcomm-sound-codec-driver-2">Раскрытие информации через аудиодрайвер кодеков Qualcomm</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0632</td> + <td>A-35392586<br /> + <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=970d6933e53c1f7ca8c8b67f49147b18505c3b8f"> +QC-CR#832915</a></td> + <td>Средний</td> + <td>Android One</td> + <td>15 февраля 2017 г.</td> + </tr> +</tbody></table> + +<h3 id="id-in-broadcom-wi-fi-driver">Раскрытие информации через Wi-Fi-драйвер Broadcom</h3> + +<p>Уязвимость позволяет локальному вредоносному компоненту получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0633</td> + <td>A-36000515*<br /> + B-RB#117131</td> + <td>Средний</td> + <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> + <td>23 февраля 2017 г.</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="id-in-synaptics-touchscreen-driver">Раскрытие информации через драйвер сенсорного экрана Synaptics</h3> + +<p>Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0634</td> + <td>A-32511682*<br /> + </td> + <td>Средний</td> + <td>Pixel, Pixel XL</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</tbody></table> + +<p>*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<h3 id="vulnerabilities-in-qualcomm-components-2">Уязвимости в компонентах Qualcomm</h3> + +<p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности.</p> + +<table> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2014-9923</td> + <td>A-35434045**<br /> + QC-CR#403910</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9924</td> + <td>A-35434631**<br /> + QC-CR#596102</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9925</td> + <td>A-35444657**<br /> + QC-CR#638130</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9926</td> + <td>A-35433784**<br /> + QC-CR#631527</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9927</td> + <td>A-35433785**<br /> + QC-CR#661111</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9928</td> + <td>A-35438623**<br /> + QC-CR#696972</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9929</td> + <td>A-35443954**<br /> + QC-CR#644783</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9930</td> + <td>A-35432946**<br /> + QC-CR#634637</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2015-9005</td> + <td>A-36393500**<br /> + QC-CR#741548</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2015-9006</td> + <td>A-36393450**<br /> + QC-CR#750559</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2015-9007</td> + <td>A-36393700**<br /> + QC-CR#807173</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2016-10297</td> + <td>A-36393451**<br /> + QC-CR#1061123</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9941</td> + <td>A-36385125**<br /> + QC-CR#509915</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9942</td> + <td>A-36385319**<br /> + QC-CR#533283</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9943</td> + <td>A-36385219**<br /> + QC-CR#546527</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9944</td> + <td>A-36384534**<br /> + QC-CR#613175</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9945</td> + <td>A-36386912**<br /> + QC-CR#623452</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9946</td> + <td>A-36385281**<br /> + QC-CR#520149</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9947</td> + <td>A-36392400**<br /> + QC-CR#650540</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9948</td> + <td>A-36385126**<br /> + QC-CR#650500</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9949</td> + <td>A-36390608**<br /> + QC-CR#652426</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9950</td> + <td>A-36385321**<br /> + QC-CR#655530</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9951</td> + <td>A-36389161**<br /> + QC-CR#525043</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> + <tr> + <td>CVE-2014-9952</td> + <td>A-36387019**<br /> + QC-CR#674836</td> + <td>Высокий</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> +</tbody></table> + +<p>*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> + +<p>**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>.</p> + +<p>***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.</p> + +<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> +<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть +после прочтения бюллетеня.</p> + +<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? +</strong></p> + +<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> + +<ul> +<li>В исправлении от 1 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-01.</li> +<li>В исправлении от 5 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-05. +</li> +</ul> + +<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> +<ul> +<li>[ro.build.version.security_patch]:[2017-05-01];</li> +<li>[ro.build.version.security_patch]:[2017-05-05].</li> +</ul> + +<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> + +<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> +<ul> +<li>На устройствах с установленным обновлением от 1 мая 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> +<li>На устройствах с установленным обновлением от 5 мая 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> +</ul> + +<p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p> + +<p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p> + +<p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-05-01-details">2017-05-01</a> и <a href="#2017-05-05-details">2017-05-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость.</p> +<ul> +<li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li> +<li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> +<li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em> </li> +</ul> +<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p> + +<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:</p> + +<table> + <tbody><tr> + <th>Префикс</th> + <th>Значение</th> + </tr> + <tr> + <td>A-</td> + <td>Идентификатор ошибки Android</td> + </tr> + <tr> + <td>QC-</td> + <td>Ссылочный номер Qualcomm</td> + </tr> + <tr> + <td>M-</td> + <td>Ссылочный номер MediaTek</td> + </tr> + <tr> + <td>N-</td> + <td>Ссылочный номер NVIDIA</td> + </tr> + <tr> + <td>B-</td> + <td>Ссылочный номер Broadcom</td> + </tr> +</tbody></table> +<h2 id="revisions">Версии</h2> +<ul> +<li>1 мая 2017 года. Бюллетень опубликован.</li> +<li>2 мая 2017 года. Добавлены ссылки на AOSP.</li> +</ul> + +</body></html>
\ No newline at end of file |