diff options
Diffstat (limited to 'src-intl/ru_ALL/security/bulletin/2017-02-01.jd')
| -rw-r--r-- | src-intl/ru_ALL/security/bulletin/2017-02-01.jd | 1736 |
1 files changed, 1736 insertions, 0 deletions
diff --git a/src-intl/ru_ALL/security/bulletin/2017-02-01.jd b/src-intl/ru_ALL/security/bulletin/2017-02-01.jd new file mode 100644 index 00000000..11216852 --- /dev/null +++ b/src-intl/ru_ALL/security/bulletin/2017-02-01.jd @@ -0,0 +1,1736 @@ +page.title=Бюллетень по безопасности Android – февраль 2017 г. +@jd:body +<!-- + Copyright 2017 The Android Open Source Project + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + http://www.apache.org/licenses/LICENSE-2.0 + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. +--> + +<p><em>Опубликовано 6 февраля 2017 г. | Обновлено 8 февраля 2017 г.</em></p> +<p> +В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок <a href="https://developers.google.com/android/nexus/images">на сайте для разработчиков</a>. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 февраля 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>. +</p> +<p> +Мы сообщили партнерам об уязвимостях 3 января 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). +В этом бюллетене также приведены ссылки на исправления вне AOSP. +</p> +<p> +Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). +</p> +<p> +Обнаруженные уязвимости не эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a>, помогают снизить вероятность атак на Android. +</p> +<p> +Мы рекомендуем всем пользователям установить перечисленные в разделе обновления. +</p> +<h2 id="announcements">Объявления</h2> +<ul> +<li>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. + <ul> + <li><strong>2017-02-01</strong>: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-02-01 и более ранние.</li> + <li><strong>2017-02-05</strong>: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-02-01 и 2017-02-05, а также более ранние.</li> + </ul> +</li> +<li>На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 февраля 2017 года.</li> +</ul> +<h2 id="security-vulnerability-summary">Перечень уязвимостей</h2> +<p> +В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Google. <a href="{@docRoot}security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. +</p> +<h3 id="2017-02-01-summary">Перечень уязвимостей (обновление системы безопасности 2017-02-01)</h3> +<p> +Перечисленные проблемы должны быть устранены в исправлении от 1 февраля 2017 года или более новом. +</p> +<table> + <col width="55%"> + <col width="20%"> + <col width="13%"> + <col width="12%"> + <tr> + <th>Уязвимость</th> + <th>CVE</th> + <th>Уровень серьезности</th> + <th>Затрагивает устройства Google?</th> + </tr> + <tr> + <td>Удаленное выполнение кода через surfaceflinger</td> + <td>CVE-2017-0405</td> + <td>Критический</td> + <td>Да</td> + </tr> + <tr> + <td>Удаленное выполнение кода через mediaserver</td> + <td>CVE-2017-0406, CVE-2017-0407</td> + <td>Критический</td> + <td>Да</td> + </tr> + <tr> + <td>Удаленное выполнение кода через libgdx</td> + <td>CVE-2017-0408</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Удаленное выполнение кода через libstagefright</td> + <td>CVE-2017-0409</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через Java.Net</td> + <td>CVE-2016-5552</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через Framework API</td> + <td>CVE-2017-0410, CVE-2017-0411, CVE-2017-0412</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через mediaserver</td> + <td>CVE-2017-0415</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через audioserver</td> + <td>CVE-2017-0416, CVE-2017-0417, CVE-2017-0418, CVE-2017-0419</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через почтовый клиент AOSP</td> + <td>CVE-2017-0420</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через клиент для обмена сообщениями AOSP</td> + <td>CVE-2017-0413, CVE-2017-0414</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через Framework API</td> + <td>CVE-2017-0421</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Отказ в обслуживании через Bionic DNS</td> + <td>CVE-2017-0422</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через Bluetooth</td> + <td>CVE-2017-0423</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через клиент для обмена сообщениями AOSP</td> + <td>CVE-2017-0424</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через audioserver</td> + <td>CVE-2017-0425</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через файловую систему</td> + <td>CVE-2017-0426</td> + <td>Средний</td> + <td>Да</td> + </tr> +</table> +<h3 id="2017-02-05-summary">Перечень уязвимостей (обновление системы безопасности 2017-02-05)</h3> +<p>В исправлении от 5 февраля 2017 года или более новом устранены все проблемы, упомянутые в обновлении 2017-02-01, а также уязвимости, перечисленные ниже.</p> +<table> + <col width="55%"> + <col width="20%"> + <col width="13%"> + <col width="12%"> + <tr> + <th>Уязвимость</th> + <th>CVE</th> + <th>Уровень серьезности</th> + <th>Затрагивает устройства Google?</th> + </tr> + <tr> + <td>Удаленное выполнение кода через драйвер шифрования Qualcomm</td> + <td>CVE-2016-8418</td> + <td>Критический</td> + <td>Нет*</td> + </tr> + <tr> + <td>Повышение привилегий через файловую систему ядра</td> + <td>CVE-2017-0427</td> + <td>Критический</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через драйвер NVIDIA для графического процессора</td> + <td>CVE-2017-0428, CVE-2017-0429</td> + <td>Критический</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через сетевую подсистему ядра</td> + <td>CVE-2014-9914</td> + <td>Критический</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через Wi-Fi-драйвер Broadcom</td> + <td>CVE-2017-0430</td> + <td>Критический</td> + <td>Да</td> + </tr> + <tr> + <td>Уязвимости в компонентах Qualcomm</td> + <td>CVE-2017-0431</td> + <td>Критический</td> + <td>Нет*</td> + </tr> + <tr> + <td>Повышение привилегий через драйвер MediaTek</td> + <td>CVE-2017-0432</td> + <td>Высокий</td> + <td>Нет*</td> + </tr> + <tr> + <td>Повышение привилегий через драйвер сенсорного экрана Synaptics</td> + <td>CVE-2017-0433, CVE-2017-0434</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через драйвер Qualcomm для QSEE Communicator</td> + <td>CVE-2016-8480</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через аудиодрайвер Qualcomm</td> + <td>CVE-2016-8481, CVE-2017-0435, CVE-2017-0436</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через Wi-Fi-драйвер Qualcomm</td> + <td>CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2017-0440, CVE-2017-0441, CVE-2017-0442, CVE-2017-0443, CVE-2016-8476</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через аудиодрайвер Realtek</td> + <td>CVE-2017-0444</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через драйвер сенсорного экрана HTC</td> + <td>CVE-2017-0445, CVE-2017-0446, CVE-2017-0447</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через видеодрайвер NVIDIA</td> + <td>CVE-2017-0448</td> + <td>Высокий</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через Wi-Fi-драйвер Broadcom</td> + <td>CVE-2017-0449</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через audioserver</td> + <td>CVE-2017-0450</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Повышение привилегий через файловую систему ядра</td> + <td>CVE-2016-10044</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через QSEE Communicator</td> + <td>CVE-2016-8414</td> + <td>Средний</td> + <td>Да</td> + </tr> + <tr> + <td>Раскрытие информации через аудиодрайвер Qualcomm</td> + <td>CVE-2017-0451</td> + <td>Средний</td> + <td>Да</td> + </tr> +</table> + +<p>*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.</p> + +<h2 id="mitigations">Предотвращение атак</h2> +<p>Ниже рассказывается, как <a href="{@docRoot}security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.</p> +<ul> + <li>Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям + своевременно обновлять систему.</li> + <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_2015_Report_Final.pdf">Проверки приложений и SafetyNet</a>. Эти сервисы предупреждают пользователя об установке <a href="http://static.googleusercontent.com/media/source.android.com/ru//security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально вредоносных приложений</a>. Проверка приложений включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">мобильными сервисами Google</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.</li> + <li>Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.</li> +</ul> +<h2 id="acknowledgements">Благодарности</h2> +<p> +Благодарим всех, кто помог обнаружить уязвимости: +</p> +<ul> + <li>Дэниел Дахно: CVE-2017-0420</li> + <li>Дэниел Микей из Copperhead Security: CVE-2017-0410</li> + <li><a href="http://www.linkedin.com/in/dzima">Дзмитрий Лукьяненка</a>: CVE-2017-0414</li> + <li>Фрэнк Либерато из Chrome: CVE-2017-0409</li> + <li>Гэл Бениамини из Project Zero: CVE-2017-0411, CVE-2017-0412</li> + <li>Гэнцзя Чэнь (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432</li> + <li>Гуан Гун (龚广) (<a href="https://twitter.com/oldfresher">@oldfresher</a>) из Alpha Team, <a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>.: CVE-2017-0415</li> + <li><a href="mailto:arnow117@gmail.com">Ханьсян Вэнь</a>, <a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0418</li> + <li>Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443</li> + <li>Джефф Шарки из Google: CVE-2017-0421, CVE-2017-0423</li> + <li>Джефф Трим: CVE-2017-0422</li> + <li>Цзяньцян Чжао (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) и <a href="http://weibo.com/jfpan">pjf</a> из IceSword Lab, Qihoo 360: CVE-2017-0445</li> + <li>ma.la и Николай Еленков из LINE Corporation: CVE-2016-5552</li> + <li>Макс Спектор из Google: CVE-2017-0416</li> + <li>Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>), Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0425</li> + <li>Цидань Хэ (何淇丹) (<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>) и Ди Шэнь (申迪) (<a href="https://twitter.com/returnsme">@returnsme</a>) из KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427</li> + <li>Саги Кедми из IBM X-Force Research: CVE-2017-0433</li> + <li>Скотт Бауэр (<a href="http://twitter.com/ScottyBauer1">@ScottyBauer1</a>) и Дэниел Микей из Copperhead Security: CVE-2017-0405</li> + <li>Севен Шэнь (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2017-0449, CVE-2016-8418</li> + <li><a href="mailto:segfault5514@gmail.com">Тун Линь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0436, CVE-2016-8481, CVE-2017-0435</li> + <li>V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>) из <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">команды по изучению угроз для мобильных устройств</a>, <a href="http://www.trendmicro.com">Trend Micro</a>: CVE-2017-0424</li> + <li>Вэйчао Сунь (<a href="https://twitter.com/sunblate">@sunblate</a>) из Alibaba Inc.: CVE-2017-0407</li> + <li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, <a href="mailto:hlhan@bupt.edu.cn">Хунли Хань</a>, Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0450</li> + <li><a href="mailto:vancouverdou@gmail.com">Вэнькэ Доу</a>, Юйци Лу (<a href="https://twitter.com/nikos233__">@nikos233</a>), Минцзянь Чжоу (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0417</li> + <li>Виш Ву (<a href="https://twitter.com/wish_wu">@wish_wu</a>) (<a href="http://www.weibo.com/wishlinux">吴潍浠</a> 此彼) из Ant-financial Light-Year Security Lab: CVE-2017-0408</li> + <li><a href="mailto:yaojun8558363@gmail.com">Яо Цзюнь</a>, <a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2016-8480</li> + <li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0444</li> + <li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:segfault5514@gmail.com">Тун Линь</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0428</li> + <li><a href="mailto:computernik@gmail.com">Юань-Цун Ло</a>, <a href="mailto:wisedd@gmail.com">Сяодун Ван</a>, Чиачи У (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) и Сюйсянь Цзян из <a href="http://c0reteam.org">C0RE Team</a>: CVE-2017-0448, CVE-2017-0429</li> + <li><a href="mailto:zhouzhenster@gmail.com">Чжэнь Чжоу</a> (<a href="https://twitter.com/henices">@henices</a>) и <a href="mailto:sundaywind2004@gmail.com">Чжисинь Ли</a> из <a href="http://www.nsfocus.com">NSFocus</a>: CVE-2017-0406</li> +</ul> +<p> +Также благодарим всех, кто помог в составлении этого бюллетеня: +</p><ul> +<li>Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮), Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室)</li> +</ul> + +<h2 id="2017-02-01-details">Описание уязвимостей (обновление системы безопасности 2017-02-01)</h2> +<p> +В этом разделе вы найдете подробную информацию обо всех уязвимостях, обозначенных в разделе <a href="#2017-02-01-summary">Перечень уязвимостей (обновление системы безопасности 2017-02-01)</a>: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> + + +<h3 id="rce-in-surfaceflinger">Удаленное выполнение кода через surfaceflinger</h3> +<p> +Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса surfaceflinger. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0405</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16110b86db164e8d2b6864fed58f0385fe7d0979"> + A-31960359</a></td> + <td>Критический</td> + <td>Все</td> + <td>7.0, 7.1.1</td> + <td>4 октября 2016 г.</td> + </tr> +</table> + + +<h3 id="rce-in-mediaserver">Удаленное выполнение кода через mediaserver</h3> +<p> +Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0406</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/fed702734d86801cc86b4865a57e2f2028c4b575"> +A-32915871</a> +[<a href="https://android.googlesource.com/platform/external/libhevc/+/df7b56457184600e3d2b7cbac87ebe7001f7cb48">2</a>]</td> + <td>Критический</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>14 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0407</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/7546c106004910a4583b2d7d03c6498ecf383da7"> + A-32873375</a></td> + <td>Критический</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>12 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="rce-in-libgdx">Удаленное выполнение кода через libgdx</h3> +<p> +Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0408</td> + <td><a href="https://android.googlesource.com/platform/external/libgdx/+/e6da772e70c9754966aabf4ddac73bb99eb1742b"> + A-32769670</a></td> + <td>Высокий</td> + <td>Все</td> + <td>7.1.1</td> + <td>9 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="rce-in-libstagefright">Удаленное выполнение кода через libstagefright</h3> +<p> +Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0409</td> + <td><a href="https://android.googlesource.com/platform/external/libavc/+/72886b6964f6539908c8e127cd13c3091d2e5a8b"> + A-31999646</a></td> + <td>Высокий</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</table> + + +<h3 id="eop-in-java.net">Повышение привилегий через Java.Net</h3> +<p> +Уязвимость позволяет вредоносному веб-контенту несанкционированно перенаправлять пользователя на другой сайт. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет удаленно обойти требования к взаимодействию с пользователем. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-5552</td> + <td><a href="https://android.googlesource.com/platform/libcore/+/4b3f2c6c5b84f80fae8eeeb46727811e055715ea"> + A-31858037</a></td> + <td>Высокий</td> + <td>Все</td> + <td>7.0, 7.1.1</td> + <td>30 сентября 2016 г.</td> + </tr> +</table> + + +<h3 id="eop-in-framework-apis">Повышение привилегий через Framework API</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0410</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/b4d6b292bce7d82c93fd454078dedf5a1302b9fa"> + A-31929765</a></td> + <td>Высокий</td> + <td>Все</td> + <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>2 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0411</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/203725e4d58e16334d84998c1483c374f541ed9f"> +A-33042690</a> +[<a href="https://android.googlesource.com/platform/frameworks/base/+/31a06019d13d7b00ca35fc8512191c643acb8e84">2</a>]</td> + <td>Высокий</td> + <td>Все</td> + <td>7.0, 7.1.1</td> + <td>21 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0412</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/203725e4d58e16334d84998c1483c374f541ed9f"> +A-33039926</a> +[<a href="https://android.googlesource.com/platform/frameworks/base/+/31a06019d13d7b00ca35fc8512191c643acb8e84">2</a>]</td> + <td>Высокий</td> + <td>Все</td> + <td>7.0, 7.1.1</td> + <td>21 ноября 2016 г.</td> + </tr> +</table> + +<h3 id="eop-in-mediaserver">Повышение привилегий через mediaserver</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0415</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/2e16d5fac149dab3c3e8f1b2ca89f45cf55a7b34"> + A-32706020</a></td> + <td>Высокий</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>4 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="eop-in-audioserver">Повышение привилегий через audioserver</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0416</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/b0bcddb44d992e74140a3f5eedc7177977ea8e34"> +A-32886609</a> + [<a href="https://android.googlesource.com/platform/frameworks/av/+/321ea5257e37c8edb26e66fe4ee78cca4cd915fe">2</a>]</td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>Доступно только сотрудникам Google</td> + </tr> + <tr> + <td>CVE-2017-0417</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/b0bcddb44d992e74140a3f5eedc7177977ea8e34"> + A-32705438</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>7 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0418</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/b0bcddb44d992e74140a3f5eedc7177977ea8e34"> +A-32703959</a> +[<a href="https://android.googlesource.com/platform/hardware/libhardware/+/534098cb29e1e4151ba2ed83d6a911d0b6f48522">2</a>]</td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>7 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0419</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/a155de4d70e0b9ac8fc02b2bdcbb2e8e6cca46ff"> + A-32220769</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>15 октября 2016 г.</td> + </tr> +</table> + +<h3 id="id-in-aosp-mail">Раскрытие информации через почтовый клиент AOSP</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0420</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/UnifiedEmail/+/2073799a165e6aa15117f8ad76bb0c7618b13909"> + A-32615212</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>12 сентября 2016 г.</td> + </tr> +</table> + + +<h3 id="id-in-aosp-messaging">Раскрытие информации через клиент для обмена сообщениями AOSP</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0413</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/74059eb379ea07b9c7f46bf2112a60de8e4cfc8e"> + A-32161610</a></td> + <td>Высокий</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>13 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0414</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/30ab77f42d20c33c0aa9e6ffd2b164d096db32dd"> + A-32807795</a></td> + <td>Высокий</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>10 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="id-in-framework-apis">Раскрытие информации через Framework API</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0421</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/858064e946dc8dbf76bff9387e847e211703e336"> + A-32555637</a></td> + <td>Высокий</td> + <td>Все</td> + <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</table> + + +<h3 id="dos-in-bionic-dns">Отказ в обслуживании через Bionic DNS</h3> +<p> +Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. +Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании. + +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0422</td> + <td><a href="https://android.googlesource.com/platform/bionic/+/dba3df609436d7697305735818f0a840a49f1a0d"> + A-32322088</a></td> + <td>Высокий</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>20 октября 2016 г.</td> + </tr> +</table> + + +<h3 id="eop-in-bluetooth">Повышение привилегий через Bluetooth</h3> +<p> +Уязвимость позволяет злоумышленнику получить доступ к файлам, хранящимся на устройстве, по протоколу Bluetooth. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует эксплуатации другой уязвимости Bluetooth-стека. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0423</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/4c1f39e1cf203cb9db7b85e75b5fc32ec7132083"> + A-32612586</a></td> + <td>Средний</td> + <td>Все</td> + <td>5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>2 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="id-in-aosp-messaging-2">Раскрытие информации через клиент для обмена сообщениями AOSP</h3> +<p> +Уязвимость позволяет злоумышленнику получить несанкционированный доступ к данным с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня пользователя и аналогичные технологии защиты. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0424</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/e9b7e3a6b7a8886693d298401a20788816a5afdc"> + A-32322450</a></td> + <td>Средний</td> + <td>Все</td> + <td>6.0, 6.0.1, 7.0, 7.1.1</td> + <td>20 октября 2016 г.</td> + </tr> +</table> + + +<h3 id="id-in-audioserver">Раскрытие информации через audioserver</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0425</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/a155de4d70e0b9ac8fc02b2bdcbb2e8e6cca46ff"> + A-32720785</a></td> + <td>Средний</td> + <td>Все</td> + <td>4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1</td> + <td>7 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="id-in-filesystem">Раскрытие информации через файловую систему</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности. +</p> + +<table> + <col width="18%"> + <col width="17%"> + <col width="10%"> + <col width="19%"> + <col width="18%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Обновленные версии AOSP</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0426</td> + <td><a href="https://android.googlesource.com/platform/system/sepolicy/+/ae46511bfa62b56938b3df824bb2ee737dceaa7a"> +A-32799236</a> +[<a href="https://android.googlesource.com/platform/system/core/+/0e7324e9095a209d4f06ba00812b2b2976fe2846">2</a>]</td> + <td>Средний</td> + <td>Все</td> + <td>7.0, 7.1.1</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</table> + + +<h2 id="2017-02-05-details">Описание уязвимостей (обновление системы безопасности 2017-02-05)</h2> +<p> +В этом разделе вы найдете подробную информацию обо всех уязвимостях, обозначенных в разделе <a href="#2017-02-05-summary">Перечень уязвимостей (обновление системы безопасности 2017-02-05)</a>: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.</p> + + +<h3 id="rce-in-qualcomm-crypto-driver">Удаленное выполнение кода через драйвер шифрования Qualcomm</h3> +<p> +Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-8418</td> + <td>A-32652894<br> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=8f8066581a8e575a7d57d27f36c4db63f91ca48f"> +QC-CR#1077457</a></td> + <td>Критический</td> + <td>Нет*</td> + <td>10 октября 2016 г.</td> + </tr> +</table> +<p> +*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления. +</p> + + +<h3 id="eop-in-kernel-file-system">Повышение привилегий через файловую систему ядра</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0427</td> + <td>A-31495866*</td> + <td>Критический</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td> + <td>13 сентября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-nvidia-gpu-driver">Повышение привилегий через драйвер NVIDIA для графического процессора</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0428</td> + <td>A-32401526*<br> + N-CVE-2017-0428</td> + <td>Критический</td> + <td>Nexus 9</td> + <td>25 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0429</td> + <td>A-32636619*<br> + N-CVE-2017-0429</td> + <td>Критический</td> + <td>Nexus 9</td> + <td>3 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-kernel-networking-subsystem">Повышение привилегий через сетевую подсистему ядра</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2014-9914</td> + <td>A-32882659<br> + <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=9709674e68646cee5a24e3000b3558d25412203a"> +Upstream kernel</a></td> + <td>Критический</td> + <td>Nexus 6, Nexus Player</td> + <td>9 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="eop-in-broadcom-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0430</td> + <td>A-32838767*<br> + B-RB#107459</td> + <td>Критический</td> + <td>Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="vulnerabilities-in-qualcomm-components">Уязвимости в компонентах Qualcomm</h3> +<p> +Следующие уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за сентябрь 2016 года. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности*</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0431</td> + <td>A-32573899**</td> + <td>Критический</td> + <td>Нет***</td> + <td>Доступно только сотрудникам Qualcomm</td> + </tr> +</table> +<p> +*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm. +</p> +<p> +**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> +<p> +***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления. +</p> + + +<h3 id="eop-in-mediatek-driver">Повышение привилегий через драйвер MediaTek</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0432</td> + <td>A-28332719*<br> + M-ALPS02708925</td> + <td>Высокий</td> + <td>Нет**</td> + <td>21 апреля 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> +<p> +**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления. +</p> + + +<h3 id="eop-in-synaptics-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана Synaptics</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте чипсета сенсорного экрана. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0433</td> + <td>A-31913571*</td> + <td>Высокий</td> + <td>Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL</td> + <td>8 сентября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0434</td> + <td>A-33001936*</td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>18 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-qualcomm-secure-execution-environment-communicator-driver">Повышение привилегий через драйвер Qualcomm для QSEE Communicator</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-8480</td> + <td>A-31804432<br> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=0ed0f061bcd71940ed65de2ba46e37e709e31471"> +QC-CR#1086186</a> +[<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=cd70f6025a7bbce89af7a7abf4c40a219fdea406">2</a>]</td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL</td> + <td>28 сентября 2016 г.</td> + </tr> +</table> + + +<h3 id="eop-in-qualcomm-sound-driver">Повышение привилегий через аудиодрайвер Qualcomm</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-8481</td> + <td>A-31906415*<br> + QC-CR#1078000</td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> + <td>1 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0435</td> + <td>A-31906657*<br> + QC-CR#1078000</td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> + <td>1 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0436</td> + <td>A-32624661*<br> + QC-CR#1078000</td> + <td>Высокий</td> + <td>Nexus 5X, Nexus 6P, Pixel, Pixel XL</td> + <td>2 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-qualcomm-wi-fi-driver">Повышение привилегий через Wi-Fi-драйвер Qualcomm</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0437</td> + <td>A-32402310<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=1f0b036dc74ccb6e9f0a03a540efdb0876f5ca77"> +QC-CR#1092497</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>25 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0438</td> + <td>A-32402604<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=1f0b036dc74ccb6e9f0a03a540efdb0876f5ca77"> +QC-CR#1092497</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>25 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0439</td> + <td>A-32450647<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=81b6b5538d3227ed4b925fcceedb109abb2a4c61"> +QC-CR#1092059</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>25 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-8419</td> + <td>A-32454494<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=9ba50d536227666a5b6abd51f2b122675d950488"> +QC-CR#1087209</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>26 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-8420</td> + <td>A-32451171<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=c6597e015a7ce5ee71d3725fc55e64fc50923f4e"> +QC-CR#1087807</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>26 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-8421</td> + <td>A-32451104<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=61a5cdb9adc96645583f528ac923e6e59f3abbcb"> +QC-CR#1087797</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>26 октября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0440</td> + <td>A-33252788<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=10f0051f7b3b9a7635b0762a8cf102f595f7a268"> +QC-CR#1095770</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>11 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0441</td> + <td>A-32872662<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=da87131740351b833f17f05dfa859977bc1e7684"> +QC-CR#1095009</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>11 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0442</td> + <td>A-32871330<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=1f0b036dc74ccb6e9f0a03a540efdb0876f5ca77"> +QC-CR#1092497</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>13 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0443</td> + <td>A-32877494<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=1f0b036dc74ccb6e9f0a03a540efdb0876f5ca77"> +QC-CR#1092497</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>13 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2016-8476</td> + <td>A-32879283<br> + <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=bfe8035bce6fec72ed1d064b94529fce8fb09799"> +QC-CR#1091940</a></td> + <td>Высокий</td> + <td>Nexus 5X, Pixel, Pixel XL</td> + <td>14 ноября 2016 г.</td> + </tr> +</table> + + +<h3 id="eop-in-realtek-sound-driver">Повышение привилегий через аудиодрайвер Realtek</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0444</td> + <td>A-32705232*</td> + <td>Высокий</td> + <td>Nexus 9</td> + <td>7 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-htc-touchscreen-driver">Повышение привилегий через драйвер сенсорного экрана HTC</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0445</td> + <td>A-32769717*</td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>9 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0446</td> + <td>A-32917445*</td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>15 ноября 2016 г.</td> + </tr> + <tr> + <td>CVE-2017-0447</td> + <td>A-32919560*</td> + <td>Высокий</td> + <td>Pixel, Pixel XL</td> + <td>15 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="id-in-nvidia-video-driver">Раскрытие информации через видеодрайвер NVIDIA</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Из-за этого проблеме присвоен высокий уровень серьезности. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0448</td> + <td>A-32721029*<br> + N-CVE-2017-0448</td> + <td>Высокий</td> + <td>Nexus 9</td> + <td>7 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-broadcom-wi-fi-driver-2">Повышение привилегий через Wi-Fi-драйвер Broadcom</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0449</td> + <td>A-31707909*<br> + B-RB#32094</td> + <td>Средний</td> + <td>Nexus 6, Nexus 6P</td> + <td>23 сентября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-audioserver-2">Повышение привилегий через audioserver</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку она предотвращается текущими настройками платформы. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0450</td> + <td>A-32917432*</td> + <td>Средний</td> + <td>Nexus 9</td> + <td>15 ноября 2016 г.</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="eop-in-kernel-file-system-2">Повышение привилегий через файловую систему ядра</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО обходить системы защиты, которые предотвращают повышение привилегий. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти защиту уровня пользователя и аналогичные технологии защиты. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-10044</td> + <td>A-31711619*</td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL</td> + <td>Доступно только сотрудникам Google</td> + </tr> +</table> +<p> +*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. +</p> + + +<h3 id="id-in-qualcomm-secure-execution-environment-communicator">Раскрытие информации через QSEE Communicator</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2016-8414</td> + <td>A-31704078<br> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=320970d3da9b091e96746424c44649a91852a846"> +QC-CR#1076407</a></td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td> + <td>23 сентября 2016 г.</td> + </tr> +</table> + + +<h3 id="id-in-qualcomm-sound-driver">Раскрытие информации через аудиодрайвер Qualcomm</h3> +<p> +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса. +</p> + +<table> + <col width="19%"> + <col width="20%"> + <col width="10%"> + <col width="23%"> + <col width="17%"> + <tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Уровень серьезности</th> + <th>Обновленные устройства Google</th> + <th>Дата сообщения об ошибке</th> + </tr> + <tr> + <td>CVE-2017-0451</td> + <td>A-31796345<br> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=59f55cd40b5f44941afc78b78e5bf81ad3dd723e"> +QC-CR#1073129</a> +[<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=35346beb2d8882115f698ab22a96803552b5c57e">2</a>]</td> + <td>Средний</td> + <td>Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL</td> + <td>27 сентября 2016 г.</td> + </tr> +</table> + +<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> +<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть +после прочтения бюллетеня.</p> +<p><strong>1) Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p> +<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>.</p> +<ul> + <li>В исправлении от 1 февраля 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-02-01.</li> + <li>В исправлении от 5 февраля 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-02-05. + </li> +</ul> +<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> +<ul> +<li><code>[ro.build.version.security_patch]:[2017-02-01]</code></li> +<li><code>[ro.build.version.security_patch]:[2017-02-05]</code></li> +</ul> + +<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> + +<p>Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.</p> +<ul> + <li>На устройствах с установленным обновлением от 1 января 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> + <li>На устройствах с установленным обновлением от 5 января 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> +</ul> +<p>Рекомендуем партнерам объединить все исправления проблем в одно обновление.</p> +<p><strong>3. Как определить, на каких устройствах Google присутствует уязвимость?</strong></p> +<p>В каждой таблице разделов с описанием уязвимостей <a href="#2017-02-01-details">2017-02-01</a> и <a href="#2017-02-05-details">2017-02-05</a> есть столбец <em>Обновленные устройства Google</em>. В нем указано, на каких устройствах присутствует уязвимость. +</p> +<ul> + <li><strong>Все устройства.</strong> Проблема возникает на<em></em> следующих <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">поддерживаемых устройствах Google</a>: Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.</li> + <li><strong>Некоторые устройства.</strong> <em></em>Перечислены устройства, на которых присутствует уязвимость.</li> + <li><strong>Нет.</strong> Проблема не возникает ни на одном устройстве Google.<em></em></li> +</ul> +<p><strong>4. На что указывают записи в столбце "Ссылки"?</strong></p> +<p>В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. +Каждая запись в нем может содержать префикс, указывающий на +источник ссылки, а именно:</p> +<table> + <tr> + <th>Префикс</th> + <th>Значение</th> + </tr> + <tr> + <td>A-</td> + <td>Идентификатор ошибки Android</td> + </tr> + <tr> + <td>QC-</td> + <td>Ссылочный номер Qualcomm</td> + </tr> + <tr> + <td>M-</td> + <td>Ссылочный номер MediaTek</td> + </tr> + <tr> + <td>N-</td> + <td>Ссылочный номер NVIDIA</td> + </tr> + <tr> + <td>B-</td> + <td>Ссылочный номер Broadcom</td> + </tr> +</table> + +<h2 id="revisions">Версии</h2> +<ul> + <li>6 февраля 2017 года. Бюллетень опубликован.</li> + <li>8 февраля 2017 года. Добавлены ссылки на AOSP.</li> +</ul> |