Опубликовано 5 июля 2017 г. | Обновлено 6 июля 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июля 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Примечание. Информация о последних автоматических обновлениях (OTA) и об образах прошивок для устройств Google находится в разделе Обновления устройств Google.
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например Google Play Защита позволяют снизить вероятность атак на Android.
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-07-01. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведено описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | УВК | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте приложения, которое использует библиотеку, с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | ПП | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | ПП | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | ПП | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | ПП | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | РИ | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | РИ | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | ОО | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте приложения, которое использует библиотеку, с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762* | УВК | Высокий | 4.4.4 |
| CVE-2016-2109 | A-35443725 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-34778578 | ОО | Высокий | 7.0, 7.1.1, 7.1.2 |
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | УВК | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [2] | УВК | Критический | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | УВК | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | УВК | Критический | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | УВК | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | УВК | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422* | УВК | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008* | УВК | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | ПП | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | ОО | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | ОО | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | ОО | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | ОО | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | ОО | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | УВК | Высокий | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [2] | УВК | Высокий | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | УВК | Высокий | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | ПП | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | ПП | Средний | 7.1.1, 7.1.2 |
В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-07-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027* B-RB#123023 |
УВК | Критический | Драйвер Wi-Fi |
| CVE-2017-0705 | A-34973477* B-RB#119898 |
ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-0706 | A-35195787* B-RB#120532 |
ПП | Средний | Драйвер Wi-Fi |
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467* | ПП | Средний | LED-драйвер |
| CVE-2017-0708 | A-35384879* | РИ | Средний | Аудиодрайвер |
| CVE-2017-0709 | A-35468048* | РИ | Низкий | Драйвер контроллера датчиков |
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 Upstream kernel |
ПП | Высокий | Сетевая подсистема |
| CVE-2017-5970 | A-35805460 Upstream kernel |
ОО | Высокий | Сетевая подсистема |
| CVE-2015-5707 | A-35841297 Upstream kernel [2] |
ПП | Средний | SCSI-драйвер |
| CVE-2017-0710 | A-34951864* | ПП | Средний | ДВБ |
| CVE-2017-7308 | A-36725304 Upstream kernel [2] [3] |
ПП | Средний | Сетевой драйвер |
| CVE-2014-9731 | A-35841292 Upstream kernel |
РИ | Средний | Файловая система |
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953* M-ALPS03206781 |
ПП | Высокий | Сетевой драйвер |
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204* N-CVE-2017-0340 |
ПП | Высокий | Libnvparser |
| CVE-2017-0326 | A-33718700* N-CVE-2017-0326 |
РИ | Средний | Видеодрайвер |
Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 |
ПП | Высокий | Загрузчик |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 |
ПП | Высокий | Загрузчик |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 |
ПП | Высокий | Драйвер камеры |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 |
ПП | Высокий | Драйвер графического процессора |
| CVE-2017-8263 | A-34126808* QC-CR#1107034 |
ПП | Высокий | Подсистема разделения анонимной памяти |
| CVE-2017-8267 | A-34173755* QC-CR#2001129 |
ПП | Высокий | Подсистема разделения анонимной памяти |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [2] |
ПП | Высокий | Загрузчик |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 |
ПП | Средний | USB HID-драйвер |
| CVE-2017-8243 | A-34112490* QC-CR#2001803 |
ПП | Средний | Драйвер процессора |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 |
ПП | Средний | Аудиодрайвер |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 |
ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 |
ПП | Средний | Драйвер процессора |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8264 | A-33299365* QC-CR#1107702 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8268 | A-34620535* QC-CR#2002207 |
ПП | Средний | Драйвер камеры |
| CVE-2017-8270 | A-35468665* QC-CR#2021363 |
ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-8271 | A-35950388* QC-CR#2028681 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8272 | A-35950805* QC-CR#2028702 |
ПП | Средний | Видеодрайвер |
| CVE-2017-8254 | A-36252027 QC-CR#832914 |
РИ | Средний | Аудиодрайвер |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 |
РИ | Средний | Драйвер камеры |
| CVE-2017-8269 | A-33967002* QC-CR#2013145 |
РИ | Средний | Драйвер усилителя |
Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности. Сами исправления доступны напрямую у Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054* QC-CR#532956 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9968 | A-37304413* QC-CR#642084 |
Н/Д | Высокий | Модем |
| CVE-2014-9973 | A-37470982* QC-CR#646919 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9974 | A-37471979* QC-CR#654072 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9975 | A-37471230* QC-CR#700125 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9977 | A-37471087* QC-CR#703002 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9978 | A-37468982* QC-CR#709939 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9979 | A-37471088* QC-CR#717304 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2014-9980 | A-37471029* QC-CR#709766 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-0575 | A-37296999* QC-CR#715815 |
Н/Д | Высокий | Модем |
| CVE-2015-8592 | A-37470090* QC-CR#775396 |
Н/Д | Высокий | Ядро |
| CVE-2015-8595 | A-37472411* QC-CR#790151 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-8596 | A-37472806* QC-CR#802005 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9034 | A-37305706* QC-CR#614512 |
Н/Д | Высокий | Модем |
| CVE-2015-9035 | A-37303626* QC-CR#750231 |
Н/Д | Высокий | Модем |
| CVE-2015-9036 | A-37303519* QC-CR#751831 |
Н/Д | Высокий | Модем |
| CVE-2015-9037 | A-37304366* QC-CR#753315 |
Н/Д | Высокий | Модем |
| CVE-2015-9038 | A-37303027* QC-CR#758328 |
Н/Д | Высокий | Модем |
| CVE-2015-9039 | A-37302628* QC-CR#760282 |
Н/Д | Высокий | Модем |
| CVE-2015-9040 | A-37303625* QC-CR#761216 |
Н/Д | Высокий | Модем |
| CVE-2015-9041 | A-37303518* QC-CR#762126 |
Н/Д | Высокий | Модем |
| CVE-2015-9042 | A-37301248* QC-CR#762214 |
Н/Д | Высокий | Модем |
| CVE-2015-9043 | A-37305954* QC-CR#762954 |
Н/Д | Высокий | Модем |
| CVE-2015-9044 | A-37303520* QC-CR#764858 |
Н/Д | Высокий | Модем |
| CVE-2015-9045 | A-37302136* QC-CR#766189 |
Н/Д | Высокий | Модем |
| CVE-2015-9046 | A-37301486* QC-CR#767335 |
Н/Д | Высокий | Модем |
| CVE-2015-9047 | A-37304367* QC-CR#779285 |
Н/Д | Высокий | Модем |
| CVE-2015-9048 | A-37305707* QC-CR#795960 |
Н/Д | Высокий | Модем |
| CVE-2015-9049 | A-37301488* QC-CR#421589, QC-CR#817165 |
Н/Д | Высокий | Модем |
| CVE-2015-9050 | A-37302137* QC-CR#830102 |
Н/Д | Высокий | Модем |
| CVE-2015-9051 | A-37300737* QC-CR#837317 |
Н/Д | Высокий | Модем |
| CVE-2015-9052 | A-37304217* QC-CR#840483 |
Н/Д | Высокий | Модем |
| CVE-2015-9053 | A-37301249* QC-CR#843808 |
Н/Д | Высокий | Модем |
| CVE-2015-9054 | A-37303177* QC-CR#856077 |
Н/Д | Высокий | Модем |
| CVE-2015-9055 | A-37472412* QC-CR#806464 |
Н/Д | Высокий | Ядро |
| CVE-2015-9060 | A-37472807* QC-CR#817343 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9061 | A-37470436* QC-CR#824195 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9062 | A-37472808* QC-CR#802039 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9067 | A-37474000* QC-CR#848926 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9068 | A-37470144* QC-CR#851114 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9069 | A-37470777* QC-CR#854496 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9070 | A-37474001* QC-CR#877102 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9071 | A-37471819* QC-CR#877276 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9072 | A-37474002* QC-CR#877361 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2015-9073 | A-37473407* QC-CR#878073 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2016-10343 | A-32580186* QC-CR#972213 |
Н/Д | Высокий | Модем |
| CVE-2016-10344 | A-32583954* QC-CR#1022360 |
Н/Д | Высокий | Модем |
| CVE-2016-10346 | A-37473408* QC-CR#896584 |
Н/Д | Высокий | Ядро |
| CVE-2016-10347 | A-37471089* QC-CR#899671 |
Н/Д | Высокий | Ядро |
| CVE-2016-10382 | A-28823584* QC-CR#944014 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2016-10383 | A-28822389* QC-CR#960624 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2016-10388 | A-32580294* QC-CR#992749 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2016-10391 | A-32583804* QC-CR#970283 |
Н/Д | Высокий | WConnect |
| CVE-2016-5871 | A-37473055* QC-CR#883013 |
Н/Д | Высокий | Группа защищенных систем |
| CVE-2016-5872 | A-37472809* QC-CR#886220 |
Н/Д | Высокий | Группа защищенных систем |
В таблице указаны обновление системы безопасности, которые находится в последнем автоматическом обновлении (OTA) и образах прошивок для устройств Google.
| Устройство | Обновление системы безопасности |
|---|---|
| Pixel/Pixel XL | 5 июля 2017 г. |
| Nexus 5X | 5 июля 2017 г. |
| Nexus 6 | 5 июля 2017 г. |
| Nexus 6P | 5 июля 2017 г. |
| Nexus 9 | 5 июля 2017 г. |
| Nexus Player | 5 июля 2017 г. |
| Pixel С | 5 июля 2017 г. |
Благодарим всех, кто помог обнаружить уязвимости:
| CVE | Специалисты |
|---|---|
| CVE-2017-0711 | Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group |
| CVE-2017-0706 | Дасин Го (@freener0) из Xuanwu Lab, Tencent |
| CVE-2017-8260 | Derrek (@derrekr6) и Скотт Бауэр |
| CVE-2017-8265 | Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent |
| CVE-2017-0703 | Дзмитрий Лукьяненка |
| CVE-2017-0692, CVE-2017-0694 | Elphet и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665, CVE-2017-0681 | Ханьсян Вэнь, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-8268, CVE-2017-8261 | Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360 |
| CVE-2017-0698 | Джоуи Брэнд из Census Consulting Inc. |
| CVE-2017-0666, CVE-2017-0684 | Минцзянь Чжоу (@Mingjian_Zhou), Чи Чжан и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 (@jiych_guru) |
| CVE-2017-9417 | Нитай Артенштейн из Exodus Intelligence |
| CVE-2017-0705, CVE-2017-8259 | Скотт Бауэр |
| CVE-2017-0667 | Тимоти Беккер из CSS Inc. |
| CVE-2017-0642, CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696,CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | Василий Васильев |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693,CVE-2017-0674, CVE-2017-0677 | V.E.O (@VYSEa) из команды по изучению угроз для мобильных устройств, Trend Micro |
| CVE-2017-0708 | Силин Гун из отдела безопасности платформы Tencent |
| CVE-2017-0690 | Янкан (@dnpushme) и Лиядон из Qex Team, Qihoo 360 |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | Юань-Цун Ло (computernik@gmail.com) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0704, CVE-2017-0669 | Юйсян Ли (@Xbalien29) из отдела безопасности платформы Tencent |
| CVE-2017-0678 | Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691, CVE-2017-0700 | Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. и Ао Ван (@ArayzSegment) из Pangu Team |
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:
2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
А этой столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. На что указывают записи в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
6. Что означает значок * рядом с идентификатором ошибки Android в столбце Ссылки?
Значок * (звездочка) означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 июля 2017 г. | Бюллетень опубликован. |
| 1.1 | 6 июля 2017 г. | Добавлены ссылки на AOSP. |