Опубликовано 6 июля 2016 г. | Обновлено 14 июля 2016 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Nexus и опубликовали образы прошивок Nexus на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 июля 2016 года или более новом. О том, как проверить обновления системы безопасности, можно узнать в Справочном центре.
Мы сообщили партнерам об уязвимостях 6 июня 2016 года или ранее. Исправления проблем загружены в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS).
Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.
Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
В таблице ниже перечислены уязвимости, их идентификаторы (CVE) и уровни серьезности, а также указано, затрагивает ли проблема устройства Nexus. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
Перечисленные проблемы должны быть устранены в исправлении от 1 июля 2016 года или более новом.
| Уязвимость | CVE | Уровень серьезности | Затрагивает устройства Nexus? |
|---|---|---|---|
| Удаленное выполнение кода через mediaserver | CVE-2016-2506, CVE-2016-2505, CVE-2016-2507, CVE-2016-2508, CVE-2016-3741, CVE-2016-3742, CVE-2016-3743 | Критический | Да |
| Удаленное выполнение кода через OpenSSL и BoringSSL | CVE-2016-2108 | Критический | Да |
| Удаленное выполнение кода через Bluetooth | CVE-2016-3744 | Высокий | Да |
| Повышение привилегий через libpng | CVE-2016-3751 | Высокий | Да |
| Повышение привилегий через mediaserver | CVE-2016-3745, CVE-2016-3746, CVE-2016-3747 | Высокий | Да |
| Повышение привилегий через сокеты | CVE-2016-3748 | Высокий | Да |
| Повышение привилегий через LockSettingsService | CVE-2016-3749 | Высокий | Да |
| Повышение привилегий через Framework API | CVE-2016-3750 | Высокий | Да |
| Повышение привилегий через службу ChooserTarget | CVE-2016-3752 | Высокий | Да |
| Раскрытие информации через mediaserver | CVE-2016-3753 | Высокий | Нет* |
| Раскрытие информации через OpenSSL | CVE-2016-2107 | Высокий | Нет* |
| Отказ в обслуживании в mediaserver | CVE-2016-3754, CVE-2016-3755, CVE-2016-3756 | Высокий | Да |
| Отказ в обслуживании в libc | CVE-2016-3818 | Высокий | Нет* |
| Повышение привилегий через lsof | CVE-2016-3757 | Средний | Да |
| Повышение привилегий через DexClassLoader | CVE-2016-3758 | Средний | Да |
| Повышение привилегий через Framework API | CVE-2016-3759 | Средний | Да |
| Повышение привилегий через Bluetooth | CVE-2016-3760 | Средний | Да |
| Повышение привилегий через NFC | CVE-2016-3761 | Средний | Да |
| Повышение привилегий через сокеты | CVE-2016-3762 | Средний | Да |
| Раскрытие информации через Proxy Auto-Config | CVE-2016-3763 | Средний | Да |
| Раскрытие информации через mediaserver | CVE-2016-3764, CVE-2016-3765 | Средний | Да |
| Отказ в обслуживании в mediaserver | CVE-2016-3766 | Средний | Да |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
В исправлении от 5 июля 2016 года или более новом устранены все проблемы, упомянутые в обновлении 2016-07-01, а также уязвимости, перечисленные ниже.
| Уязвимость | CVE | Уровень серьезности | Затрагивает устройства Nexus? |
|---|---|---|---|
| Повышение привилегий через драйвер Qualcomm для графического процессора (уязвимость устройства) | CVE-2016-2503, CVE-2016-2067 | Критический | Да |
| Повышение привилегий через Wi-Fi-драйвер MediaTek (уязвимость устройства) | CVE-2016-3767 | Критический | Да |
| Повышение привилегий через компонент производительности процессора Qualcomm (уязвимость устройства) | CVE-2016-3768 | Критический | Да |
| Повышение привилегий через видеодрайвер NVIDIA (уязвимость устройства) | CVE-2016-3769 | Критический | Да |
| Повышение привилегий через драйверы MediaTek (уязвимость устройства) | CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774 | Критический | Да |
| Повышение привилегий через файловую систему ядра (уязвимость устройства) | CVE-2016-3775 | Критический | Да |
| Повышение привилегий через USB-драйвер (уязвимость устройства) | CVE-2015-8816 | Критический | Да |
| Повышение привилегий через компоненты Qualcomm (уязвимость устройства) | CVE-2014-9794, CVE-2014-9795, CVE-2015-8892, CVE-2013-7457, CVE-2014-9781, CVE-2014-9786, CVE-2014-9788, CVE-2014-9779, CVE-2014-9780, CVE-2014-9789, CVE-2014-9793, CVE-2014-9782, CVE-2014-9783, CVE-2014-9785, CVE-2014-9787, CVE-2014-9784, CVE-2014-9777, CVE-2014-9778, CVE-2014-9790, CVE-2014-9792, CVE-2014-9797, CVE-2014-9791, CVE-2014-9796, CVE-2014-9800, CVE-2014-9799, CVE-2014-9801, CVE-2014-9802, CVE-2015-8891, CVE-2015-8888, CVE-2015-8889, CVE-2015-8890 | Высокий | Да |
| Повышение привилегий через USB-драйвер Qualcomm (уязвимость устройства) | CVE-2016-2502 | Высокий | Да |
| Повышение привилегий через Wi-Fi-драйвер Qualcomm (уязвимость устройства) | CVE-2016-3792 | Высокий | Да |
| Повышение привилегий через драйвер Qualcomm для камеры (уязвимость устройства) | CVE-2016-2501 | Высокий | Да |
| Повышение привилегий через драйвер NVIDIA для камеры (уязвимость устройства) | CVE-2016-3793 | Высокий | Да |
| Повышение привилегий через драйвер питания MediaTek (уязвимость устройства) | CVE-2016-3795, CVE-2016-3796 | Высокий | Да |
| Повышение привилегий через Wi-Fi-драйвер Qualcomm (уязвимость устройства) | CVE-2016-3797 | Высокий | Да |
| Повышение привилегий через драйвер MediaTek для аппаратного датчика (уязвимость устройства) | CVE-2016-3798 | Высокий | Да |
| Повышение привилегий через видеодрайвер MediaTek (уязвимость устройства) | CVE-2016-3799, CVE-2016-3800 | Высокий | Да |
| Повышение привилегий через GPS-драйвер MediaTek (уязвимость устройства) | CVE-2016-3801 | Высокий | Да |
| Повышение привилегий через файловую систему ядра (уязвимость устройства) | CVE-2016-3802, CVE-2016-3803 | Высокий | Да |
| Повышение привилегий через драйвер управления питанием MediaTek (уязвимость устройства) | CVE-2016-3804, CVE-2016-3805 | Высокий | Да |
| Повышение привилегий через драйвер дисплея MediaTek (уязвимость устройства) | CVE-2016-3806 | Высокий | Да |
| Повышение привилегий через драйвер SPI (уязвимость устройства) | CVE-2016-3807, CVE-2016-3808 | Высокий | Да |
| Повышение привилегий через аудиодрайвер Qualcomm (уязвимость устройства) | CVE-2016-2068 | Высокий | Да |
| Повышение привилегий через ядро (уязвимость устройства) | CVE-2014-9803 | Высокий | Да |
| Раскрытие информации через сетевой компонент (уязвимость устройства) | CVE-2016-3809 | Высокий | Да |
| Раскрытие информации через Wi-Fi-драйвер MediaTek (уязвимость устройства) | CVE-2016-3810 | Высокий | Да |
| Повышение привилегий через видеодрайвер ядра (уязвимость устройства) | CVE-2016-3811 | Средний | Да |
| Раскрытие информации через драйвер видеокодека MediaTek (уязвимость устройства) | CVE-2016-3812 | Средний | Да |
| Раскрытие информации через USB-драйвер Qualcomm (уязвимость устройства) | CVE-2016-3813 | Средний | Да |
| Раскрытие информации через драйвер NVIDIA для камеры (уязвимость устройства) | CVE-2016-3814, CVE-2016-3815 | Средний | Да |
| Раскрытие информации через драйвер дисплея MediaTek (уязвимость устройства) | CVE-2016-3816 | Средний | Да |
| Раскрытие информации через драйвер ядра для телетайпа (уязвимость устройства) | CVE-2016-0723 | Средний | Да |
| Отказ в обслуживании в загрузчике Qualcomm (уязвимость устройства) | CVE-2014-9798, CVE-2015-8893 | Средний | Да |
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
Благодарим всех, кто помог обнаружить уязвимости:
В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver. У него есть доступ к аудио- и видеопотокам, а также к привилегиям, закрытым для сторонних приложений.
Уязвимая функция является основной составляющей ОС. Многие приложения позволяют контенту, особенно MMS-сообщениям и воспроизводимым в браузере медиафайлам, дистанционно обращаться к ней.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 апреля 2016 г. |
| CVE-2016-2505 | A-28333006 | Критический | Все устройства | 6.0, 6.0.1 | 21 апреля 2016 г. |
| CVE-2016-2507 | A-28532266 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 мая 2016 г. |
| CVE-2016-2508 | A-28799341 [2] | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 мая 2016 г. |
| CVE-2016-3741 | A-28165661 [2] | Критический | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
| CVE-2016-3742 | A-28165659 | Критический | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
| CVE-2016-3743 | A-27907656 | Критический | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке файлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте затрагиваемого процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Критический | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 мая 2016 г. |
Уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код во время подключения устройства Bluetooth. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 марта 2016 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 декабря 2015 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте системного приложения с расширенным доступом. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить разрешения, недоступные сторонним приложениям (например, Signature и SignatureOrSystem).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 апреля 2016 г. |
| CVE-2016-3746 | A-27890802 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 марта 2016 г. |
| CVE-2016-3747 | A-27903498 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 марта 2016 г. |
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к системным вызовам. Проблеме присвоен высокий уровень серьезности, поскольку она позволяет обойти защиту, предотвращающую атаки на платформу.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Высокий | Все устройства | 6.0, 6.0.1 | 13 апреля 2016 г. |
Уязвимость позволяет вредоносному ПО сбрасывать пароль для блокировки экрана без разрешения пользователя. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость локально обходит обязательные требования относительно взаимодействия с пользователем либо изменения настроек безопасности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Высокий | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Уязвимость повышает привилегии через Parcels Framework API и позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 декабря 2015 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте другого приложения. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным о действиях в другом приложении.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Высокий | Все устройства | 6.0, 6.0.1 | Доступно только сотрудникам Google |
Уязвимость позволяет злоумышленнику получить удаленный доступ к защищенным данным, с которыми могут работать только авторизованные приложения, установленные на устройстве. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Высокий | Нет* | 4.4.4 | 15 февраля 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
Уязвимость позволяет злоумышленнику получить удаленный доступ к защищенным данным, с которыми могут работать только авторизованные приложения, установленные на устройстве. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1 | 13 апреля 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [2] | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 мая 2016 г. |
| CVE-2016-3755 | A-28470138 | Высокий | Все устройства | 6.0, 6.0.1 | 29 апреля 2016 г. |
| CVE-2016-3756 | A-28556125 | Высокий | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 | Высокий | Нет* | 4.4.4 | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Nexus, на которых установлены все доступные обновления.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код на устройстве. Из-за этого нарушается работа системы безопасности. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует выполнения нестандартного набора действий вручную.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 апреля 2016 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует выполнения нестандартного набора действий вручную.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Уязвимость позволяет локальному вредоносному ПО запрашивать разрешения на создание резервных копий и перехватывать все копируемые данные. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует специальных разрешений для обхода защиты ОС, обеспечивающей раздельное хранение данных приложений.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
Уязвимость позволяет злоумышленнику, находящемуся поблизости, добавлять устройства Bluetooth в список надежных и сохранять их для основного пользователя. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить дополнительные привилегии на устройстве без явного разрешения владельца.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [2] [3] | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 февраля 2016 г. |
Уязвимость позволяет локальному вредоносному ПО, работающему в фоновом режиме, получать несанкционированный доступ к данным активного приложения. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить дополнительные привилегии на устройстве без явного разрешения владельца.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 апреля 2016 г. |
Уязвимость позволяет локальному вредоносному ПО получать доступ к некоторым нестандартным типам сокетов и, как следствие, возможность выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку она позволяет обойти защиту, предотвращающую атаки на платформу.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Средний | Все устройства | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 апреля 2016 г. |
Уязвимость позволяет ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 марта 2016 г. |
Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальной информации. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 апреля 2016 г. |
| CVE-2016-3765 | A-28168413 | Средний | Все устройства | 6.0, 6.0.1 | 8 апреля 2016 г. |
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [2] | Средний | Все устройства | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 апреля 2016 г. |
В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Nexus и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Критический | Nexus 5X, Nexus 6P | 5 апреля 2016 г. |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Критический | Nexus 5X, Nexus 6, Nexus 6P | 20 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363*
M-ALPS02689526 |
Критический | Android One | 6 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Критический | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 |
Критический | Nexus 9 | 18 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 |
Критический | Android One | 22 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Критический | Nexus 5X, Nexus 6, Nexus 6P и Nexus Player, Pixel C | 4 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
В таблице ниже перечислены уязвимости системы безопасности, затрагивающие компоненты Qualcomm, в том числе загрузчик, драйвер камеры, символьный драйвер, сеть, аудиодрайвер и видеодрайвер.
Наиболее важным проблемам присвоен критический уровень серьезности, поскольку из-за них нарушается работа системы безопасности. Возможно, для устранения такой проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности* | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [2] |
Критический | Nexus 5 | 8 августа 2014 г. |
| CVE-2014-9794 | A-28821172 QC-CR646385 |
Критический | Nexus 7 (2013) | 8 августа 2014 г. |
| CVE-2015-8892 | A-28822807 QC-CR902998 |
Критический | Nexus 5X, Nexus 6P | 30 декабря 2015 г. |
| CVE-2014-9781 | A-28410333 QC-CR556471 |
Высокий | Nexus 7 (2013) | 6 февраля 2014 г. |
| CVE-2014-9786 | A-28557260 QC-CR545979 |
Высокий | Nexus 5, Nexus 7 (2013) | 13 марта 2014 г. |
| CVE-2014-9788 | A-28573112 QC-CR548872 |
Высокий | Nexus 5 | 13 марта 2014 г. |
| CVE-2014-9779 | A-28598347 QC-CR548679 |
Высокий | Nexus 5 | 13 марта 2014 г. |
| CVE-2014-9780 | A-28602014 QC-CR542222 |
Высокий | Nexus 5, Nexus 5X, Nexus 6P | 13 марта 2014 г. |
| CVE-2014-9789 | A-28749392 QC-CR556425 |
Высокий | Nexus 5 | 13 марта 2014 г. |
| CVE-2014-9793 | A-28821253 QC-CR580567 |
Высокий | Nexus 7 (2013) | 13 марта 2014 г. |
| CVE-2014-9782 | A-28431531 QC-CR511349 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9783 | A-28441831 QC-CR511382 [2] |
Высокий | Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9785 | A-28469042 QC-CR545747 |
Высокий | Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9787 | A-28571496 QC-CR545764 |
Высокий | Nexus 7 (2013) | 31 марта 2014 г. |
| CVE-2014-9784 | A-28442449 QC-CR585147 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9777 | A-28598501 QC-CR563654 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9778 | A-28598515 QC-CR563694 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9790 | A-28769136 QC-CR545716 [2] |
Высокий | Nexus 5, Nexus 7 (2013) | 30 апреля 2014 г. |
| CVE-2014-9792 | A-28769399 QC-CR550606 |
Высокий | Nexus 5 | 30 апреля 2014 г. |
| CVE-2014-9797 | A-28821090 QC-CR674071 |
Высокий | Nexus 5 | 3 июля 2014 г. |
| CVE-2014-9791 | A-28803396 QC-CR659364 |
Высокий | Nexus 7 (2013) | 29 августа 2014 г. |
| CVE-2014-9796 | A-28820722 QC-CR684756 |
Высокий | Nexus 5, Nexus 7 (2013) | 30 сентября 2014 г. |
| CVE-2014-9800 | A-28822150 QC-CR692478 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 октября 2014 г. |
| CVE-2014-9799 | A-28821731 QC-CR691916 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 октября 2014 г. |
| CVE-2014-9801 | A-28822060 QC-CR705078 |
Высокий | Nexus 5 | 28 ноября 2014 г. |
| CVE-2014-9802 | A-28821965 QC-CR705108 |
Высокий | Nexus 5, Nexus 7 (2013) | 31 декабря 2014 г. |
| CVE-2015-8891 | A-28842418 QC-CR813930 |
Высокий | Nexus 5, Nexus 7 (2013) | 29 мая 2015 г. |
| CVE-2015-8888 | A-28822465 QC-CR813933 |
Высокий | Nexus 5 | 30 июня 2015 г. |
| CVE-2015-8889 | A-28822677 QC-CR804067 |
Высокий | Nexus 6P | 30 июня 2015 г. |
| CVE-2015-8890 | A-28822878 QC-CR823461 |
Высокий | Nexus 5, Nexus 7 (2013) | 19 августа 2015 г |
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Высокий | Nexus 5X, Nexus 6P | 11 марта 2016 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Высокий | Nexus 7 (2013) | 17 марта 2016 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 марта 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 |
Высокий | Nexus 9 | 5 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 |
Высокий | Android One | 7 апреля 2016 г. |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 |
Высокий | Android One | 7 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Высокий | Nexus 5X | 7 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 |
Высокий | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 |
Высокий | Android One | 11 апреля 2016 г. |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 |
Высокий | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 |
Высокий | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Высокий | Nexus 9 | 19 апреля 2016 г. |
| CVE-2016-3803 | A-28588434* | Высокий | Nexus 5X, Nexus 6P | 4 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 |
Высокий | Android One | 20 апреля 2016 г. |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 |
Высокий | Android One | 21 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 |
Высокий | Android One | 26 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Высокий | Nexus 5X, Nexus 6P | 26 апреля 2016 г. |
| CVE-2016-3808 | A-28430009* | Высокий | Pixel С | 26 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Высокий | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 апреля 2016 г. |
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Upstream kernel |
Высокий | Nexus 5X, Nexus 6P | Доступно только сотрудникам Google |
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Высокий | Все устройства | 5 марта 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к конфиденциальным данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 |
Высокий | Android One | 12 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Средний | Nexus 9 | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 |
Средний | Android One | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Средний | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 |
Средний | Nexus 9 | 14 апреля 2016 г. |
| CVE-2016-3815 | A-28522274* N-CVE20163815 |
Средний | Nexus 9 | 1 мая 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Средний | Android One | 26 апреля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Upstream kernel |
Средний | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 апреля 2016 г. |
Уязвимость позволяет локальному вредоносному ПО вызывать нарушения в работе системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Nexus | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Средний | Nexus 5 | 31 октября 2014 г. |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Средний | Nexus 5, Nexus 7 (2013) | 19 августа 2015 г |
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении от 1 июля 2016 года устранены все проблемы, связанные с обновлением 2016-07-01. В исправлении от 5 июля 2016 года или более новом устранены все проблемы, связанные с обновлением 2016-07-05. О том, как узнать дату последнего обновления системы безопасности, рассказывается в Справочном центре. Производители устройств, позволяющие установить эти обновления, должны присвоить им уровень [ro.build.version.security_patch]:[2016-07-01] или [ro.build.version.security_patch]:[2016-07-05].
2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
На устройствах с установленным обновлением от 5 июля 2016 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
На устройствах с установленным обновлением от 1 июля 2016 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках. Кроме того, на них могут быть устранены некоторые уязвимости, исправленные в обновлении от 5 июля 2016 года.
3. Как определить, на каких устройствах Nexus присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2016-07-01 и 2016-07-05 есть столбец "Обновленные устройства Nexus". В нем указано, на каких устройствах присутствует уязвимость.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |