Бюллетень по безопасности Android

Опубликовано 1 мая 2017 г. | Обновлено 2 мая 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 мая 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Мы сообщили партнерам об уязвимостях 3 апреля 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.

Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.

Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак описывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.

Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.

Объявления

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-05-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-05-01 и более ранние.
- 2017-05-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-05-01 и 2017-05-05, а также более ранние.
На поддерживаемые устройства Google будет установлено единое автоматическое обновление системы безопасности от 5 мая 2017 года.

Предотвращение атак

Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.

Использование многих уязвимостей затрудняется в новых версиях Android, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Проверки приложений и SafetyNet. Эти сервисы предупреждают пользователя об установке потенциально вредоносных приложений. Проверка приложений включена по умолчанию на всех устройствах с мобильными сервисами Google. Она особенно важна, если пользователь устанавливает ПО из сторонних источников. Хотя в Google Play инструменты для рутинга запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.

Благодарности

Благодарим всех, кто помог обнаружить уязвимости:

ADlab из Venustech: CVE-2017-0630
Ди Шэнь (@returnsme) из KeenLab (@keen_lab), Tencent: CVE-2016-10287
Экулар Сюй (徐健) из Trend Micro: CVE-2017-0599, CVE-2017-0635
Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team: CVE-2017-0601
Итан Йонкер из Team Win Recovery Project: CVE-2017-0493
Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE-2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
godzheng (郑文选 @VirtualSeekers) из Tencent PC Manager: CVE-2017-0602
Гюлиз Серай Тунджай из Иллинойсского университета в Урбане-Шампейне: CVE-2017-0593
Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
Цзюйху Не, Ян Чэн, Нань Ли и Циу Хуан из Xiaomi Inc: CVE-2016-10276
Михал Беднарский: CVE-2017-0598
Нейтан Крэнделл (@natecray) из Tesla's Product Security Team: CVE-2017-0331, CVE-2017-0606
Niky1235 (@jiych_guru): CVE-2017-0603
Пэн Сяо, Чэнмин Ян, Нин Ю, Чао Ян и Ян Сун из Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
Рои Хэй (@roeehay) из Aleph Research: CVE-2016-10277
Скотт Бауэр (@ScottyBauer1): CVE-2016-10274
Тун Линь, Юань-Цун Ло и Сюйсянь Цзян из C0RE Team: CVE-2016-10291
Василий Васильев: CVE-2017-0589
V.E.O (@VYSEa) из Mobile Threat Response Team, Trend Micro: CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
Силин Гун из отдела безопасности платформы Tencent: CVE-2017-0597
Синюань Линь из 360 Marvel Team: CVE-2017-0627
Юн Ван (王勇) (@ThomasKing2014) из Alibaba Inc: CVE-2017-0588
Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
Юй Пань из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
Юй Пань и Пэйдэ Чжан из Vulpecker Team, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625

Описание уязвимостей (обновление системы безопасности 2017-05-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-05-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через mediaserver

Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0587	A-35219737	Критический	Все	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	4 января 2017 г.
CVE-2017-0588	A-34618607	Критический	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	21 января 2017 г.
CVE-2017-0589	A-34897036	Критический	Все	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	1 февраля 2017 г.
CVE-2017-0590	A-35039946	Критический	Все	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	6 февраля 2017 г.
CVE-2017-0591	A-34097672	Критический	Все	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	Доступно только сотрудникам Google
CVE-2017-0592	A-34970788	Критический	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	Доступно только сотрудникам Google

Повышение привилегий через Framework API

Уязвимость позволяет локальному вредоносному ПО получать специальные разрешения. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0593	A-34114230	Высокий	Все	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	5 января 2017 г.

Повышение привилегий через mediaserver

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0594	A-34617444	Высокий	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	22 января 2017 г.
CVE-2017-0595	A-34705519	Высокий	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	24 января 2017 г.
CVE-2017-0596	A-34749392	Высокий	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	24 января 2017 г.

Повышение привилегий через audioserver

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0597	A-34749571	Высокий	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	25 января 2017 г.

Раскрытие информации через Framework API

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0598	A-34128677 [2]	Высокий	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	6 января 2017 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0599	A-34672748	Высокий	Все	6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	23 января 2017 г.
CVE-2017-0600	A-35269635	Высокий	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	10 февраля 2017 г.

Повышение привилегий через Bluetooth

Уязвимость потенциально позволяет локальному вредоносному ПО принять вредоносные файлы через Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти требования к взаимодействию с пользователем.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0601	A-35258579	Средний	Все	7.0, 7.1.1, 7.1.2	9 февраля 2017 г.

Раскрытие информации через шифрование файлов

Уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить защиту ОС для заблокированного экрана. Из-за этого проблеме присвоен средний уровень серьезности.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0493	A-32793550 [2]	Средний	Все	7.0, 7.1.1	9 ноября 2016 г.

Раскрытие информации через Bluetooth

Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Из-за особенностей проблемы ей присвоен средний уровень серьезности.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0602	A-34946955	Средний	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	5 декабря 2016 г.

Раскрытие информации через OpenSSL и BoringSSL

Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации. Из-за особенностей проблемы ей присвоен средний уровень серьезности.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-7056	A-33752052	Средний	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	19 декабря 2016 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует наличия нестандартной конфигурации устройства.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0603	A-35763994	Средний	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	23 февраля 2017 г.

Отказ в обслуживании в mediaserver

Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Из-за особенностей проблемы ей присвоен низкий уровень серьезности.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2017-0635	A-35467107	Низкий	Все	7.0, 7.1.1, 7.1.2	16 февраля 2017 г.

Описание уязвимостей (обновление системы безопасности 2017-05-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-05-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Удаленное выполнение кода через GIFLIB

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2015-7555	A-34697653	Критический	Все	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2	13 апреля 2016 г.

Повышение привилегий через драйвер сенсорного экрана MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10274	A-30202412* M-ALPS02897901	Критический	Нет**	16 июля 2016 г.

*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Повышение привилегий через загрузчик Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10275	A-34514954 QC-CR#1009111	Критический	Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One	13 сентября 2016 г.
CVE-2016-10276	A-32952839 QC-CR#1094105	Критический	Nexus 5X, Nexus 6P, Pixel, Pixel XL	16 ноября 2016 г.

Повышение привилегий через звуковую подсистему ядра

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-9794	A-34068036 Upstream kernel	Критический	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	3 декабря 2016 г.

Повышение привилегий через загрузчик Motorola

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10277	A-33840490*	Критический	Nexus 6	21 декабря 2016 г.

Повышение привилегий через видеодрайвер NVIDIA

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0331	A-34113000* N-CVE-2017-0331	Критический	Nexus 9	4 января 2017 г.

Повышение привилегий через драйвер питания Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0604	A-35392981 QC-CR#826589	Критический	Нет*	15 февраля 2017 г.

*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Повышение привилегий через подсистему трассировки ядра

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0605	A-35399704 QC-CR#1048480	Критический	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	15 февраля 2017 г.

Уязвимости в компонентах Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за август, сентябрь, октябрь и декабрь 2016 года.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10240	A-32578446** QC-CR#955710	Критический	Nexus 6P	Доступно только сотрудникам Qualcomm
CVE-2016-10241	A-35436149** QC-CR#1068577	Критический	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL	Доступно только сотрудникам Qualcomm
CVE-2016-10278	A-31624008** QC-CR#1043004	Высокий	Pixel, Pixel XL	Доступно только сотрудникам Qualcomm
CVE-2016-10279	A-31624421** QC-CR#1031821	Высокий	Pixel, Pixel XL	Доступно только сотрудникам Qualcomm

*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.1.1, на которых установлены все доступные обновления.

Удаленное выполнение кода через libxml2

Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Обновленные версии AOSP	Дата сообщения об ошибке
CVE-2016-5131	A-32956747*	Высокий	Нет**	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0	23 июля 2016 г.

Повышение привилегий через драйвер температурного датчика MediaTek

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10280	A-28175767* M-ALPS02696445	Высокий	Нет**	11 апреля 2016 г.
CVE-2016-10281	A-28175647* M-ALPS02696475	Высокий	Нет**	11 апреля 2016 г.
CVE-2016-10282	A-33939045* M-ALPS03149189	Высокий	Нет**	27 декабря 2016 г.

Повышение привилегий через Wi-Fi-драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10283	A-32094986 QC-CR#2002052	Высокий	Nexus 5X, Pixel, Pixel XL, Android One	11 октября 2016 г.

Повышение привилегий через видеодрайвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10284	A-32402303* QC-CR#2000664	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	24 октября 2016 г.
CVE-2016-10285	A-33752702 QC-CR#1104899	Высокий	Pixel, Pixel XL	19 декабря 2016 г.
CVE-2016-10286	A-35400904 QC-CR#1090237	Высокий	Pixel, Pixel XL	15 февраля 2017 г.

Повышение привилегий через подсистему производительности ядра

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2015-9004	A-34515362 Upstream kernel	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	23 ноября 2016 г.

Повышение привилегий через аудиодрайвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10287	A-33784446 QC-CR#1112751	Высокий	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	20 декабря 2016 г.
CVE-2017-0606	A-34088848 QC-CR#1116015	Высокий	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	3 января 2017 г.
CVE-2016-5860	A-34623424 QC-CR#1100682	Высокий	Pixel, Pixel XL	22 января 2017 г.
CVE-2016-5867	A-35400602 QC-CR#1095947	Высокий	Нет*	15 февраля 2017 г.
CVE-2017-0607	A-35400551 QC-CR#1085928	Высокий	Pixel, Pixel XL	15 февраля 2017 г.
CVE-2017-0608	A-35400458 QC-CR#1098363	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.
CVE-2017-0609	A-35399801 QC-CR#1090482	Высокий	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.
CVE-2016-5859	A-35399758 QC-CR#1096672	Высокий	Нет*	15 февраля 2017 г.
CVE-2017-0610	A-35399404 QC-CR#1094852	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.
CVE-2017-0611	A-35393841 QC-CR#1084210	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.
CVE-2016-5853	A-35392629 QC-CR#1102987	Высокий	Нет*	15 февраля 2017 г.

Повышение привилегий через LED-драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10288	A-33863909 QC-CR#1109763	Высокий	Pixel, Pixel XL	23 декабря 2016 г.

Повышение привилегий через драйвер шифрования Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10289	A-33899710 QC-CR#1116295	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	24 декабря 2016 г.

Повышение привилегий через драйвер разделения памяти Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10290	A-33898330 QC-CR#1109782	Высокий	Nexus 5X, Nexus 6P, Pixel, Pixel XL	24 декабря 2016 г.

Повышение привилегий через Slimbus-драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10291	A-34030871 QC-CR#986837	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Android One	31 декабря 2016 г.

Повышение привилегий через ADSPRPC-драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0465	A-34112914 QC-CR#1110747	Высокий	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	5 января 2017 г.

Повышение привилегий через драйвер Qualcomm для QSEE Communicator

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0612	A-34389303 QC-CR#1061845	Высокий	Pixel, Pixel XL	10 января 2017 г.
CVE-2017-0613	A-35400457 QC-CR#1086140	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.
CVE-2017-0614	A-35399405 QC-CR#1080290	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.

Повышение привилегий через драйвер питания MediaTek

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0615	A-34259126* M-ALPS03150278	Высокий	Нет**	12 января 2017 г.

Повышение привилегий через драйвер прерывания системного управления MediaTek

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0616	A-34470286* M-ALPS03149160	Высокий	Нет**	19 января 2017 г.

Повышение привилегий через видеодрайвер MediaTek

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0617	A-34471002* M-ALPS03149173	Высокий	Нет**	19 января 2017 г.

Повышение привилегий через драйвер очереди команд MediaTek

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0618	A-35100728* M-ALPS03161536	Высокий	Нет**	7 февраля 2017 г.

Повышение привилегий через драйвер контроллера контактов Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0619	A-35401152 QC-CR#826566	Высокий	Nexus 6, Android One	15 февраля 2017 г.

Повышение привилегий через драйвер управления защищенным каналом Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0620	A-35401052 QC-CR#1081711	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.

Повышение привилегий через аудиодрайвер кодеков Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-5862	A-35399803 QC-CR#1099607	Высокий	Pixel, Pixel XL	15 февраля 2017 г.

Повышение привилегий через драйвер регулятора напряжения ядра

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2014-9940	A-35399757 Upstream kernel	Высокий	Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player	15 февраля 2017 г.

Повышение привилегий через драйвер Qualcomm для камеры

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0621	A-35399703 QC-CR#831322	Высокий	Android One	15 февраля 2017 г.

Повышение привилегий через сетевой драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-5868	A-35392791 QC-CR#1104431	Высокий	Nexus 5X, Pixel, Pixel XL	15 февраля 2017 г.

Повышение привилегий через сетевую подсистему ядра

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-7184	A-36565222 Upstream kernel [2]	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One	23 марта 2017 г.

Повышение привилегий через драйвер сенсорного экрана Goodix

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0622	A-32749036 QC-CR#1098602	Высокий	Android One	Доступно только сотрудникам Google

Повышение привилегий через загрузчик HTC

Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте загрузчика. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0623	A-32512358*	Высокий	Pixel, Pixel XL	Доступно только сотрудникам Google

Раскрытие информации через Wi-Fi-драйвер Qualcomm

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0624	A-34327795* QC-CR#2005832	Высокий	Nexus 5X, Pixel, Pixel XL	16 января 2017 г.

Раскрытие информации через драйвер очереди команд MediaTek

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0625	A-35142799* M-ALPS03161531	Высокий	Нет**	8 февраля 2017 г.

Раскрытие информации через драйвер Qualcomm для шифрования

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0626	A-35393124 QC-CR#1088050	Высокий	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.

Отказ в обслуживании в Wi-Fi-драйвере Qualcomm

Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10292	A-34514463* QC-CR#1065466	Высокий	Nexus 5X, Pixel, Pixel XL	16 декабря 2016 г.

Раскрытие информации через UVC-драйвер ядра

Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0627	A-33300353*	Средний	Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player	2 декабря 2016 г.

Раскрытие информации через видеодрайвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10293	A-33352393 QC-CR#1101943	Средний	Nexus 5X, Nexus 6P, Android One	4 декабря 2016 г.

Раскрытие информации через драйвер питания Qualcomm (уязвимость устройства)

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10294	A-33621829 QC-CR#1105481	Средний	Nexus 5X, Nexus 6P, Pixel, Pixel XL	14 декабря 2016 г.

Раскрытие информации через LED-драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10295	A-33781694 QC-CR#1109326	Средний	Pixel, Pixel XL	20 декабря 2016 г.

Раскрытие информации через драйвер разделения памяти Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-10296	A-33845464 QC-CR#1109782	Средний	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	22 декабря 2016 г.

Раскрытие информации через драйвер Qualcomm для камеры

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0628	A-34230377 QC-CR#1086833	Средний	Nexus 5X, Nexus 6, Pixel, Pixel XL	10 января 2017 г.
CVE-2017-0629	A-35214296 QC-CR#1086833	Средний	Nexus 5X, Nexus 6, Pixel, Pixel XL	8 февраля 2017 г.

Раскрытие информации через подсистему трассировки ядра

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0630	A-34277115*	Средний	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	11 января 2017 г.

Раскрытие информации через аудиодрайвер кодеков Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-5858	A-35400153 QC-CR#1096799 [2]	Средний	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.

Раскрытие информации через драйвер Qualcomm для камеры

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0631	A-35399756 QC-CR#1093232	Средний	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.

Раскрытие информации через аудиодрайвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-5347	A-35394329 QC-CR#1100878	Средний	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	15 февраля 2017 г.

Раскрытие информации через SPCom-драйвер Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2016-5854	A-35392792 QC-CR#1092683	Средний	Нет*	15 февраля 2017 г.
CVE-2016-5855	A-35393081 QC-CR#1094143	Средний	Нет*	15 февраля 2017 г.

Раскрытие информации через аудиодрайвер кодеков Qualcomm

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0632	A-35392586 QC-CR#832915	Средний	Android One	15 февраля 2017 г.

Раскрытие информации через Wi-Fi-драйвер Broadcom

Уязвимость позволяет локальному вредоносному компоненту получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0633	A-36000515* B-RB#117131	Средний	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	23 февраля 2017 г.

Раскрытие информации через драйвер сенсорного экрана Synaptics

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2017-0634	A-32511682*	Средний	Pixel, Pixel XL	Доступно только сотрудникам Google

Уязвимости в компонентах Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности.

CVE	Ссылки	Уровень серьезности	Обновленные устройства Google	Дата сообщения об ошибке
CVE-2014-9923	A-35434045** QC-CR#403910	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9924	A-35434631** QC-CR#596102	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9925	A-35444657** QC-CR#638130	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9926	A-35433784** QC-CR#631527	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9927	A-35433785** QC-CR#661111	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9928	A-35438623** QC-CR#696972	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9929	A-35443954** QC-CR#644783	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9930	A-35432946** QC-CR#634637	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2015-9005	A-36393500** QC-CR#741548	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2015-9006	A-36393450** QC-CR#750559	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2015-9007	A-36393700** QC-CR#807173	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2016-10297	A-36393451** QC-CR#1061123	Критический	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9941	A-36385125** QC-CR#509915	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9942	A-36385319** QC-CR#533283	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9943	A-36385219** QC-CR#546527	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9944	A-36384534** QC-CR#613175	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9945	A-36386912** QC-CR#623452	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9946	A-36385281** QC-CR#520149	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9947	A-36392400** QC-CR#650540	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9948	A-36385126** QC-CR#650500	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9949	A-36390608** QC-CR#652426	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9950	A-36385321** QC-CR#655530	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9951	A-36389161** QC-CR#525043	Высокий	Нет***	Доступно только сотрудникам Qualcomm
CVE-2014-9952	A-36387019** QC-CR#674836	Высокий	Нет***	Доступно только сотрудникам Qualcomm

*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

В исправлении от 1 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-01.
В исправлении от 5 мая 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-05-05.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

[ro.build.version.security_patch]:[2017-05-01];
[ro.build.version.security_patch]:[2017-05-05].

2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

На устройствах с установленным обновлением от 1 мая 2017 года должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.
На устройствах с установленным обновлением от 5 мая 2017 года или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам объединить все исправления проблем в одно обновление.

3. Как определить, на каких устройствах Google присутствует уязвимость?

В каждой таблице разделов с описанием уязвимостей 2017-05-01 и 2017-05-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.

Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
Нет. Проблема не возникает ни на одном устройстве Google.

4. На что указывают записи в столбце "Ссылки"?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс	Значение
A-	Идентификатор ошибки Android
QC-	Ссылочный номер Qualcomm
M-	Ссылочный номер MediaTek
N-	Ссылочный номер NVIDIA
B-	Ссылочный номер Broadcom

Версии

1 мая 2017 года. Бюллетень опубликован.
2 мая 2017 года. Добавлены ссылки на AOSP.