Опубликован 7 ноября 2016 г. | Обновлен 21 декабря 2016 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы встроенного ПО на сайте для разработчиков. Все проблемы, перечисленные здесь, устранены в исправлении от 6 ноября 2016 года или более новом. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.
Мы сообщили партнерам о проблемах 20 октября 2016 года или ранее. По возможности исправления публикуются в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
Самая серьезная из проблем – критическая уязвимость, которая позволяет удаленно выполнять код на затрагиваемом устройстве во время обработки медиафайлов (например, при просмотре сайтов в интернете или работе с электронной почтой и MMS). Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и средства защиты сервисов, например SafetyNet, помогают снизить вероятность злоупотребления уязвимостями Android, можно найти в разделе Предотвращение атак.
Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.
Объявления
- После появления Pixel и Pixel XL все устройства, поддерживаемые Google, обозначаются как "устройства Google" (вместо ранее используемого термина "устройства Nexus").
- Мы включили в этот бюллетень сведения о трех исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительная информация находится в разделе Часто задаваемые вопросы.
- 2016-11-01: частичное исправление системы безопасности, в котором исправлены все уязвимости уровня 2016-11-01 и более ранние.
- 2016-11-05: полное исправление системы безопасности, в котором исправлены все уязвимости уровней 2016-11-01 и 2016-11-05, а также более ранние.
- Дополнительные исправления системы безопасности
Дополнительные исправления системы безопасности служат для определения устройств с устраненными проблемами, информация о которых была опубликована после выпуска исправления. Исправление таких уязвимостей необязательно до исправления системы безопасности 2016-12-01.
- 2016-11-06: исправление системы безопасности, в котором устранены все уязвимости, соответствующие исправлению 2016-11-05, а также уязвимость CVE-2016-5195, опубликованная 19 октября 2016 г.
- Поддерживаемые устройства Google получат единое беспроводное обновление с исправлением системы безопасности от 5 ноября 2016 года.
Предотвращение атак
Здесь описано, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность успешного применения уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Проверки приложений и SafetyNet. Эти инструменты предупреждают пользователей об установке потенциально опасных приложений. Проверка приложений включена по умолчанию на всех телефонах и планшетах, использующихсервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play. В то время как в Google Play инструменты для настройки root-доступа запрещены, они могут встречаться в других магазинах. Если пользователь решает установить такое приложение, Проверка предупреждает об этом. Кроме того, она пытается идентифицировать известное вредоносное ПО, использующее уязвимость для повышения привилегий, и блокировать его установку. Если подобное ПО уже есть на устройстве, система уведомит об этом пользователя и попытается удалить приложение.
- Приложения Google Hangouts и Messenger не передают медиафайлы таким процессам, как mediaserver, автоматически.
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
- Абхишек Арья, Оливер Чан и Мартин Барбелла из команды безопасности Google Chrome: CVE-2016-6722.
- Андрей Капишников и Мириам Гершенсон из Google: CVE-2016-6703.
- Ао Ван (@ArayzSegment) и Цзыно Хань из PKAV, Silence Information Technology: CVE-2016-6700, CVE-2016-6702.
- Askyshang из отдела безопасности платформы, Tencent: CVE-2016-6713.
- Билли Лау из команды безопасности Android: CVE-2016-6737.
- Константинос Патсакис и Эфтимиос Алепис из Пирейского университета: CVE-2016-6715.
- dragonltx из команды Alibaba Mobile Security: CVE-2016-6714.
- Гэл Бениамини из Project Zero: CVE-2016-6707, CVE-2016-6717.
- Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906.
- Гуан Гун (龚广) (@oldfresher) из Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-6754
- Цзяньцян Чжао (@jianqiangzhao) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698.
- Марко Грасси (@marcograss) из Keen Lab (@keen_lab), Tencent: CVE-2016-6828.
- Марк Брэнд из Project Zero: CVE-2016-6706.
- Марк Ренуф из Google: CVE-2016-6724.
- Михал Беднарский (github.com/michalbednarski): CVE-2016-6710.
- Минь Чун из команды безопасности Android: CVE-2016-6743.
- Питер Пи (@heisecode) из Trend Micro: CVE-2016-6721.
- Цидань Хэ (何淇丹) (@flanker_hqd) и Гэнмин Лю (刘耕铭) (@dmxcsnsbh) из Keen Lab, Tencent: CVE-2016-6705.
- Робин Ли из Google: CVE-2016-6708.
- Скотт Бауэр (@ScottyBauer1): CVE-2016-6751.
- Сергей Бобров (@Black2Fan) из Лаборатории Касперского: CVE-2016-6716.
- Севен Шэнь (@lingtongshen) из команды по изучению угроз для мобильных устройств, Trend Micro: CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753.
- Виктор ван дер Вен, Херберт Бос, Кавэ Разави и Криштиану Джуффрида из Амстердамского свободного университета; Яник Фратантонио, Мартина Линдорфер и Джованни Винья из Калифорнийского университета в Санта-Барбаре: CVE-2016-6728.
- Вэйчао Сунь (@sunblate) из Alibaba Inc.: CVE-2016-6712, CVE-2016-6699, CVE-2016-6711.
- Вэнькэ Доу (vancouverdou@gmail.com), Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-6720.
- Виш У (吴潍浠) (@wish_wu) из Trend Micro Inc.: CVE-2016-6704.
- Яков Шафранович из Nightwatch Cybersecurity: CVE-2016-6723.
- Юань-Цун Ло, Яо Цзюнь, Тун Линь, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736.
- Юань-Цун Ло, Яо Цзюнь, Сяодун Ван, Чиачи У (@chiachih_wu) и Сюйсянь Цзян из C0RE Team: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746.
Отдельная благодарность Заку Ригглу из команды безопасности Android за помощь в устранении нескольких уязвимостей из этого бюллетеня.
Описание уязвимостей (исправление системы безопасности 2016-11-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-11-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через mediaserver
Уязвимость позволяет злоумышленнику с помощью специально созданного файла нарушить целостность информации в памяти при обработке медиафайлов и данных. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6699 | A-31373622 | Критический | Все | 7.0 | 27 июля 2016 г. |
Повышение привилегий через libzipfile
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6700 | A-30916186 | Критический | Нет* | 4.4.4, 5.0.2, 5.1.1 | 17 августа 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Удаленное выполнение кода через Skia
Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса галереи.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6701 | A-30190637 | Высокий | Все | 7.0 | Доступно только сотрудникам Google |
Удаленное выполнение кода через libjpeg
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6702 | A-30259087 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1 | 19 июля 2016 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Удаленное выполнение кода через Android Runtime
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданных данных. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту среду выполнения.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6703 | A-30765246 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку из-за нее можно получить разрешения, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6704 | A-30229821 [2] [3] | Высокий | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 июля 2016 г. |
| CVE-2016-6705 | A-30907212 [2] | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 августа 2016 г. |
| CVE-2016-6706 | A-31385713 | Высокий | Все | 7.0 | 8 сентября 2016 г. |
Повышение привилегий через System Server
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6707 | A-31350622 | Высокий | Все | 6.0, 6.0.1, 7.0 | 7 сентября 2016 г. |
Повышение привилегий через интерфейс системы
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, локально обходить защиту рабочих профилей в многооконном режиме. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем либо изменения настроек безопасности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6708 | A-30693465 | Высокий | Все | 7.0 | Доступно только сотрудникам Google |
Раскрытие информации через Conscrypt
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к конфиденциальной информации приложений, которые используют устаревший API шифрования. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6709 | A-31081987 | Высокий | Все | 6.0, 6.0.1, 7.0 | 9 октября 2015 г. |
Раскрытие информации через диспетчер загрузки
Уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить несанкционированный доступ к данным.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6710 | A-30537115 [2] | Высокий | Все | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 июля 2016 г. |
Отказ в обслуживании в Bluetooth
Уязвимость позволяет находящемуся поблизости злоумышленнику заблокировать доступ по Bluetooth к пораженному устройству. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2014-9908 | A-28672558 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1 | 5 мая 2014 г. |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Отказ в обслуживании в OpenJDK
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2015-0410 | A-30703445 | Высокий | Все | 7.0 | 16 января 2015 г. |
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6711 | A-30593765 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 августа 2016 г. |
| CVE-2016-6712 | A-30593752 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 августа 2016 г. |
| CVE-2016-6713 | A-30822755 | Высокий | Все | 6.0, 6.0.1, 7.0 | 11 августа 2016 г. |
| CVE-2016-6714 | A-31092462 | Высокий | Все | 6.0, 6.0.1, 7.0 | 22 августа 2016 г. |
* Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Повышение привилегий через Framework API
Уязвимость позволяет локальному вредоносному ПО записывать аудио без разрешения пользователя. Проблеме присвоен средний уровень серьезности, поскольку из-за нее можно обойти требования к взаимодействию с пользователем (связанные с получением доступа к функциям, которые обычно должны быть разрешены или запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6715 | A-29833954 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 июня 2016 г. |
Повышение привилегий через AOSP Launcher
Уязвимость позволяет локальному вредоносному ПО создавать ярлыки с повышенными привилегиями без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6716 | A-30778130 | Средний | Все | 7.0 | 5 августа 2016 г. |
Повышение привилегий через mediaserver
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует эксплуатации другой уязвимости.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6717 | A-31350239 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 7 сентября 2016 г. |
Повышение привилегий через сервис управления аккаунтами
Уязвимость позволяет локальному вредоносному ПО получить несанкционированный доступ к конфиденциальной информации без взаимодействия с пользователем. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6718 | A-30455516 | Средний | Все | 7.0 | Доступно только сотрудникам Google |
Повышение привилегий через Bluetooth
Уязвимость позволяет локальному вредоносному ПО связываться с любыми устройствами Bluetooth без согласия пользователя. Проблеме присвоен средний уровень серьезности, поскольку уязвимость позволяет обойти обязательные требования относительно взаимодействия с пользователем (например, связанные с получением доступа к функциям, которые обычно требуют разрешения или должны быть запущены пользователем).
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6719 | A-29043989 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Доступно только сотрудникам Google |
Раскрытие информации через mediaserver
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6720 | A-29422020 [2] [3] [4] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 июня 2016 г. |
| CVE-2016-6721 | A-30875060 | Средний | Все | 6.0, 6.0.1, 7.0 | 13 августа 2016 г. |
| CVE-2016-6722 | A-31091777 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 августа 2016 г. |
Отказ в обслуживании в автоконфигурации прокси-сервера
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен средний уровень серьезности, поскольку она возникает на устройствах с нестандартной конфигурацией.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6723 | A-30100884 [2] | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 июля 2016 г. |
Отказ в обслуживании в сервисе управления вводом
Уязвимость позволяет локальному вредоносному ПО вызывать бесконечную цепочку перезагрузок устройства. Ей присвоен средний уровень серьезности, поскольку она приводит к временному отказу в обслуживании, который устраняется сбросом настроек устройства.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6724 | A-30568284 | Средний | Все | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Доступно только сотрудникам Google |
Описание уязвимостей (исправление системы безопасности 2016-11-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2016-11-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Удаленное выполнение кода через драйвер шифрования Qualcomm
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6725 | A-30515053 QC-CR#1050970 |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 июля 2016 г. |
Повышение привилегий через файловую систему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8961 | A-30952474
Upstream kernel |
Критический | Pixel, Pixel XL | 18 октября 2015 г. |
| CVE-2016-7911 | A-30946378
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 1 июля 2016 г. |
| CVE-2016-7910 | A-30942273
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 29 июля 2016 г. |
Повышение привилегий через SCSI-драйвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8962 | A-30951599
Upstream kernel |
Критический | Pixel, Pixel XL | 30 октября 2015 г. |
Повышение привилегий через медиадрайвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-7913 | A-30946097
Upstream kernel |
Критический | Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL | 28 января 2016 г. |
Повышение привилегий через USB-драйвер ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-7912 | A-30950866
Upstream kernel |
Критический | Pixel C, Pixel, Pixel XL | 14 апреля 2016 г. |
Повышение привилегий через подсистему ION ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6728 | A-30400942* | Критический | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 25 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через загрузчик Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6729 | A-30977990*
QC-CR#977684 |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6730 | A-30904789* N-CVE-2016-6730 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6731 | A-30906023* N-CVE-2016-6731 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6732 | A-30906599* N-CVE-2016-6732 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6733 | A-30906694* N-CVE-2016-6733 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6734 | A-30907120* N-CVE-2016-6734 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6735 | A-30907701* N-CVE-2016-6735 |
Критический | Pixel C | 16 августа 2016 г. |
| CVE-2016-6736 | A-30953284* N-CVE-2016-6736 |
Критический | Pixel C | 18 августа 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через сетевую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6828 | A-31183296
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 августа 2016 г. |
Повышение привилегий через звуковую подсистему ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-2184 | A-30952477
Upstream kernel |
Критический | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 31 марта 2016 г. |
Повышение привилегий через подсистему ION ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6737 | A-30928456* | Критический | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Уязвимости в компонентах Qualcomm
В таблице ниже перечислены уязвимости системы безопасности, затрагивающие компоненты Qualcomm, которые детально описаны в бюллетене по безопасности Qualcomm AMSS за июнь 2016 года и в оповещении системы безопасности 80-NV606-17.
| CVE | Ссылки | Уровень серьезности* | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6727 | A-31092400** | Критический | Android One | Доступно только сотрудникам Qualcomm |
| CVE-2016-6726 | A-30775830** | Высокий | Nexus 6, Android One | Доступно только сотрудникам Qualcomm |
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
**Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Удаленное выполнение кода через Expat
В таблице ниже перечислены уязвимости, затрагивающие библиотеку Expat. Самая серьезная из них – повышение привилегий через синтаксический анализатор Expat для XML-файлов. Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует библиотеку Expat.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-0718 | A-28698301 | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 мая 2016 г. |
| CVE-2012-6702 | A-29149404 | Средний | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 марта 2016 г. |
| CVE-2016-5300 | A-29149404 | Средний | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 июня 2016 г. |
| CVE-2015-1283 | A-27818751 | Низкий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 июля 2015 г. |
* Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Удаленное выполнение кода через Webview
Уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте непривилегированного процесса, когда пользователь посещает сайт. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2016-6754 | A-31217937 | Высокий | Нет* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 августа 2016 г. |
* Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0 или более поздней версией ОС, на которых установлены все доступные обновления.
Удаленное выполнение кода через Freetype
Уязвимость позволяет злоумышленнику загрузить специально созданный шрифт, чтобы нарушить целостность информации в памяти непривилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Обновленные версии AOSP | Дата сообщения об ошибке |
|---|---|---|---|---|---|
| CVE-2014-9675 | A-24296662 [2] | Высокий | Нет* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Доступно только сотрудникам Google |
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
Повышение привилегий через подсистему производительности ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8963 | A-30952077
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 15 декабря 2015 г. |
Повышение привилегий через подсистему аудита системных вызовов
Уязвимость позволяет локальному вредоносному ПО нарушить работу аудита системных вызовов в ядре. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обходить углубленную защиту уровня ядра и аналогичные технологии защиты.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6136 | A-30956807
Upstream kernel |
Высокий | Android One, Pixel C, Nexus Player | 1 июля 2016 г. |
Повышение привилегий через драйвер шифрования Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6738 | A-30034511
QC-CR#1050538 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 июля 2016 г. |
Повышение привилегий через драйвер Qualcomm для камеры
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6739 | A-30074605* QC-CR#1049826 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 11 июля 2016 г. |
| CVE-2016-6740 | A-30143904
QC-CR#1056307 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 июля 2016 г. |
| CVE-2016-6741 | A-30559423
QC-CR#1060554 |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Повышение привилегий через драйвер шины Qualcomm
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-3904 | A-30311977
QC-CR#1050455 |
Высокий | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 июля 2016 г. |
Повышение привилегий через драйвер сенсорного экрана Synaptics
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6742 | A-30799828* | Высокий | Nexus 5X, Android One | 9 августа 2016 г. |
| CVE-2016-6744 | A-30970485* | Высокий | Nexus 5X | 19 августа 2016 г. |
| CVE-2016-6745 | A-31252388* | Высокий | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 1 сентября 2016 г. |
| CVE-2016-6743 | A-30937462* | Высокий | Nexus 9, Android One | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Раскрытие информации через компоненты ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2015-8964 | A-30951112
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 ноября 2015 г. |
| CVE-2016-7915 | A-30951261
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 19 января 2016 г. |
| CVE-2016-7914 | A-30513364
Upstream kernel |
Высокий | Pixel C, Pixel, Pixel XL | 6 апреля 2016 г. |
| CVE-2016-7916 | A-30951939
Upstream kernel |
Высокий | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 мая 2016 г. |
Раскрытие информации через драйвер NVIDIA для графического процессора
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6746 | A-30955105* N-CVE-2016-6746 |
Высокий | Pixel C | 18 августа 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Отказ в обслуживании в mediaserver
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6747 | A-31244612* N-CVE-2016-6747 |
Высокий | Nexus 9 | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Раскрытие информации через компоненты ядра
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-7917 | A-30947055
Upstream kernel |
Средний | Pixel C, Pixel, Pixel XL | 2 февраля 2016 г. |
| CVE-2016-6753 | A-30149174* | Средний | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 13 июля 2016 г. |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Раскрытие информации через компоненты Qualcomm
Уязвимость в компонентах Qualcomm (в том числе в драйвере графического процессора, драйвере питания, SMSM-драйвере сети вида "точка-точка" и аудиодрайвере) позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
| CVE | Ссылки | Уровень серьезности | Обновленные устройства Google | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-6748 | A-30076504
QC-CR#987018 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 июля 2016 г. |
| CVE-2016-6749 | A-30228438
QC-CR#1052818 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 июля 2016 г. |
| CVE-2016-6750 | A-30312054
QC-CR#1052825 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 июля 2016 г. |
| CVE-2016-3906 | A-30445973
QC-CR#1054344 |
Средний | Nexus 5X, Nexus 6P | 27 июля 2016 г. |
| CVE-2016-3907 | A-30593266
QC-CR#1054352 |
Средний | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 августа 2016 г. |
| CVE-2016-6698 | A-30741851
QC-CR#1058826 |
Средний | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 2 августа 2016 г. |
| CVE-2016-6751 | A-30902162* QC-CR#1062271 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 15 августа 2016 г. |
| CVE-2016-6752 | A-31498159
QC-CR#987051 |
Средний | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Доступно только сотрудникам Google |
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Google, которые можно скачать на сайте для разработчиков.
Описание уязвимостей (исправление системы безопасности 2016-11-06)
В этом разделе вы найдете подробную информацию обо всех перечисленных выше уязвимостях: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Повышение привилегий через подсистему памяти ядра
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
Примечание. В исправлении системы безопасности 2016-11-06 устранена эта уязвимость, а также все проблемы, соответствующие исправлениям 2016-11-01 и 2016-11-05.
| CVE | Ссылки | Уровень серьезности | Обновленные версии ядра | Дата сообщения об ошибке |
|---|---|---|---|---|
| CVE-2016-5195 | A-32141528 Upstream kernel [2] |
Критический | 3.10, 3.18 | 12 октября 2016 г. |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.
- В исправлении 2016-11-01 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2016-11-01.
- В исправлении 2016-11-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2016-11-05 и всем предыдущим исправлениям.
- В исправлении 2016-11-06 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2016-11-06 и всем предыдущим исправлениям.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06]
2. Почему в этом бюллетене говорится о трех исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о трех исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением от 1 ноября 2016 года должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным исправлением от 5 ноября 2016 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
- На устройствах с установленным исправлением от 6 ноября 2016 года или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Как определить, на каких устройствах Google присутствует уязвимость?
В каждой таблице разделов с описанием уязвимостей 2016-11-01, 2016-11-05 и 2016-11-06 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.
- Все устройства. Проблема возникает на следующих поддерживаемых устройствах Google: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel и Pixel XL.
- Некоторые устройства. Перечислены устройства, на которых присутствует уязвимость.
- Нет. Проблема не возникает ни на одном устройстве Google c Android 7.0.
4. На что указывают записи в столбце "Ссылки"?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
Версии
- 7 ноября 2016 года. Бюллетень опубликован.
- 8 ноября 2016 года. Добавлены ссылки на AOSP и обновлено описание для CVE-2016-6709.
- 17 ноября 2016 года. Добавлена атрибуция уязвимости CVE-2016-6828.
- 21 декабря 2016 года. Обновлен раздел благодарностей.