БЮЛЛЕТЕНЬ BLACKBERRY ПО ОБНОВЛЕНИЮ БЕЗОПАСНОСТИ ANDROID ЗА АПРЕЛЬ

В соответствии со своим ежемесячным графиком обновлений безопасности, группа реагирования на инциденты BlackBerry Security Response Team, в Twitter сообщила, что BlackBerry начала развертывание апрельского обновления Android. После загрузки и установки вы должны увидеть, что уровень безопасности вашего устройства установлен на 1 апреля 2017 года или позже.

Обычно для всех смартфонов BlackBerry на базе Android (PRIV, DTEK50, DTEK60), купленных в Shop BlackBerry требуется несколько дней от начала развертывания до получения обновлений, устройства, приобретенные у других розничных продавцов и операторов, зависят от их собственного расписания выпуска обновлений.

Следующие уязвимости закрыты в этом обновлении.

Уязвимость удаленного выполнения кода в Mediaserver

Уязвимость удаленного выполнения кода в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать повреждение памяти во время обработки медиафайла и обработки данных.

CVE-2017-0538
CVE-2017-0539
CVE-2017-0540
CVE-2017-0541
CVE-2017-0542
CVE-2017-0543

Уязвимость повышения привилегий в CameraBase

Уязвимость повышения привилегий в CameraBase может позволить локальному злонамеренному приложению выполнять произвольный код.

CVE-2017-0544

Уязвимость повышения привилегий в Audioserver

Уязвимость повышения привилегий в Audioserver может позволить локальному злонамеренному приложению выполнять произвольный код в контексте привилегированного процесса.

CVE-2017-0545

Уязвимость повышения привилегий в SurfaceFlinger

Уязвимость повышения привилегий в SurfaceFlinger может позволить локальному злонамеренному приложению выполнять произвольный код в контексте привилегированного процесса.

CVE-2017-0546

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в Mediaserver может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0547

Уязвимость отказ в обслуживании в Mediaserver

Уязвимость отказ в обслуживании в Mediaserver может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства.

CVE-2017-0549
CVE-2017-0550
CVE-2017-0551
CVE-2017-0552

Уязвимость повышения привилегий в libnl

Уязвимость повышения привилегий в libnl может позволить локальному злонамеренному приложению выполнять произвольный код в контексте службы Wi-Fi.

CVE-2017-0553

Уязвимость повышения привилегий в телефонии

Уязвимость повышения привилегий в компоненте «Телефония» может позволить локальному злонамеренному приложению получать доступ к возможностям за пределами его уровней разрешений.

CVE-2017-0554

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в Mediaserver может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0555
CVE-2017-0556
CVE-2017-0557
CVE-2017-0558

Уязвимость раскрытия информации в libskia

Уязвимость раскрытия информации в libskia может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0559

Уязвимость раскрытия информации при заводском сбросе

Уязвимость раскрытия информации в процессе сброса позволяет злоумышленнику получить доступ к данным предыдущего владельца.

CVE-2017-0560

Уязвимость удаленного выполнения кода в прошивке Broadcom Wi-Fi

Уязвимость удаленного выполнения кода в прошивке Broadcom Wi-Fi может позволить удаленному злоумышленнику выполнить произвольный код в контексте Wi-Fi SoC.

CVE-2017-0561

Уязвимость удаленного выполнения кода в драйвере криптопрограммы Qualcomm

Уязвимость удаленного выполнения кода в драйвере криптопрограммы Qualcomm может позволить удаленному злоумышленнику выполнить произвольный код в контексте ядра.

CVE-2016-10230

Уязвимость удаленного выполнения кода в подсистеме ядра

Уязвимость удаленного выполнения кода в сетевой подсистеме ядра позволяет удаленному злоумышленнику выполнить произвольный код в контексте ядра.

CVE-2016-10229

Уязвимость повышения привилегий в подсистеме ION ядра

Уязвимость повышения привилегий в подсистеме ION ядра позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0564

Уязвимости в компонентах Qualcomm

Множественные уязвимости в компонентах Qualcomm

CVE-2016-10237
CVE-2016-10238
CVE-2016-10239

Уязвимость удаленного выполнения кода в Freetype

Уязвимость удаленного выполнения кода в Freetype может позволить локальному злонамеренному приложению загрузить специально созданный шрифт, чтобы вызвать повреждение памяти в непривилегированном процессе

CVE-2016-10244

Уязвимость повышения привилегий в звуковой подсистеме ядра

Уязвимость повышения привилегий в звуковой подсистеме ядра позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2014-4656

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0567
CVE-2017-0568
CVE-2017-0569
CVE-2017-0570
CVE-2017-0571
CVE-2017-0572
CVE-2017-0573
CVE-2017-0574

Уязвимость повышения привилегий в драйвере Qualcomm Wi-Fi

Уязвимость повышения привилегий в драйвере Qualcomm Wi-Fi может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0575

Уязвимость повышения привилегий в драйвере криптопроцессора Qualcomm

Уязвимость повышения привилегий в драйвере криптопроцессора Qualcomm позволило локальному злонамеренному приложению выполнить произвольный код в контексте ядра.

CVE-2017-0576

Уязвимость повышения привилегий в звуковом драйвере DTS

Уязвимость повышения привилегий в звуковом драйвере DTS может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0578

Уязвимость повышения привилегий в драйвере звукового кодека Qualcomm

Уязвимость повышения привилегий в драйвере звукового кодека Qualcomm может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-10231

Уязвимость повышения привилегий в видеорекордере Qualcomm

Уязвимость повышения привилегий в видеорекордере Qualcomm может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0579
CVE-2016-10232
CVE-2016-10233

Уязвимость повышения привилегий в драйвере Qualcomm Seemp

Уязвимость повышения привилегий в драйвере Qualcomm Seemp позволило локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0462

Уязвимость повышения привилегий в драйвере Qualcomm Kyro L2

Уязвимость повышения привилегий в драйвере Qualcomm Kyro L2 может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-6423

Уязвимость повышения привилегий в файловой системе ядра

Уязвимость повышения привилегий в файловой системе ядра позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2014-9922

Уязвимость раскрытия информации в сетевой подсистеме ядра

Уязвимость раскрытия информации в сетевой подсистеме ядра позволяет локальному злонамеренному приложению получать доступ к данным за пределами его разрешений.

CVE-2014-3145

Уязвимость раскрытия информации в драйвере Qualcomm IPA

Уязвимость раскрытия информации в драйвере Qualcomm IPA может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2016-10234

Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi

Уязвимость отказа в обслуживании в драйвере Qualcomm Wi-Fi может позволить злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi.

CVE-2016-10235

Уязвимость повышения привилегий в файловой системе ядра

Уязвимость повышения привилегий в файловой системе ядра позволяет локальному злонамеренному приложению выполнять произвольный код за пределами его уровней разрешений.

CVE-2016-7097

Уязвимость повышения привилегий в драйвере Qualcomm Wi-Fi

Уязвимость повышения привилегий в драйвере Qualcomm Wi-Fi может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-6424

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-8465

Уязвимость раскрытия информации в драйвере ядра

Уязвимость, связанная с раскрытием информации в драйвере ядра, может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2014-1739

Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi

Уязвимость раскрытия информации в драйвере Qualcomm Wi-Fi позволяет локальному злонамеренному приложению получать доступ к данным за пределами его разрешений.

CVE-2017-0584

Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi

Уязвимость раскрытия информации в драйвере Broadcom Wi-Fi может позволить локальному злонамеренному приложению получать доступ к данным за пределами его разрешений.

CVE-2017-0585

Уязвимость раскрытия информации в драйвере Qualcomm Avtimer

Уязвимость раскрытия информации в драйвере Qualcomm Avtimer может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2016-5346

Уязвимость раскрытия информации в видеорекордере Qualcomm

Уязвимость раскрытия информации в видеодрайвере Qualcomm может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-6425

Уязвимость раскрытия информации в драйвере USB Qualcomm

Уязвимость раскрытия информации в драйвере USB Qualcomm позволяет локальному злонамеренному приложению получать доступ к данным за пределами его разрешений.

CVE-2016-10236

Уязвимость раскрытия информации в звуковом драйвере Qualcomm

Уязвимость, связанная с раскрытием информации в звуковом драйвере Qualcomm, может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0586

Уязвимость раскрытия информации в драйвере Qualcomm SPMI

Уязвимость раскрытия информации в драйвере Qualcomm SPMI может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-6426

Уязвимости в компонентах Qualcomm

Множественные уязвимости в компонентах Qualcomm

CVE-2014-9937
CVE-2014-9934

На этот раз, список уязвимостей особенно впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.

Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:

1 апреля

 

Share Button

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *