ФЕВРАЛЬСКИЙ БЮЛЛЕТЕНЬ BLACKBERRY ПО ОБНОВЛЕНИЮ БЕЗОПАСНОСТИ ANDROID

BlackBerry в этом месяце начала развертывание февральского обновления безопасности для Android. В настоящий момент новая версия программного обеспечения уже доступна для смартфонов BlackBerry на базе Android, которые были приобретены непосредственно у BlackBerry.

Новая версия приносит с собой обновление безопасности на 5 февраля 2017 года. Как правило, требуется несколько дней, чтобы обновление стало доступным для смартфонов, приобретенных у операторов или в розничных сетях.

Кроме того, BlackBerry выпустила свой февральский бюллетень по безопасности со списком исправлений, включенных в этот релиз:

Следующие уязвимости закрыты в этом обновлении:

Уязвимость удаленного выполнения кода в Mediaserver

Уязвимость удаленного выполнения кода в MediaServer может позволить злоумышленнику, с помощью специально созданного файла, вызвать повреждение памяти во время обработки данных медиа-файла.

CVE-2017-0407

Уязвимость удаленного выполнения кода в libstagefright

Уязвимость удаленного выполнения кода в библиотеке libstagefright может позволить злоумышленнику, с помощью специально созданного файла, выполнить произвольный код в контексте непривилегированного процесса.

CVE-2017-0409

Уязвимость повышения привилегий в Framework API

Уязвимость повышения привилегий в Framework API, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.

CVE-2017-0410

Уязвимость повышения привилегий в Mediaserver

Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.

CVE-2017-0415

Уязвимость повышения привилегий в Audioserver

Уязвимость повышения привилегий в Audioserver может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.

CVE-2017-0416
CVE-2017-0417
CVE-2017-0418
CVE-2017-0419

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.

CVE-2017-0413
CVE-2017-0414

Уязвимость раскрытия информации в Framework API

Уязвимость раскрытия информации в Framework API может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.

CVE-2017-0421

Уязвимость отказ в обслуживании в службе DNS Bionic

Уязвимость отказ в обслуживании в службе DNS Bionic может позволить удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание устройства или его перезагрузку.

CVE-2017-0422

Уязвимость повышения привилегий в Bluetooth

Уязвимость повышения привилегий в Bluetooth может позволить злоумышленнику получить возможность для управления доступом к документам на устройстве.

CVE-2017-0423

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить удаленному злоумышленнику с помощью специального созданного файла получить доступ к данным вне его уровней разрешений.

CVE-2017-0424

Уязвимость раскрытия информации в Audioserver

Уязвимость раскрытия информации в Audioserver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2017-0425

Уязвимость удаленного выполнения кода в драйвере Qualcomm Crypto

Уязвимость удаленного выполнения кода в драйвере Qualcomm Crypto может позволить удаленному злоумышленнику выполнить произвольный код в контексте ядра.

CVE-2016-8418

Уязвимость повышения привилегий в файловой системе ядра

Уязвимость повышения привилегий в файловой системе ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2017-0427

Уязвимость повышения привилегий в Broadcom Wi-Fi Driver

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2017-0430

Уязвимость в компонентах Qualcomm

Уязвимость отказ в обслуживании вызвана неправильной проверкой данных об объектах DES3 и DsaSignDigest в операциях библиотеки GP.

CVE-2017-0431

Уязвимость повышения привилегий в драйвере Qualcomm Secure Execution Environment Communicator

Уязвимость повышения привилегий в драйвере Qualcomm Secure Execution Environment Communicator может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-8480

Уязвимость повышения привилегий в звуковом драйвере Qualcomm

Уязвимость повышения привилегий в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-8481
CVE-2017-0435
CVE-2017-0436

Уязвимость повышения привилегий в Qualcomm Wi-Fi Driver

Уязвимость повышения привилегий в драйвере Wi-Fi компании Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2017-0437
CVE-2017-0438
CVE-2017-0439
CVE-2016-8419
CVE-2016-8420
CVE-2016-8421
CVE-2017-0440
CVE-2017-0441
CVE-2017-0442
CVE-2017-0443
CVE-2016-8476

Уязвимость повышения привилегий в Broadcom Wi-Fi Driver

Уязвимость повышения привилегий в драйвере Wi-Fi  компании Broadcom может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2017-0449

Уязвимость повышения привилегий в файловой системе ядра

Уязвимость повышения привилегий в файловой системе ядра может позволить локальному вредоносному приложению обойти защиту, которая мешает эскалации привилегий.

CVE-2016-10044

Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator

Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-8414

Уязвимость раскрытия информации в звуковом драйвере Qualcomm

Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2017-0451

Как обычно, список уязвимостей крайне впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.

Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:

 

Share Button

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *