ИЮЛЬСКИЙ БЮЛЛЕТЕНЬ BLACKBERRY ПО ОБНОВЛЕНИЮ БЕЗОПАСНОСТИ ANDROID

BlackBerry начала развертывать новую версию Android Marshmallow для смартфонов BlackBerry Priv, с номером сборки AAF518, которая приносит обновление безопасности на 5 июля.

Ежемесячно BlackBerry выпускает бюллетени безопасности для уведомления пользователей своих Android смартфонов о доступных исправлений безопасности, смотрите BlackBerry.com/bbsirt для полного списка ежемесячных бюллетеней.

Следующие уязвимости закрыты в этом обновлении:

Уязвимость удаленного выполнения кода в Mediaserver

Во время воспроизведения медиа-файла и обработки данных специально сформированного файла, уязвимость в MediaServer может позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода, как процесса Mediaserver.

Уязвимая функциональность является основной частью операционной системы, и есть несколько приложений, которые позволяют эксплуатировать эту уязвимость, в первую очередь MMS-браузер и воспроизведение медиа.

CVE-2016-2505
CVE-2016-2506
CVE-2016-2507
CVE-2016-2508
CVE-2016-3741
CVE-2016-3742
CVE-2016-3743
CVE-2016-2505
CVE-2016-2506
CVE-2016-2507
CVE-2016-2508
CVE-2016-3741
CVE-2016-3742
CVE-2016-3743

Уязвимость удаленного выполнения кода в OpenSSL и BoringSSL

Уязвимость удаленного выполнения кода в OpenSSL и BoringSSL может позволить злоумышленнику с помощью специально созданного файла вызвать повреждение памяти во время обработки файлов и данных.

CVE-2016-2108

Уязвимость удаленного выполнения кода в Bluetooth

Уязвимость удаленного выполнения кода в Bluetooth может позволить злоумышленнику выполнить произвольный код в процессе спаривания устройств.

CVE-2016-3744

Уязвимость повышения привилегий в Libpng

Уязвимость повышения привилегий в Libpng может позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-3751

Уязвимость повышения привилегий в Mediaserver

Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-3745
CVE-2016-3746
CVE-2016-3747

Уязвимость повышения привилегий в Sockets

Уязвимость повышения привилегий в Sockets может позволить локальному вредоносному приложению получить доступ к системным вызовам за пределами его уровня разрешений.

CVE-2016-3748

Уязвимость повышения привилегий в Framework API

Уязвимость повышения привилегий в Parcels Framework API может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.

CVE-2016-3750

Уязвимость повышения привилегий в службе ChooserTarget

Уязвимость повышения привилегий в службе ChooserTarget может позволить локальному вредоносному приложению выполнить код в контексте другого приложения.

CVE-2016-3752

Уязвимость раскрытия информации в OpenSSL

Уязвимость раскрытия информации в OpenSSL может позволить удаленному злоумышленнику получить доступ к защищенным данным, обычно доступным только для локально установленных приложений, которые запрашивают разрешение.

CVE-2016-2107

Уязвимость отказ в обслуживании в Mediaserver

Уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку.

CVE-2016-3754
CVE-2016-3755
CVE-2016-3756

Уязвимость повышения привилегий в LSOF

Уязвимость повышения привилегий в LSOF может позволить локальному вредоносному приложению выполнить произвольный код, который может привести к постоянному компромиссу устройства.

CVE-2016-3757

Уязвимость повышения привилегий в DexClassLoader

Уязвимость повышения привилегий в DexClassLoader может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.

CVE-2016-3758

Уязвимость повышения привилегий в Framework API

Уязвимость повышения привилегий в Framework API может позволить локальному вредоносному приложению запросить разрешения для резервного копирования и перехватывать все данные резервного копирования.

CVE-2016-3759

Уязвимость повышения привилегий в Bluetooth

Уязвимость повышения привилегий в Bluetooth может позволить локальному злоумышленнику добавить проверенное устройство Bluetooth, которое будет сохраняться для основного пользователя.

CVE-2016-3760

Уязвимость повышения привилегий в NFC

Уязвимость повышения привилегий в NFC может позволить локальному вредоносному приложению, работающему в фоне, получить доступ к данным открытого приложения.

CVE-2016-3761

Уязвимость повышения привилегий в Sockets

Уязвимость повышения привилегий в Sockets может позволить локальному вредоносному приложению получить доступ к определенным типам сокетов и привести к выполнению произвольного кода в контексте ядра.

CVE-2016-3762

Уязвимость раскрытия информации в Proxy Auto-Config

Уязвимость раскрытия информации в компоненте Proxy Auto-Config может позволить приложению получить доступ к конфиденциальной информации.

CVE-2016-3763

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в MediaServer может позволить локальному вредоносному приложению получить доступ к конфиденциальной информации.

CVE-2016-3764
CVE-2016-3765

Уязвимость отказ в обслуживании в Mediaserver

Уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку.

CVE-2016-3766

Уязвимость повышения привилегий в Qualcomm GPU Driver

Уязвимость повышения привилегий в Qualcomm GPU Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2503
CVE-2016-2067

Уязвимость повышения привилегий в Qualcomm Performance Component

Уязвимость повышения привилегий в Qualcomm Performance Component может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3768

Уязвимость повышения привилегий в ядре файловой системы

Повышение привилегий уязвимости в файле ядра системы может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3775

Уязвимость повышения привилегий в драйвере USB

Уязвимость повышения привилегий в драйвере USB может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2015-8816

Уязвимость повышения привилегий в Qualcomm Components

Уязвимость повышения привилегий в Qualcomm Components может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2014-9801

Уязвимость повышения привилегий в Qualcomm USB Driver

Уязвимость повышения привилегий в Qualcomm USB Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2502

Уязвимость повышения привилегий в Qualcomm Camera Driver

Уязвимость повышения привилегий в Qualcomm Camera Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2501

Уязвимость повышения привилегий в ядре файловой системы

Уязвимость повышения привилегий в ядре файловой системы может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3802
CVE-2016-3803

Уязвимость повышения привилегий в Qualcomm Sound Driver

Уязвимость повышения привилегий в Qualcomm Sound Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2068

Уязвимость повышения привилегий в в ядре

Уязвимость повышения привилегий в ядре может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2014-9803

Уязвимость раскрытия информации в компоненте Networking

Уязвимость раскрытия информации в компоненте Networking может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-3809

Уязвимость повышения привилегий в Kernel Video Driver

Уязвимость повышения привилегий в Kernel Video Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3811

Уязвимость раскрытия информации в компоненте Qualcomm USB Driver

Уязвимость раскрытия информации в компоненте Qualcomm USB Driver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-3813

Уязвимость раскрытия информации в Kernel Teletype Driver

Уязвимость раскрытия информации в Kernel Teletype Driver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-0723

Обновленная версия программного обеспечения доступна для смартфонов BlackBerry на базе Android, которые были приобретены в ShopBlackBerry.com. Обновление также будет доступно для устройств, купленных у других продавцов или операторов, в зависимости от их графиков развертывания.

Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:

5 июля 2016.

 

Share Button

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *