html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Сентябрьское обновление для Android состоит из трех наборов патчей для 55 уязвимостей

Компания Google представила сентябрьский набор патчей для Android. На этот раз обновления были разделены сразу на три категории: 19 исправлений адресованы уязвимостям на уровне ОС и приложений, еще 26 патчей устраняют 28 уязвимостей, преимущественно на уровне драйверов, а еще два патча были выпущены отдельно от остальных и адресованы проблеме QuadRooter, которой подвержены устройства, работающих на базе железа Qualcomm.

Год назад Google изменила свою политику обновлений, и теперь в настройках ОС можно увидеть так называемый «Android security patch level», то есть уровень пропатченности устройства. Затем, в мае 2016 года, исправления, ранее выходившие под общим названием Nexus Security Bulletin, были переименованы в Android Security Bulletin, так как обновления все же адресуются всем Android-устройствам, а не только собственным девайсам компании. В июле 2016 года переименованный бюллетень был разделе надвое: одна часть исправлений теперь была предназначена для файлов ядра Android, тогда как вторая содержала патчи для драйверов и компонентов, характерных для определенных устройств.

security-patch-level

В этом месяце Goolge, по сути, добавила еще одну категорию, третью. Теперь проверка Android security patch level может вызвать у пользователя недоумение и вот почему. Сентябрьские патчи первой категории получат все пользователи, — это уровень пропатченности 2016-09-01. Патчи второй категории получат только пользователи некоторых устройств со специфическими драйверами, и это уровень 2016-09-05. Но теперь есть еще и третья категория патчей, которая и вовсе предназначена только для пользователей определенного железа и чипсетов, и это уровень 2016-09-06.

Первый, общий набор патчей устраняет 25 уязвимостей, включая две критические. Исправления, в частности, уже в который раз адресованы многострадальному компоненту Media Server, который напрямую связан с уязвимостью Stagefright. Также критическая RCE-уязвимость исправлена в LibUtils.

Проблема CVE Уровень опасности Опасно для Nexus
RCE в LibUtils CVE-2016-3861 Критический Да
RCE в Mediaserver CVE-2016-3862 Критичсеский Да
RCE в MediaMuxer CVE-2016-3863 Высокий Да
Эскалация привилегий в Mediaserver CVE-2016-3870, CVE-2016-3871, CVE-2016-3872 Высокий Да
Эскалация привилегий в device boot CVE-2016-3875 Высокий Нет*
Эскалация привилегий в Settings CVE-2016-3876 Высокий Да
DoS в Mediaserver CVE-2016-3899, CVE-2016-3878, CVE-2016-3879, CVE-2016-3880, CVE-2016-3881 Высокий Да
Эскалация привилегий в Telephony CVE-2016-3883 Умеренный Да
Эскалация привилегий в Notification Manager Service CVE-2016-3884 Умеренный Да
Эскалация привилегий в Debuggerd CVE-2016-3885 Умеренный Да
Эскалация привилегий в System UI Tuner CVE-2016-3886 Умеренный Да
Эскалация привилегий в Settings CVE-2016-3887 Умеренный Да
Эскалация привилегий в SMS CVE-2016-3888 Умеренный Да
Эскалация привилегий в Settings CVE-2016-3889 Умеренный Да
Эскалация привилегий в Java Debug Wire Protocol CVE-2016-3890 Умеренный Нет*
Утечка данных в Mediaserver CVE-2016-3895 Умеренный Да
Утечка данных в AOSP Mail CVE-2016-3896 Умеренный Нет*
Утечка данных в Wi-Fi CVE-2016-3897 Умеренный Нет*
DoS в Telephony CVE-2016-3898 Умеренный Да

*Проблема не распространяется на устройства Nexus с установленным Android 7.0 и всеми доступными обновлениями. 

Второй набор, самый большой из вышедших, представлен 26 бюллетенями для 28 различных уязвимостей, включая четыре критические. Все критические исправления связаны с эскалацией привилегий в ядре и адресованы проблемам в подсистемах netfilter и networking, а также багу USB-драйвере. Прочие исправления, получившие высокий уровень важности, тоже преимущественно устраняют уязвимости, связанные с повышением привилегий в различных драйверах. Равно как и в прошлом месяце, собственные патчи получили продукты Qualcomm, а также Nvidia и Synaptics.

Проблема CVE Уровень опасности Опасно для Nexus?
Эскалация привилегий в security подсистеме ядра CVE-2014-9529, CVE-2016-4470 Критический Да
Эскалация привилегий в networking подсистеме ядра CVE-2013-7446 Критический Да
Эскалация привилегий в netfilter подсистеме ядра CVE-2016-3134 Критический Да
Эскалация привилегий в USB-драйвере ядра CVE-2016-3951 Критический Да
Эскалация привилегий в sound подсистеме ядра CVE-2014-4655 Высокий Да
Эскалация привилегий в ASN.1 decoder ядра CVE-2016-2053 Высокий Да
Эскалация привилегий в Qualcomm radio interface layer CVE-2016-3864 Высокий Да
Эскалация привилегий в драйвере Qualcomm subsystem CVE-2016-3858 Высокий Да
Эскалация привилегий в networking драйвере CVE-2016-4805 Высокий Да
Эскалация привилегий в драйвере Synaptics touchscreen CVE-2016-3865 Высокий Да
Эскалация привилегий в драйвере Qualcomm camera CVE-2016-3859 Высокий Да
Эскалация привилегий в драйвере Qualcomm sound CVE-2016-3866 Высокий Да
Эскалация привилегий в драйвере Qualcomm IPA CVE-2016-3867 Высокий Да
Эскалация привилегий в драйвереQualcomm power CVE-2016-3868 Высокий Да
Эскалация привилегий в драйвере Broadcom Wi-Fi CVE-2016-3869 Высокий Да
Эскалация привилегий в ядре eCryptfs filesystem CVE-2016-1583 Высокий Да
Эскалация привилегий NVIDIA в ядре CVE-2016-3873 Высокий Да
Эскалация привилегий в драйвере Qualcomm Wi-Fi CVE-2016-3874 Высокий Да
DoS в networking подсистеме ядра CVE-2015-1465, CVE-2015-5364 Высокий Да
DoS в системе ядра ext4 file CVE-2015-8839 Высокий Да
Утечка данных в драйвере Qualcomm SPMI CVE-2016-3892 Умеренный Да
Утечка данных в кодеке Qualcomm sound CVE-2016-3893 Умеренный Да
Утечка данных в компоненте Qualcomm DMA CVE-2016-3894 Умеренный Да
Утечка данных в networking подсистеме ядра CVE-2016-4998 Умеренный Да
DoS в networking подсистеме ядра CVE-2015-2922 Умеренный Да
Уязвимости в компонентах Qualcomm CVE-2016-2469 Высокий Нет

Третий набор состоит всего из двух патчей, одна из проблем имеет критический статус опасности, а вторая просто высокий. Оба бага (CVE-2016-5340 и CVE-2016-2059) относятся к проблеме QuadRooter, о которой официально рассказали в начале августа 2016 года на конференции DEF CON. Напомню, что по оценкам экспертов, QuadRooter представляет опасность для почти 900 миллионов Android-устройств, работающих с железом Qualcomm. В комплексе все четыре уязвимости QuadRooter позволяют злоумышленнику получить полный контроль над устройством жертвы. Тогда как уязвимости CVE-2016-2503 и CVE-2016-2504 были устранены еще минувшим летом, до оставшихся двух проблем очередь дошла только сейчас.

Проблема CVE Уровень опасности Опасно для Nexus?
Эскалация привилегий в подсистеме ядра shared memory CVE-2016-5340 Критический Да
Эскалация привилегий в networking компонентах Qualcomm component CVE-2016-2059 Высокий Да
Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

10

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • nexus
          • приложения
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции