PRIV, выпущенный в октябре 2015 года, стал одним из топовых смартфонов под управлением операционной системы Android 6.0 Marshmallow. BlackBerry начала глобальное развертывание Marshmallow, менее чем через месяц после того, как мы начали бета-тестирование, и выпускает обновления безопасности для Android быстрее, чем большинство производителей Android устройств.

Сегодня, в базе данных BlackBerry, компания опубликовала очередной бюллетень безопасности, в котором сообщила о закрытых уязвимостях в майском обновлении:

Уязвимость удаленного выполнения кода в Mediaserver

Во время воспроизведения медиа-файла и обработки данных специально сформированного файла, уязвимость в MediaServer может позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода, как процесса Mediaserver.

Уязвимая функциональность является основной частью операционной системы, и есть несколько приложений, которые позволяют эксплуатировать эту уязвимость, в первую очередь MMS-браузер и воспроизведение медиа.

CVE-2016-2428
CVE-2016-2429

Уязвимость повышения привилегий в Debuggerd

Уязвимость повышения привилегий в интегрированном отладчике Android может позволить локальному вредоносному приложению выполнить произвольный код в контексте отладчика Android.

CVE-2016-2430

Уязвимость удаленного выполнения кода в драйвере Broadcom Wi-Fi

Уязвимость в драйвере Broadcom Wi-Fi может позволить злоумышленнику использовать специально созданные пакеты беспроводных данных, которые могут привести к повреждению памяти ядра, приводящей к удаленному выполнению кода в контексте ядра. Эта уязвимость может быть использована, когда атакующий и жертва подключены к одной и той-же сети.

CVE-2016-2433

Уязвимость удаленного выполнения кода в ядре

Уязвимость удаленного выполнения кода в звуковой подсистеме может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2438

Уязвимость раскрытия информации в Qualcomm Tethering Controller

Уязвимость раскрытия информации в контроллере Qualcomm Tethering может позволить локальному вредоносному приложению получить доступ к личной информации без привилегий для этого.

CVE-2016-2060

Уязвимость удаленного выполнения кода в Bluetooth

Во время спаривания устройства Bluetooth, уязвимость в Bluetooth может позволить злоумышленнику выполнить произвольный код.

CVE-2016-2439

Уязвимость повышения привилегий в Binder

Уязвимость повышения привилегий в Binder может позволить локальному вредоносному приложению выполнить произвольный код в контексте процесса другого приложения. Во время освобождения оперативной памяти, уязвимость в Binder может позволить злоумышленнику вызвать локальное выполнение кода.

CVE-2016-2440

Уязвимость повышения привилегий в драйвере Qualcomm Buspm

Уязвимость повышения привилегий в драйвере Qualcomm Buspm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2441
CVE-2016-2442

Уязвимость повышения привилегий в Wi-Fi

Уязвимость повышения привилегий в Wi-Fi может позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-2447

Уязвимость повышения привилегий в Mediaserver

Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-2448
CVE-2016-2449
CVE-2016-2450
CVE-2016-2451
CVE-2016-2452

Уязвимость повышения привилегий в OpenSSL и BoringSSL

Уязвимость повышения привилегий в OpenSSL и BoringSSL может позволить локальному вредоносному приложению получить доступ к данным вне уровня его разрешений.

CVE-2016-2455
CVE-2016-0705

Уязвимость повышения привилегий в Wi-Fi

Уязвимость повышения привилегий в Wi-Fi может позволить использовать настройки гостевой учетной записи Wi-Fi для изменения настроек Wi-Fi, которые сохраняются для основного пользователя.

CVE-2016-2457

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в MediaServer может позволить приложению получить доступ к конфиденциальной информации.

CVE-2016-2459
CVE-2016-2460

Уязвимость отказ в обслуживании в ядре

Уязвимость отказ в обслуживании в ядре может позволить локальному вредоносному приложению вызвать перезагрузку устройства.

CVE-2016-0774

Google ежемесячно выпускает бюллетени безопасности для Android — список уязвимостей, своевременный выпуск патчей для этих уязвимостей необходим, чтобы снизить риск эксплуатации смартфонов. BlackBerry является первым OEM производителем, который выпускает патчи в соответствии с датой публичного раскрытия Google, закрывая окно воздействия уязвимостей на клиентов. Другие производители мобильных устройств могут ждать несколько недель, месяцев или даже лет, чтобы выпустить патчи для безопасности, оставив вас и ваш бизнес в опасности. Твердая приверженность BlackBerry своевременному выпуску обновлений безопасности является лишь одной из многих причин, почему BlackBerry продолжает оставаться бесспорным лидером в области мобильной безопасности и конфиденциальности.

Обратите внимание:

Как BlackBerry Priv защищен от Root доступа

Без промедления: Обновления безопасности для BlackBerry Priv

Почему Android от BlackBerry обеспечивает большую безопасность

BlackBerry Priv: управление патчами для безопасности Android