BlackBerry в России

BlackBerry Priv получил обновление безопасности

Сегодня патч для обновления безопасности и защиты информации на смартфонах BlackBerry Priv, который ранее был доступен для смартфонов купленных в ShopBlackBerry, стал разворачиваться на устройствах других операторов.

Размер обновления AAE298 — 20,9 Мб. Патч, приносит уровень обновления безопасности Android на 2 апреля 2016 года.

Сегодня BlackBerry опубликовала список закрытых уязвимостей в этом обновлении:


Уязвимость удаленного выполнения кода в DHCPD

Уязвимость в Dynamic Host Configuration Protocol могла позволить злоумышленнику вызвать повреждение памяти, что могло привести к удаленному выполнению кода.

CVE-2016-1503

Уязвимость удаленного выполнения кода в Mediaserver

Во время обработки данных специально сформированного файла, уязвимость в MediaServer могла позволить злоумышленнику вызвать повреждение памяти и произвести удаленное выполнение кода, как процесса MediaServer.

Уязвимость в функциональности в основной части операционной системы и нескольких приложениях, в первую очередь MMS-браузере и воспроизведении медиа.

CVE-2016-0837
CVE-2016-0838
CVE-2016-0841

Уязвимость повышения привилегий в компоненте Qualcomm RF

Уязвимость в драйвере Qualcomm RF могла позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-0844

Уязвимость повышения привилегий в IMemory Native Interface

Уязвимость повышения привилегий в IMemory Native Interface могла позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-0846

Уязвимость повышения привилегий в компоненте Telecom

Уязвимость повышения привилегий в компоненте Telecom могла позволить злоумышленнику подменить вызовы с любого произвольного номера.

CVE-2016-0847

Уязвимость повышения привилегий в Download Manager

Уязвимость повышения привилегий в Download Manager могла позволить злоумышленнику получить несанкционированный доступ к файлам.

CVE-2016-0848

Уязвимость повышения привилегий в процедуре восстановления

Уязвимость повышения привилегий в процедуре восстановления могла позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-0849

Уязвимость повышения привилегий в Bluetooth

Уязвимость повышения привилегий в Bluetooth могла привести к подключению ненадежного устройства к телефону во время начального процесса сопряжения. Это могло привести к несанкционированному доступу к ресурсам устройства, таким как подключение к Интернету.

CVE-2016-0850

Уязвимость повышения привилегий в драйвере ядра Qualcomm Video

Уязвимость повышения привилегий в драйвере ядра Qualcomm Video могла позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2410

Уязвимость повышения привилегий в компоненте управления питанием Qualcomm

Уязвимость повышения привилегий в компоненте управления питанием Qualcomm могла позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2411

Уязвимость повышения привилегий в System_server

Уязвимость повышения привилегий в System_server могла позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-2412

Уязвимость повышения привилегий в Mediaserver

Уязвимость повышения привилегий в MediaServer могла позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-2413

Уязвимость отказ в обслуживании в Minikin

Уязвимость отказ в обслуживании в библиотеке Minikin могла позволить атакующему временно блокировать доступ к пораженному устройству. Злоумышленник мог вызвать ненадежный шрифт для загрузки и вызвать переполнение в компоненте, который приводил Minikin к аварийным сбоям.

CVE-2016-2414

Уязвимость раскрытия информации в Exchange ActiveSync

Уязвимость раскрытия информации в Exchange ActiveSync могла позволить локальному вредоносному приложению получить доступ к личной информации пользователя.

CVE-2016-2415

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в MediaServer могла разрешить обход мер безопасности.

CVE-2016-2416
CVE-2016-2417

Уязвимость повышения привилегий в мастере установки

Уязвимость в мастере установки могла позволить злоумышленнику обойти Factory Reset Protection и получить доступ к устройству.

CVE-2016-2421

Уязвимость повышения привилегий в Wi-Fi

Уязвимость повышения привилегий в Wi-Fi могла позволить локальному вредоносному приложению выполнить произвольный код в контексте системных приложений.

CVE-2016-2422

Уязвимость повышения привилегий в Telephony

Уязвимость повышения привилегий в Telephony могла позволить злоумышленнику злоумышленнику обойти Factory Reset Protection и получить доступ к устройству.

CVE-2016-2423

Уязвимость отказ в обслуживании в SyncStorageEngine

Уязвимость отказ в обслуживании в SyncStorageEngine могла позволить локальному вредоносному приложению вызвать цикл перезагрузки.

CVE-2016-2424

Уязвимость раскрытия информации в Framework

Уязвимость раскрытия информации в рамках компонента могла позволить приложению получить доступ к конфиденциальной информации.

CVE-2016-2426

Уязвимость раскрытия информации в BouncyCastle

Уязвимость раскрытия информации в BouncyCastle могла позволить произойти утечке ключа аутентификации.

CVE-2016-2427

Уязвимость повышения привилегий в ядре

Уязвимость повышения привилегий в ядре могла позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2015-1805

Когда обновление станет доступным для PRIV, вот как вы сможете установить его:

Подключитесь к сети Wi-Fi перед загрузкой обновления для того, чтобы избежать ненужных расходов на передачу данных.
Найдите уведомление об обновлении в центре уведомлений телефона. Вы также можете проверить наличие обновлений программного обеспечения, перейдя в Настройки -> О телефоне -> Обновление системы и нажав кнопку «Проверить наличие обновлений».
Выберите, применить обновление, и оно будет скачано в фоновом режиме. Вы можете продолжать использовать ваш PRIV в то время как он делает это.
Перезагрузите телефон, чтобы завершить процесс установки.

Android — это быстро меняющаяся, очень популярная операционная система с открытым исходным кодом, что делает его привлекательной и плодородной мишенью для злоумышленников. Команда исследования безопасности BlackBerry постоянно изучает проблемы в новых версиях программного обеспечения, чтобы найти и устранить еще больше проблем с безопасностью Android, прежде чем они смогут причинить вред.

Подробней о программе управление патчами для безопасности Android на BlackBerry Priv, вы можете узнать в нашей статье.