Сегодня, BlackBerry начала развертывать новую версию Android Marshmallow для смартфонов BlackBerry Priv, с номером сборки AAF960, которая приносит обновление безопасности на 5 августа.

Ежемесячно BlackBerry выпускает бюллетени безопасности для уведомления пользователей своих Android смартфонов о доступных исправлений безопасности, смотрите BlackBerry.com/bbsirt для полного списка ежемесячных бюллетеней.

Следующие уязвимости закрыты в этом обновлении:

Уязвимость удаленного выполнения кода в Mediaserver

Во время воспроизведения медиа-файла и обработки данных специально сформированного файла, уязвимость в MediaServer может позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода, как процесса Mediaserver.

Уязвимая функциональность является основной частью операционной системы, и есть несколько приложений, которые позволяют эксплуатировать эту уязвимость, в первую очередь MMS-браузер и воспроизведение медиа.

CVE-2016-3819
CVE-2016-3820
CVE-2016-3821

Уязвимость удаленного выполнения кода в libjhead

Уязвимость удаленного выполнения кода в libjhead может позволить злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте непривилегированного процесса.

CVE-2016-3822

Уязвимость повышения привилегий в Mediaserver

Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.

CVE-2016-3823
CVE-2016-3824
CVE-2016-3825
CVE-2016-3826

Уязвимость отказ в обслуживании в Mediaserver

Уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку.

CVE-2016-3827
CVE-2016-3828
CVE-2016-3829
CVE-2016-3830

Уязвимость отказ в обслуживании в системных часах

Уязвимость отказ в обслуживании в системных часах может позволить удаленному злоумышленнику аварийно завершить работу устройства.

CVE-2016-3831

Уязвимость повышения привилегий в Framework API

Уязвимость повышения привилегий в Framework API может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.

CVE-2016-3832

Уязвимость повышения привилегий в Shell

Уязвимость повышения привилегий в Shell может позволить локальному вредоносному приложению обойти ограничения устройства, такие как ограничения пользователей.

CVE-2016-3833

Уязвимость раскрытия информации в API-интерфейсе камеры

Уязвимость раскрытия информации в API-интерфейсе камеры может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-3834

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в Mediaserver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-3835

Уязвимость раскрытия информации в SurfaceFlinger

Уязвимость раскрытия информации в SurfaceFlinger может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-3836

Уязвимость раскрытия информации в Wi-Fi

Уязвимость раскрытия информации в Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-3837

Уязвимость отказ в обслуживании в системном интерфейсе

Уязвимость отказ в обслуживании в системном интерфейсе может позволить локальному вредоносному приложению предотвратить вызов службы 911 с заблокированного экрана.

CVE-2016-3838

Уязвимость отказ в обслуживании в Bluetooth

Уязвимость отказ в обслуживании в Bluetooth может позволить локальному вредоносному приложению предотвратить вызов службы 911 с Bluetooth устройств.

CVE-2016-3839

Уязвимость удаленного выполнения кода в Conscrypt

Уязвимость удаленного выполнения кода в Conscrypt может позволить удаленному злоумышленнику выполнить произвольный код в контексте привилегированного процесса.

CVE-2016-3840

Уязвимость удаленного выполнения кода в Kernel Networking Component

Уязвимость удаленного выполнения кода в Kernel Networking Component может позволить локального вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2015-2686
CVE-2016-3841

Уязвимость повышения привилегий в драйвере Qualcomm GPU

Уязвимость повышения привилегий в драйвере Qualcomm GPU может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2504
CVE-2016-3842

Уязвимость повышения привилегий в Qualcomm Performance Component

Уязвимость повышения привилегий в Qualcomm Performance Component может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3843

Уязвимость повышения привилегий в ядре

Уязвимость повышения привилегий в ядре может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3857

Уязвимость повышения привилегий в звуковом компоненте ядра

Уязвимость повышения привилегий в звуковом компоненте ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-2544
CVE-2014-9904

Уязвимость повышения привилегий в ION Driver

Уязвимость повышения привилегий в ION Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3849

Уязвимость повышения привилегий в Qualcomm Bootloader

Уязвимость повышения привилегий в Qualcomm Bootloader может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3850

Уязвимость повышения привилегий в подсистеме производительности ядра

Уязвимость повышения привилегий в подсистеме производительности ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.

CVE-2016-3843

Уязвимость раскрытия информации в Kernel Scheduler

Уязвимость раскрытия информации в планировщике ядра может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2014-9903

Уязвимость раскрытия информации в драйвере USB

Уязвимость раскрытия информации в драйвере USB может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-4482

Уязвимость повышения привилегий в Google Play Services

Уязвимость повышения привилегий в Google Play Services может позволить локальному злоумышленнику обойти Factory Reset Protection и получить доступ к устройству.

CVE-2016-3853

Уязвимость повышения привилегий в Framework API

Уязвимость повышения привилегий в Framework API может позволить предустановленному приложению, увеличить свой приоритет и обновляться без уведомления пользователя.

CVE-2016-2497

Уязвимость раскрытия информации в Kernel Networking Component

Уязвимость раскрытия информации в Kernel Networking Component может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

CVE-2016-4578

Уязвимость раскрытия информации в Kernel Sound Component

Уязвимость раскрытия информации в Kernel Sound Component может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.

 

CVE-2016-4569
CVE-2016-4578

Уязвимость в Qualcomm Components

Уязвимость в тепловом драйвере может позволить локальному вредоносному приложению вызвать повреждение памяти, что может привести к временному отказу в обслуживании.

CVE-2016-3855

Как обычно, список уязвимостей крайне впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.

Обновленная версия программного обеспечения доступна для смартфонов BlackBerry на базе Android, которые были приобретены в ShopBlackBerry.com. Обновление также будет доступно для устройств, купленных у других продавцов или операторов, в зависимости от их графиков развертывания.

Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:

5 августа

Если ваш смартфон BlackBerry на Android не получил актуального обновления безопасности, пожалуйста, обратитесь к продавцу или оператору для обслуживания или получения информации о доступности релиза.

Обратите внимание:

Как BlackBerry Priv защищен от Root доступа

Без промедления: Обновления безопасности для BlackBerry Priv

Почему Android от BlackBerry обеспечивает большую безопасность

BlackBerry Priv: управление патчами для безопасности Android

Больше подробностей о новом устройстве BlackBerry на базе Android вы можете найти на нашем сайте в рубрике BlackBerry Priv. Информация о самых интересных приложениях для PRIV доступна в новой рубрике Программы для Android.

В России, вы можете купить BlackBerry Priv в нашем интернет магазине Store.BlackBerries.ru.