Сегодня, BlackBerry начала развертывать новую версию Android Marshmallow для смартфонов BlackBerry PRIV и DTEK50, которая приносит обновление безопасности на 6 сентября.
Ежемесячно BlackBerry выпускает бюллетени безопасности для уведомления пользователей своих Android смартфонов о доступных исправлений безопасности, смотрите BlackBerry.com/bbsirt для полного списка ежемесячных бюллетеней.
Как обычно, список уязвимостей крайне впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.
Следующие уязвимости закрыты в этом обновлении:
Уязвимость удаленного выполнения кода в LibUtils
Уязвимость удаленного выполнения кода в LibUtils может позволить злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте непривилегированного процесса.
CVE-2016-3861
Уязвимость удаленного выполнения кода в Mediaserver
Уязвимость удаленного выполнения кода в MediaServer может позволить злоумышленнику с помощью специально созданного файла вызвать повреждение памяти во время обработки данных и медиа-файлов.
CVE-2016-3862
Уязвимость удаленного выполнения кода в MediaMuxer
Уязвимость удаленного выполнения кода в MediaMuxer может позволить злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте непривилегированного процесса.
CVE-2016-3863
Уязвимость повышения привилегий в Mediaserver
Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2016-3870
CVE-2016-3871
CVE-2016-3872
Уязвимость повышения привилегий в загрузчике
Уязвимость повышения привилегий в загрузчике может позволить злоумышленнику загрузиться в безопасном режиме, даже если он отключен.
CVE-2016-3875
Уязвимость отказ в обслуживании в Mediaserver
Уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку.
CVE-2016-3899
CVE-2016-3878
CVE-2016-3879
CVE-2016-3880
CVE-2016-3881
Уязвимость повышения привилегий в приложении телефон
Уязвимость повышения привилегий в приложении телефон может позволить локальному вредоносному приложению произвести несанкционированную отправку SMS-сообщений.
CVE-2016-3883
Уязвимость повышения привилегий в службе диспетчера уведомлений
Уязвимость повышения привилегий в службе диспетчера уведомлений может позволить локальному вредоносному приложению обойти защиту данных приложений операционной системы, которые изолируют ее от других приложений.
CVE-2016-3884
Уязвимость повышения привилегий в отладчике
Уязвимость повышения привилегий в встроенном отладчике Android может позволить локальному вредоносному приложению выполнить произвольный вредоносный код в контексте отладчика Android.
CVE-2016-3885
Уязвимость повышения привилегий в SMS
Уязвимость повышения привилегий в SMS может позволить локальному вредоносному приложению отправить SMS сообщение.
CVE-2016-3888
Уязвимость повышения привилегий в настройках
Уязвимость повышения привилегий в настройках может позволить локальному вредоносному приложению обойти Factory Reset Protection и получить доступ к устройству.
CVE-2016-3889
Уязвимость повышения привилегий в протоколе Java Debug Wire
Уязвимость повышения привилегий в протоколе Java Debug Wire может позволить локальному вредоносному приложению выполнить произвольный вредоносный код контексте системных приложений.
CVE-2016-3890
Уязвимость раскрытия информации в Mediaserver
Уязвимость раскрытия информации в Mediaserver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-3895
Уязвимость раскрытия информации в Wi-Fi
Уязвимость раскрытия информации в конфигурации Wi-Fi может позволить получить доступ к конфиденциальной информации.
CVE-2016-3897
Уязвимость отказ в обслуживании в приложении телефон
Уязвимость отказ в обслуживании в приложении телефон может позволить локальному вредоносному приложению предотвратить вызов службы 911 с заблокированного экрана.
CVE-2016-3898
Уязвимость повышения привилегий в подсистеме безопасности ядра
Уязвимость повышения привилегий в подсистеме безопасности ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-4470
Уязвимость повышения привилегий в сетевой подсистеме ядра
Уязвимость повышения привилегий в сетевой подсистеме ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2013-7446
Уязвимость повышения привилегий в подсистеме ядра Netfilter
Уязвимость повышения привилегий в подсистеме ядра Netfilter может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3134
Уязвимость повышения привилегий в USB драйвере ядра
Уязвимость повышения привилегий в USB драйвере ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3951
Уязвимость повышения привилегий в ядре декодера ASN.1
Уязвимость повышения привилегий в ядре декодера ASN.1 может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-2053
Уязвимость повышения привилегий в Qualcomm Radio Interface Layer
Уязвимость повышения привилегий в радиоинтерфейсе компании Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3864
Уязвимость повышения привилегий в подсистеме драйвера Qualcomm
Уязвимость повышения привилегий в подсистеме драйвера Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3858
Уязвимость повышения привилегий в сетевом драйвере ядра
Уязвимость повышения привилегий в сетевом драйвере ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-4805
Уязвимость повышения привилегий в драйвере сенсорного дисплея Synaptics
Уязвимость повышения привилегий в драйвере сенсорного дисплея Synaptics может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3865
Уязвимость повышения привилегий в драйвере камеры Qualcomm
Уязвимость повышения привилегий в драйвере камеры Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3859
Уязвимость повышения привилегий в звуковом драйвере Qualcomm
Уязвимость повышения привилегий в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3866
Уязвимость повышения привилегий в драйвере Qualcomm IPA
Уязвимость повышения привилегий в драйвере Qualcomm IPA может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3867
Уязвимость повышения привилегий в драйвере питания Qualcomm
Уязвимость повышения привилегий в драйвере питания Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3868
Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi
Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-3869
Уязвимость повышения привилегий в ядре FileSystem eCryptfs
Уязвимость повышения привилегий в ядре файловой системы eCryptfs может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-1583
Уязвимость отказ от обслуживания в файловой системе ext4
Уязвимость отказ от обслуживания в файловой системе ext4 может позволить злоумышленнику вызвать отказ в обслуживании что может потребовать перепрошивки операционной системы для ремонта устройства.
CVE-2015-8839
Уязвимость раскрытия информации в драйвере Qualcomm SPMI
Уязвимость раскрытия информации в драйвере Qualcomm SPMI может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-3892
Уязвимость раскрытия информации в сетевой подсистеме ядра
Уязвимость раскрытия информации в сетевой подсистеме ядра может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-4998
Уязвимость повышения привилегий в звуковом драйвере Qualcomm
Уязвимость повышения привилегий в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-2469
Обновленная версия программного обеспечения доступна для смартфонов BlackBerry на базе Android, которые были приобретены в ShopBlackBerry.com. Обновление также будет доступно для устройств, купленных у других продавцов или операторов, в зависимости от их графиков развертывания.
Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:
6 сентября
Если ваш смартфон BlackBerry на Android не получил актуального обновления безопасности, пожалуйста, обратитесь к продавцу или оператору для обслуживания или получения информации о доступности релиза.
Обратите внимание:
Как BlackBerry Priv защищен от Root доступа
Без промедления: Обновления безопасности для BlackBerry Priv
Почему Android от BlackBerry обеспечивает большую безопасность
BlackBerry Priv: управление патчами для безопасности Android