Пропустив этап тестирования в бета-зоне BlackBerry в этом месяце, BlackBerry начала развертывание январского обновления безопасности для Android. В настоящий момент новая версия программного обеспечения уже доступна для смартфонов BlackBerry на базе Android, которые были приобретены непосредственно у BlackBerry.
Новая версия приносит с собой обновление безопасности на 5 января 2017 года. Как правило, требуется несколько дней, чтобы обновление стало доступным для смартфонов, приобретенных у операторов или в розничных сетях.
Кроме того, BlackBerry выпустила свой январский бюллетень по безопасности со списком исправлений, включенных в эти релизы:
Следующие уязвимости закрыты в этом обновлении:
Уязвимость удаленного выполнения кода в Mediaserver
Уязвимость удаленного выполнения кода в MediaServer может позволить злоумышленнику, с помощью специально созданного файла, вызвать повреждение памяти во время обработки данных медиа-файла.
CVE-2017-0381
Уязвимость удаленного выполнения кода в Framesequence
Уязвимость удаленного выполнения кода в библиотеке Framesequence может позволить злоумышленнику, с помощью специально созданного файла, выполнить произвольный код в контексте непривилегированного процесса.
CVE-2017-0382
Уязвимость повышения привилегий в Audioserver
Уязвимость повышения привилегий в Audioserver может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2017-0384
CVE-2017-0385
Уязвимость повышения привилегий в libnl
Уязвимость повышения привилегий в библиотеке libnl может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2017-0386
Уязвимость повышения привилегий в Mediaserver
Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2017-0387
Уязвимость отказ в обслуживании в базовой сети
Уязвимость отказ в обслуживании в базовой сети может позволить удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание или перезагрузку устройства.
CVE-2017-0389
Уязвимость отказ в обслуживании в Mediaserver
Уязвимость отказ в обслуживании в MediaServer может позволить удаленному злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства.
CVE-2017-0390
CVE-2017-0391
CVE-2017-0392
CVE-2017-0393
Уязвимость отказ в обслуживании в службе телефонии
Уязвимость отказ в обслуживании в телефонии может позволить удаленному злоумышленнику вызвать зависание или перезагрузку устройства.
CVE-2017-0394
Уязвимость повышения привилегий в приложении Контакты
Уязвимость повышения привилегий в приложении Контакты может позволить локальному вредоносному приложению создать контактную информацию.
CVE-2017-0395
Уязвимость раскрытия информации в Mediaserver
Уязвимость раскрытия информации в MediaServer может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2017-0396
CVE-2017-0397
Уязвимость раскрытия информации в Audioserver
Уязвимость раскрытия информации в Audioserver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2017-0398
CVE-2017-0399
CVE-2017-0400
CVE-2017-0401
CVE-2017-0402
Уязвимость повышения привилегий в подсистеме памяти ядра
Уязвимость повышения привилегий в подсистеме памяти ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2015-3288
Уязвимость повышения привилегий в Qualcomm Bootloader
Уязвимость повышения привилегий в загрузчике компании Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8422
CVE-2016-8423
Уязвимость повышения привилегий в Qualcomm GPU Driver
Уязвимость повышения привилегий в драйвере Qualcomm GPU может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8434
Уязвимости в компонентах Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm, и более подробно описаны в соответствующем бюллетене по безопасности Qualcomm AMSS или оповещениях безопасности.
CVE-2016-8398
CVE-2016-8437
CVE-2016-8438
CVE-2016-8439
CVE-2016-8440
CVE-2016-8441
CVE-2016-8442
CVE-2016-8443
CVE-2016-8459
CVE-2016-5080
Уязвимость повышения привилегий в Qualcomm Camera
Уязвимость повышения привилегий в камере Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8412
CVE-2016-8444
Уязвимость повышения привилегий в Qualcomm Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Wi-Fi компании Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8415
Уязвимость повышения привилегий в звуковом драйвере Qualcomm
Уязвимость повышения привилегий в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8450
Уязвимость повышения привилегий в подсистеме безопасности ядра
Уязвимость повышения привилегий в подсистеме безопасности ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-7042
Уязвимость повышения привилегий в подсистеме производительности ядра
Уязвимость повышения привилегий в подсистеме производительности ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2017-0403
Уязвимость повышения привилегий в звуковой подсистеме ядра
Уязвимость повышения привилегий в звуковой подсистеме ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2017-0404
Уязвимость повышения привилегий в Qualcomm Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Wi-Fi компании Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8452
Уязвимость повышения привилегий в Qualcomm Radio Driver
Уязвимость повышения привилегий в драйвере Qualcomm радио может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-5345
Уязвимость повышения привилегий в подсистеме профилирования ядра
Уязвимость повышения привилегий в подсистеме профилирования ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-9754
Уязвимость повышения привилегий в Broadcom Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Wi-Fi Broadcom может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8454
CVE-2016-8456
CVE-2016-8457
Уязвимость повышения привилегий в драйвере сенсорного экрана Synaptics
Уязвимость повышения привилегий в драйвере сенсорного экрана Synaptics может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8458
Уязвимость повышения привилегий в Broadcom Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Wi-Fi Broadcom может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8464
CVE-2016-8465
CVE-2016-8466
Уязвимость раскрытия информации в аудио постпроцессоре Qualcomm
Уязвимость раскрытия информации в аудио постпроцессоре Qualcomm может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2017-0399
CVE-2017-0400
CVE-2017-0401
CVE-2017-0402
Как обычно, список уязвимостей крайне впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.
Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:
5 января
Если ваш смартфон BlackBerry на Android не получил актуального обновления безопасности, пожалуйста, обратитесь к продавцу или оператору для обслуживания или получения информации о доступности релиза.