Пропустив этап тестирования в бета-зоне BlackBerry в этом месяце, BlackBerry начала развертывание февральского обновления безопасности для Android. В настоящий момент новая версия программного обеспечения уже доступна для смартфонов BlackBerry на базе Android, которые были приобретены непосредственно у BlackBerry.
Новая версия приносит с собой обновление безопасности на 5 февраля 2017 года. Как правило, требуется несколько дней, чтобы обновление стало доступным для смартфонов, приобретенных у операторов или в розничных сетях.
Кроме того, BlackBerry выпустила свой февральский бюллетень по безопасности со списком исправлений, включенных в этот релиз:
Следующие уязвимости закрыты в этом обновлении:
Уязвимость удаленного выполнения кода в Mediaserver
Уязвимость удаленного выполнения кода в MediaServer может позволить злоумышленнику, с помощью специально созданного файла, вызвать повреждение памяти во время обработки данных медиа-файла.
CVE-2017-0407
Уязвимость удаленного выполнения кода в libstagefright
Уязвимость удаленного выполнения кода в библиотеке libstagefright может позволить злоумышленнику, с помощью специально созданного файла, выполнить произвольный код в контексте непривилегированного процесса.
CVE-2017-0409
Уязвимость повышения привилегий в Framework API
Уязвимость повышения привилегий в Framework API, может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2017-0410
Уязвимость повышения привилегий в Mediaserver
Уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2017-0415
Уязвимость повышения привилегий в Audioserver
Уязвимость повышения привилегий в Audioserver может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса.
CVE-2017-0416
CVE-2017-0417
CVE-2017-0418
CVE-2017-0419
Уязвимость раскрытия информации в AOSP Messaging
Уязвимость раскрытия информации в AOSP Messaging может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.
CVE-2017-0413
CVE-2017-0414
Уязвимость раскрытия информации в Framework API
Уязвимость раскрытия информации в Framework API может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений.
CVE-2017-0421
Уязвимость отказ в обслуживании в службе DNS Bionic
Уязвимость отказ в обслуживании в службе DNS Bionic может позволить удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание устройства или его перезагрузку.
CVE-2017-0422
Уязвимость повышения привилегий в Bluetooth
Уязвимость повышения привилегий в Bluetooth может позволить злоумышленнику получить возможность для управления доступом к документам на устройстве.
CVE-2017-0423
Уязвимость раскрытия информации в AOSP Messaging
Уязвимость раскрытия информации в AOSP Messaging может позволить удаленному злоумышленнику с помощью специального созданного файла получить доступ к данным вне его уровней разрешений.
CVE-2017-0424
Уязвимость раскрытия информации в Audioserver
Уязвимость раскрытия информации в Audioserver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2017-0425
Уязвимость удаленного выполнения кода в драйвере Qualcomm Crypto
Уязвимость удаленного выполнения кода в драйвере Qualcomm Crypto может позволить удаленному злоумышленнику выполнить произвольный код в контексте ядра.
CVE-2016-8418
Уязвимость повышения привилегий в файловой системе ядра
Уязвимость повышения привилегий в файловой системе ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2017-0427
Уязвимость повышения привилегий в Broadcom Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2017-0430
Уязвимость в компонентах Qualcomm
Уязвимость отказ в обслуживании вызвана неправильной проверкой данных об объектах DES3 и DsaSignDigest в операциях библиотеки GP.
CVE-2017-0431
Уязвимость повышения привилегий в драйвере Qualcomm Secure Execution Environment Communicator
Уязвимость повышения привилегий в драйвере Qualcomm Secure Execution Environment Communicator может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8480
Уязвимость повышения привилегий в звуковом драйвере Qualcomm
Уязвимость повышения привилегий в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2016-8481
CVE-2017-0435
CVE-2017-0436
Уязвимость повышения привилегий в Qualcomm Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Wi-Fi компании Qualcomm может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2017-0437
CVE-2017-0438
CVE-2017-0439
CVE-2016-8419
CVE-2016-8420
CVE-2016-8421
CVE-2017-0440
CVE-2017-0441
CVE-2017-0442
CVE-2017-0443
CVE-2016-8476
Уязвимость повышения привилегий в Broadcom Wi-Fi Driver
Уязвимость повышения привилегий в драйвере Wi-Fi компании Broadcom может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра.
CVE-2017-0449
Уязвимость повышения привилегий в файловой системе ядра
Уязвимость повышения привилегий в файловой системе ядра может позволить локальному вредоносному приложению обойти защиту, которая мешает эскалации привилегий.
CVE-2016-10044
Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator
Уязвимость раскрытия информации в Qualcomm Secure Execution Environment Communicator может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2016-8414
Уязвимость раскрытия информации в звуковом драйвере Qualcomm
Уязвимость раскрытия информации в звуковом драйвере Qualcomm может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений.
CVE-2017-0451
Как обычно, список уязвимостей крайне впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.
Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:
5 февраля
Если ваш смартфон BlackBerry на Android не получил актуального обновления безопасности, пожалуйста, обратитесь к продавцу или оператору для обслуживания или получения информации о доступности релиза.
Сохранить