BlackBerry начала развертывание мартовского обновления безопасности для Android. В настоящий момент новая версия программного обеспечения уже доступна для смартфонов BlackBerry на базе Android, которые были приобретены непосредственно у BlackBerry.

Новая версия приносит с собой обновление безопасности на 5 марта 2017 года. Как правило, требуется несколько дней, чтобы обновление стало доступным для смартфонов, приобретенных у операторов или в розничных сетях.

Кроме того, BlackBerry выпустила свой бюллетень по безопасности со списком исправлений за март, включенных в этот релиз:

Следующие уязвимости закрыты в этом обновлении.

Уязвимость удаленного выполнения кода в OpenSSL и BoringSSL

Уязвимость удаленного выполнения кода в OpenSSL и BoringSSL может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать повреждение памяти во время обработки файлов и данных.

CVE-2016-2182

Уязвимости удаленного кода в Mediaserver

Уязвимости удаленного кода в Mediaserver могут позволить злоумышленнику использовать специально созданный файл, чтобы вызвать повреждение памяти во время обработки медиафайла и обработки данных.

CVE-2017-0466
CVE-2017-0467
CVE-2017-0468
CVE-2017-0469
CVE-2017-0470
CVE-2017-0471
CVE-2017-0472
CVE-2017-0473

Уязвимость повышения привилегий в верификаторе восстановления

Уязвимость повышения привилегий в верификаторе восстановления может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0475

Уязвимость удаленного выполнения кода в AOSP Messaging

Уязвимость удаленного выполнения кода в AOSP Messaging может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать повреждение памяти во время обработки медиафайла и данных.

CVE-2017-0476

Уязвимость удаленного выполнения кода в библиотеке Framesquence

Уязвимость удаленного выполнения кода в библиотеке Framesquence может позволить злоумышленнику использовать специально созданный файл для выполнения произвольного кода в контексте непривилегированного процесса.

CVE-2017-0478

Уязвимость повышения привилегий в Audioserver

Уязвимость повышения привилегий в Audioserver может позволить локальному злонамеренному приложению выполнять произвольный код в контексте привилегированного процесса.

CVE-2017-0479
CVE-2017-0480

Уязвимость повышения привилегий в NFC

Уязвимость повышения привилегий в NFC может позволить злоумышленнику выполнить произвольный код в контексте привилегированного процесса.

CVE-2017-0481

Уязвимости отказа в обслуживании в Mediaserver

Уязвимости отказа в обслуживании в Mediaserver могут позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание или перезагрузку устройства.

CVE-2017-0482
CVE-2017-0483
CVE-2017-0484
CVE-2017-0485
CVE-2017-0486
CVE-2017-0487
CVE-2017-0488

Уязвимость повышения привилегий в менеджере местоположений

Уязвимость повышения привилегий в менеджере местоположений может позволить локальному злонамеренному приложению обходить защиту операционной системы для получения данных о местоположении.

CVE-2017-0489

Уязвимость повышения привилегий в Wi-Fi

Уязвимость повышения привилегий в Wi-Fi может позволить локальному злонамеренному приложению удалять пользовательские данные.

CVE-2017-0490

Уязвимость повышения привилегий в диспетчере пакетов

Уязвимость повышения привилегий в диспетчере пакетов может позволить локальному злонамеренному приложению запретить пользователям удалять приложения или удалять разрешения приложений.

CVE-2017-0491

Уязвимость раскрытия информации в AOSP Messaging

Уязвимость раскрытия информации в AOSP Messaging может позволить удаленному злоумышленнику использовать специальный созданный файл для доступа к данным за пределами его уровней разрешений.

CVE-2017-0494

Уязвимость раскрытия информации в Mediaserver

Уязвимость раскрытия информации в Mediaserver может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0495

Уязвимость отказ в обслуживании в мастере установки

Уязвимость отказ в обслуживании в мастере установки может позволить локальному вредоносному приложению временно заблокировать доступ к поврежденному устройству.

CVE-2017-0496

Уязвимость отказ в обслуживании в мастере установки

Уязвимость отказ в обслуживании в мастере установки может позволить локальному злоумышленнику выполнить вход в аккаунт Google после сброса настроек.

CVE-2017-0498

Уязвимость отказ в обслуживании в Audioserver

Уязвимость отказ в обслуживании в Audioserver может привести к тому, что локальное вредоносное приложение вызовет зависание или перезагрузку устройства.

CVE-2017-0499

Уязвимость повышения привилегий в подсистеме ядра ION

Уязвимость повышения привилегий в подсистеме ядра ION позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0507
CVE-2017-0508.

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi

Уязвимость повышения привилегий в драйвере Broadcom Wi-Fi может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0509

Уязвимость повышения привилегий в драйвере Qualcomm GPU

Уязвимость повышения привилегий в драйвере Qualcomm GPU может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-8479

Уязвимость повышения привилегий в подсистеме ядра

Уязвимость повышения привилегий в сетевой подсистеме ядра позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-9806
CVE-2016-10200

Уязвимость в компонентах Qualcomm

Уязвимость в компоненте Qualcomm, приводящая к повышению привилегий и раскрытию информации.

CVE-2016-8484

Уязвимость повышения привилегий в подсистеме ядра

Уязвимость повышения привилегий в сетевой подсистеме ядра позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-8655
CVE-2016-9793

Уязвимость повышения привилегий в драйвере оборудования ввода Qualcomm

Уязвимость повышения привилегий в аппаратном драйвере ввода Qualcomm может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0516

Уязвимость повышения привилегий в драйвере Qualcomm ADSPRPC

Уязвимость повышения привилегий в драйвере Qualcomm ADSPRPC позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0457

Уязвимость повышения привилегий в драйвере датчика отпечатков пальцев Qualcomm

Уязвимость повышения привилегий в драйвере датчика отпечатков пальцев Qualcomm может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0518
CVE-2017-0519

Уязвимость повышения привилегий в драйвере Qualcomm Crypto Engine

Уязвимость повышения привилегий в драйвере криптопроцессора Qualcomm позволяет локальному злонамеренному приложению выполнить произвольный код в контексте ядра.

CVE-2017-0520

Уязвимость повышения привилегий в драйвере камеры Qualcomm

Уязвимость повышения привилегий в драйвере камеры Qualcomm позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0458
CVE-2017-0521

Уязвимость повышения привилегий в драйвере Qualcomm Wi-Fi

Уязвимость повышения привилегий в драйвере Qualcomm Wi-Fi позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0464
CVE-2017-0453
CVE-2017-0523

Уязвимость повышения привилегий в драйвере Synaptics Touchscreen

Уязвимость повышения привилегий в драйвере сенсорного экрана Synaptics может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0524

Уязвимость повышения привилегий в драйвере Qualcomm IPA

Уязвимость повышения привилегий в драйвере Qualcomm IPA может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0456
CVE-2017-0525

Уязвимость повышения привилегий в драйвере Qualcomm Networking

Уязвимость повышения привилегий в сетевом драйвере Qualcomm может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2017-0463
CVE-2017-0460

Уязвимость повышения привилегий в драйвере Qualcomm SPCom

Уязвимость повышения привилегий в драйвере Qualcomm SPCom позволяет локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-5856

Уязвимость раскрытия информации в загрузчике Qualcomm

Уязвимость раскрытия информации в загрузчике Qualcomm может помочь локальному злонамеренному приложению выполнить произвольный код в контексте загрузчика.

CVE-2017-0455

Уязвимость раскрытия информации в драйвере питания Qualcomm

Уязвимость раскрытия информации в драйвере питания Qualcomm, может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2016-8483

Уязвимость отказ в обслуживании в криптографической подсистеме ядра

Уязвимость отказ в обслуживании в криптографической подсистеме ядра позволяет удаленному злоумышленнику использовать специально созданный сетевой пакет, чтобы вызвать зависание или перезагрузку устройства.

CVE-2016-8650

Уязвимость повышения привилегий в драйвере камеры Qualcomm

Уязвимость повышения привилегий в драйвере камеры Qualcomm может позволить локальному злонамеренному приложению выполнять произвольный код в контексте ядра.

CVE-2016-8417

Уязвимости раскрытия информации в драйвере Qualcomm Wi-Fi

Уязвимости раскрытия информации в драйвере Qualcomm Wi-Fi могут позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0461
CVE-2017-0459
CVE-2017-0531

Уязвимости раскрытия информации в видеорекордере Qualcomm

Уязвимости раскрытия информации в видеорекордере Qualcomm могут позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0533
CVE-2017-0534
CVE-2016-8416
CVE-2016-8478

Уязвимости раскрытия информации в драйвере камеры Qualcomm

Уязвимости раскрытия информации в драйвере камеры Qualcomm могут позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2016-8413
CVE-2016-8477

Уязвимость раскрытия информации в драйвере Synaptics Touchscreen

Уязвимость раскрытия информации в драйвере сенсорного экрана Synaptics может позволить локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0536

Уязвимость раскрытия информации в драйвере Kernel USB Gadget

Уязвимость раскрытия информации в драйвере Kernel USB Gadget позволяет локальному злонамеренному приложению получать доступ к данным за пределами его уровней разрешений.

CVE-2017-0537

Уязвимость раскрытия информации в драйвере камеры Qualcomm

Уязвимость раскрытия информации в драйвере камеры Qualcomm, может позволить локальному злонамеренному приложению получать доступ к данным за пределами его разрешений.

CVE-2017-0452

На этот раз, список уязвимостей особенно впечатляющий, но нужно отметить, что до публикации Google ежемесячного бюллетеня по безопасности Android, о них знали немногие специалисты, разбирающиеся в Android на уровне разработчика операционной системы. Теперь же, эти уязвимости известны всем, но пройдет от нескольких дней, но нескольких месяцев, прежде чем эти уязвимости будут закрыты другими производителями Android устройств.

Для того, чтобы определить, актуальность обновления безопасности перейдите в Настройки> О телефона. Посмотрите на уровень патча безопасности Android:

5 марта

Если ваш смартфон BlackBerry на Android не получил актуального обновления безопасности, пожалуйста, обратитесь к продавцу или оператору для обслуживания или получения информации о доступности релиза.