BlackBerry выпустила патч безопасности Android на август 2016

BlackBerry выпустила патч безопасности Android на август 2016 г. (AAF960), в котором кроме очередных исправлений в Android Marshmallow, были устранены некоторые уязвимости для BlackBerry Priv и нового смартфона BlackBerry DTEK.

Следующие уязвимости были закрыты в этом обновлении:

• Удаленное выполнение кода в Mediaserver — во время воспроизведения медиа-файла и обработки данных специально сформированного файла, уязвимость в MediaServer может позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода, как процесса Mediaserver. Уязвимая функциональность является основной частью операционной системы, и есть несколько приложений, которые позволяют эксплуатировать эту уязвимость, в первую очередь MMS-браузер и воспроизведение медиа
• Удаленное выполнение кода в libjhead — уязвимость удаленного выполнения кода в libjhead может позволить злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте непривилегированного процесса
• Повышение привилегий в Mediaserver — уязвимость повышения привилегий в MediaServer может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса
• Отказ в обслуживании в Mediaserver — уязвимость отказ в обслуживании в MediaServer может позволить злоумышленнику использовать специально созданный файл, чтобы вызвать зависание устройства или его перезагрузку
• Отказ в обслуживании системных часов — уязвимость отказ в обслуживании в системных часах может позволить удаленному злоумышленнику аварийно завершить работу устройства
• Повышение привилегий в Framework API — уязвимость повышения привилегий в Framework API может позволить локальному вредоносному приложению обойти защиту операционной системы, которая изолирует данные приложения от других приложений
• Повышение привилегий в Shell — уязвимость повышения привилегий в Shell может позволить локальному вредоносному приложению обойти ограничения устройства, такие как ограничения пользователей
• Раскрытие информации в API-интерфейсе камеры — уязвимость раскрытия информации в API-интерфейсе камеры может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Раскрытие информации в Mediaserver — уязвимость раскрытия информации в Mediaserver может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Раскрытие информации в SurfaceFlinger — уязвимость раскрытия информации в SurfaceFlinger может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Раскрытие информации в Wi-Fi — уязвимость раскрытия информации в Wi-Fi может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Отказ в обслуживании в системном интерфейсе — уязвимость отказ в обслуживании в системном интерфейсе может позволить локальному вредоносному приложению предотвратить вызов службы 911 с заблокированного экрана
• Отказ в обслуживании в Bluetooth — уязвимость отказ в обслуживании в Bluetooth может позволить локальному вредоносному приложению предотвратить вызов службы 911 с Bluetooth устройств
• Удаленное выполнение кода в Conscrypt — уязвимость удаленного выполнения кода в Conscrypt может позволить удаленному злоумышленнику выполнить произвольный код в контексте привилегированного процесса
• Удаленное выполнение кода в Kernel Networking Component — уязвимость удаленного выполнения кода в Kernel Networking Component может позволить локального вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в драйвере Qualcomm GPU — уязвимость повышения привилегий в драйвере Qualcomm GPU может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в Qualcomm Performance Component — уязвимость повышения привилегий в Qualcomm Performance Component может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в ядре — уязвимость повышения привилегий в ядре может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в звуковом компоненте ядра — уязвимость повышения привилегий в звуковом компоненте ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в ION Driver — уязвимость повышения привилегий в ION Driver может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в Qualcomm Bootloader — уязвимость повышения привилегий в Qualcomm Bootloader может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Повышение привилегий в подсистеме производительности ядра — уязвимость повышения привилегий в подсистеме производительности ядра может позволить локальному вредоносному приложению выполнить произвольный код в контексте ядра
• Раскрытие информации в Kernel Scheduler — уязвимость раскрытия информации в планировщике ядра может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Раскрытие информации в драйвере USB — уязвимость раскрытия информации в драйвере USB может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Повышение привилегий в Google Play Services — уязвимость повышения привилегий в Google Play Services может позволить локальному злоумышленнику обойти Factory Reset Protection и получить доступ к устройству
• Повышение привилегий в Framework API — уязвимость повышения привилегий в Framework API может позволить предустановленному приложению, увеличить свой приоритет и обновляться без уведомления пользователя
• Раскрытие информации в Kernel Networking Component — уязвимость раскрытия информации в Kernel Networking Component может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Раскрытие информации в Kernel Sound Component — уязвимость раскрытия информации в Kernel Sound Component может позволить локальному вредоносному приложению получить доступ к данным вне его уровней разрешений
• Уязвимость в Qualcomm Components — уязвимость в тепловом драйвере может позволить локальному вредоносному приложению вызвать повреждение памяти, что может привести к временному отказу в обслуживании

Инструкция по установке обновления ПО на вашем смартфоне BlackBerry Priv:

1. Подключитесь к сети Wi-Fi перед загрузкой обновления
2. Посмотрите на предупреждение обновлений в верхней шторке телефона. Вы также можете проверить наличие обновлений программного обеспечения, перейдя в Настройки -> О телефоне-> Обновление системы и нажав кнопку «Проверить обновления»
3. Нажмите на обновление, чтобы оно скачалось в фоновом режиме. Вы можете продолжать использовать смартфон, в то время как он обновляется
4. Перезагрузите телефон, чтобы завершить процесс установки.

BlackBerry® Priv — обсуждение и отзывы