Опубликован 4 декабря 2017 г. | Обновлен 6 декабря 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройств Google). Все проблемы, перечисленные здесь, устранены в исправлении системы безопасности 2017-12-05 или более новых. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Поддерживаемые устройства Google получат обновление системы безопасности 2017-12-05. Мы рекомендуем всем пользователям установить эти обновления.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Исправления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13154 | A-63666573 | EoP | Высокий | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0879 | A-65025028 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13149 | A-65719872 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13150 | A-38328132 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13152 | A-62872384 | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Компоненты Broadcom
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13161 | A-63930471* BC-V2017092501 |
EoP | Средний | Нет данных |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13167 | A-37240993* | EoP | Высокий | Таймер со звуком |
| CVE-2017-13163 | A-37429972* | EoP | Средний | USB-драйвер для протокола MTP |
| CVE-2017-15868 | A-33982955 Upstream kernel |
EoP | Средний | Драйвер для беспроводных сетей |
| CVE-2017-13165 | A-31269937* | EoP | Средний | Файловая система |
| CVE-2017-13166 | A-34624167* | EoP | Средний | Видеодрайвер V4L2 |
| CVE-2017-1000380 | A-64217740 Upstream kernel |
EoP | Средний | Драйвер таймера со звуком |
| CVE-2017-13168 | A-65023233* | EoP | Средний | SCSI-драйвер |
| CVE-2017-13169 | A-37512375* | ID | Средний | CameraServer |
| CVE-2017-13164 | A-36007193* | ID | Средний | Драйвер Binder |
Компоненты MediaTek
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13172 | A-36493287* M-ALPS03495791 |
EoP | Средний | Драйвер Bluetooth |
Компоненты NVIDIA
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6280 | A-63851980* N-CVE-2017-6280 |
ID | Средний | Драйвер NVIDIA |
| CVE-2017-13175 | A-64339309* N-CVE-2017-13175 |
ID | Средний | Libwilhelm |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9708 | A-62674846* QC-CR#2081806 |
EoP | Средний | Ядро |
| CVE-2017-11042 | A-38232268* QC-CR#2070438 |
EoP | Средний | Binder |
| CVE-2017-11030 | A-64431967 QC-CR#2034255 [2] |
EoP | Средний | Экран |
| CVE-2017-9703 | A-34329758* QC-CR#2038086 |
EoP | Средний | Видеодрайвер |
| CVE-2017-9718 | A-36386076* QC-CR#2045918 |
EoP | Средний | Ядро |
| CVE-2017-8244 | A-35138888* QC-CR#2013361 |
EoP | Средний | Драйвер Debugfs |
| CVE-2017-14901 | A-65468984 QC-CR#2059714 |
EoP | Средний | WLAN |
| CVE-2017-9698 | A-63868678 QC-CR#2023860 |
EoP | Средний | Графика |
| CVE-2017-9700 | A-63868780 QC-CR#2043822 |
EoP | Средний | Аудио |
| CVE-2017-9722 | A-64453224 QC-CR#2034239 [2] |
EoP | Средний | Экран |
| CVE-2017-11049 | A-64728945 QC-CR#2034909 |
EoP | Средний | Экран |
| CVE-2017-11047 | A-64728948 QC-CR#2057285 |
EoP | Средний | Экран |
| CVE-2017-14898 | A-65468978 QC-CR#2054748 |
EoP | Средний | WLAN |
| CVE-2017-14899 | A-65468980 QC-CR#2054752 |
EoP | Средний | WLAN |
| CVE-2017-11044 | A-65468989 QC-CR#2063166 |
EoP | Средний | Графика |
| CVE-2017-11045 | A-65468993 QC-CR#2060377 [2] |
EoP | Средний | Камера |
| CVE-2017-14900 | A-65468983 QC-CR#2058468 |
EoP | Средний | WLAN |
| CVE-2017-9710 | A-63868933 QC-CR#2023883 |
EoP | Средний | Данные HLOS |
| CVE-2017-11019 | A-64453105 QC-CR#2030638 |
EoP | Средний | Экран |
| CVE-2017-11016 | A-64453423 QC-CR#2038685 |
EoP | Средний | Аудио |
| CVE-2017-11033 | A-64453422 QC-CR#2031930 [2] |
EoP | Средний | Ядро |
| CVE-2017-14896 | A-65468975 QC-CR#2013716 |
EoP | Средний | Драйвер GUD mobicore |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
ID | Средний | Драйвер DCI |
| CVE-2017-14903 | A-63522505* QC-CR#2088768 |
ID | Средний | WLAN |
| CVE-2017-11031 | A-64442463 QC-CR#2059181 |
ID | Средний | Экран |
| CVE-2017-14905 | A-37719782 QC-CR#2061251 |
ID | Средний | Беспроводная сеть |
Компоненты Qualcomm с закрытым исходным кодом
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-14907 | A-62212113* | Н/Д | Критический | Закрытый компонент |
| CVE-2016-5341 | A-63983006* | Н/Д | Средний | Компонент с закрытым исходным кодом |
| CVE-2017-9709 | A-65944335* | Н/Д | Средний | Закрытый компонент |
| CVE-2017-15813 | A-63979947* | Н/Д | Средний | Закрытый компонент |
Улучшения функциональных возможностей
Поддерживаемые устройства Google получат обновление системы до Android 8.1 вместе с беспроводным обновлением в декабре. В эту версию входят улучшения функциональных возможностей и исправления различных компонентов платформы Android.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2017-12-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-12-05 и всем предыдущим исправлениям. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, например перечисленные здесь, для достижения уровня исправления необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 4 декабря 2017 г. | Бюллетень опубликован. |
| 1.1 | 5 декабря 2017 г. | Добавлена ссылка на образы встроенного ПО и информация об обновлениях функциональных возможностей. |
| 1.2 | 6 декабря 2017 г. | Добавлены ссылки на AOSP. |