Opublikowano 5 czerwca 2017 r. | Zaktualizowano 17 sierpnia 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Poziomy aktualizacji zabezpieczeń z 5 czerwca 2017 r. lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali powiadomieni o problemach opisanych w powiadomieniu co najmniej miesiąc temu. Poprawki do kodu źródłowego dotyczące tych problemów zostaną opublikowane w repozytorium projektu Android Open Source (AOSP) i powiązane z tym biuletynie. Ta wiadomość zawiera też linki do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest poważna luka w zabezpieczeniach w MediaFramework, która umożliwia atakującemu zdalnie użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania danych i plików multimedialnych. Ocena poziomu ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby rozwoju lub zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o zabezpieczeniach platformy zabezpieczeń Androida i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Zabezpieczenia Androida i Google Play Protect.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: informacje o najnowszej aktualizacji OTA i obrazu oprogramowania układowego urządzeń Google znajdziesz w sekcji Aktualizacje urządzeń Google.
Ogłoszenia
- Uprościliśmy miesięczny biuletyn na temat bezpieczeństwa, aby ułatwić jego czytanie. W ramach tej aktualizacji informacje o lukach w zabezpieczeniach są kategoryzowane według komponentu, w którym występują, oraz posortowane według nazwy komponentu w ramach poziomu poprawki bezpieczeństwa. Informacje o urządzeniach Google są dostępne w specjalnej sekcji.
- W tym komunikacie znajdują się 2 ciągi znaków poziomu poprawki zabezpieczeń, które dają partnerom Androida elastyczność w szybszym naprawianiu podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z odpowiedziami na najczęstsze pytania:
- 2017-06-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-06-01 (i wszystkimi poprzednimi ciągami znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2017-06-05: pełny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-06-01 i 2017-06-05 (oraz wszystkie poprzednie ciągi znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
Środki zaradcze dotyczące Androida i Google Play Protect
Oto podsumowanie środków zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na urządzeniach z Androidem.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest ona szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Poziom aktualizacji zabezpieczeń z 1.06.2017 r. – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 01.06.2017. Luki są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, typem luki, poważnym oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Bluetooth
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziomy uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | EoP | Umiarkowana | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | ID | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Biblioteki
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie uruchomienie dowolnego kodu w kontekście procesu bez uprawnień przy użyciu specjalnie spreparowanego pliku.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562* | RCE | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553* | RCE | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | RCE | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | RCE | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | ID | Umiarkowana | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | DoS | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Platforma mediów
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić osobie przeprowadzającej atak zdalny użycie specjalnie spreparowanego pliku do spowodowania uszkodzenia pamięci podczas przetwarzania danych i plików multimedialnych.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467* | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051* | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997* | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
interfejs systemu
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu użycie specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście procesu bez uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | RCE | Wysoki | 7.1.1, 7.1.2 |
2017-06-05 poziom poprawki zabezpieczeń – szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 czerwca 2017 r. Luki są grupowane według komponentu, którego dotyczą, i zawierają takie informacje jak CVE, powiązane odniesienia, typ luki, poważność, komponent (w stosownych przypadkach) oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości linkujemy publiczną zmianę, która rozwiązała problem, do identyfikatora błędu, np. do listy zmian AOSP. Jeśli pojedynczy błąd dotyczy wielu zmian, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Komponenty jądra
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220* | EoP | Wysoki | Debuger FIQ |
| CVE-2017-0651 | A-35644815* | ID | Niska | Subsystem ION |
Biblioteki
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie uzyskanie dostępu do informacji poufnych za pomocą specjalnie spreparowanego pliku.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065* | ID | Umiarkowana | 4.4.4 |
Komponenty MediaTek
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230* M-ALPS03162263 |
EoP | Wysoki | Sterownik kolejki poleceń |
| CVE-2017-0649 | A-34468195* M-ALPS03162283 |
EoP | Umiarkowana | Sterownik dźwięku |
Komponenty NVIDIA
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301* N-CVE-2017-6247 |
EoP | Wysoki | Sterownik dźwięku |
| CVE-2017-6248 | A-34372667* N-CVE-2017-6248 |
EoP | Umiarkowana | Sterownik dźwięku |
| CVE-2017-6249 | A-34373711* N-CVE-2017-6249 |
EoP | Umiarkowana | Sterownik dźwięku |
Komponenty Qualcomm
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu z bliskiej odległości wykonanie dowolnego kodu w kontekście jądra.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR#1101054 |
RCE | Krytyczny | Sterownik Bluetooth |
| CVE-2017-7365 | A-32449913 QC-CR#1017009 |
EoP | Wysoki | Program rozruchowy |
| CVE-2017-7366 | A-36252171 QC-CR#1036161 [2] |
EoP | Wysoki | Sterownik GPU |
| CVE-2017-7367 | A-34514708 QC-CR#1008421 |
DoS | Wysoki | Program rozruchowy |
| CVE-2016-5861 | A-36251375 QC-CR#1103510 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2016-5864 | A-36251231 QC-CR#1105441 |
EoP | Umiarkowana | Sterownik dźwięku |
| CVE-2017-6421 | A-36251986 QC-CR#1110563 |
EoP | Umiarkowana | Sterownik ekranu dotykowego MStar |
| CVE-2017-7364 | A-36252179 QC-CR#1113926 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-7368 | A-33452365 QC-CR#1103085 |
EoP | Umiarkowana | Sterownik dźwięku |
| CVE-2017-7369 | A-33751424 QC-CR#2009216 [2] |
EoP | Umiarkowana | Sterownik dźwięku |
| CVE-2017-7370 | A-34328139 QC-CR#2006159 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-7372 | A-36251497 QC-CR#1110068 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-7373 | A-36251984 QC-CR#1090244 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8233 | A-34621613 QC-CR#2004036 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8234 | A-36252121 QC-CR#832920 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8235 | A-36252376 QC-CR#1083323 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8236 | A-35047217 QC-CR#2009606 |
EoP | Umiarkowana | Sterownik IPA |
| CVE-2017-8237 | A-36252377 QC-CR#1110522 |
EoP | Umiarkowana | Czynnik sieciowy |
| CVE-2017-8242 | A-34327981 QC-CR#2009231 |
EoP | Umiarkowana | Sterownik środowiska wykonawczego Secure Execution Environment |
| CVE-2017-8239 | A-36251230 QC-CR#1091603 |
ID | Umiarkowana | Sterownik kamery |
| CVE-2017-8240 | A-36251985 QC-CR#856379 |
ID | Umiarkowana | Sterownik kontrolera przypinania |
| CVE-2017-8241 | A-34203184 QC-CR#1069175 |
ID | Niska | Sterownik Wi-Fi |
Komponenty firmy Synaptics
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziomy uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278* | EoP | Niska | Sterownik ekranu dotykowego |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane szczegółowo w biuletynach o zabezpieczeniach Qualcomm AMSS z lat 2014–2016. Są one zawarte w tym biuletynie o bezpieczeństwie Androida, aby powiązać te poprawki ze stanem aktualizacji zabezpieczeń Androida. Poprawki dotyczące tych luk są dostępne bezpośrednio w firmie Qualcomm.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2014-9961 | A-37279724* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2014-9953 | A-36714770* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2014-9967 | A-37281466* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9026 | A-37277231* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9027 | A-37279124* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9008 | A-36384689* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9009 | A-36393600* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9010 | A-36393101* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9011 | A-36714882* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9024 | A-37265657* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9012 | A-36384691* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9013 | A-36393251* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9014 | A-36393750* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9015 | A-36714120* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2015-9029 | A-37276981* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10338 | A-37277738* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10336 | A-37278436* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10333 | A-37280574* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10341 | A-37281667* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10335 | A-37282802* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10340 | A-37280614* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10334 | A-37280664* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10339 | A-37280575* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10298 | A-36393252* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10299 | A-32577244* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2014-9954 | A-36388559* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9955 | A-36384686* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9956 | A-36389611* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9957 | A-36387564* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9958 | A-36384774* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9962 | A-37275888* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9963 | A-37276741* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9959 | A-36383694* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9964 | A-37280321* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9965 | A-37278233* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9966 | A-37282854* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9023 | A-37276138* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9020 | A-37276742* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9021 | A-37276743* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9025 | A-37276744* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9022 | A-37280226* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9028 | A-37277982* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9031 | A-37275889* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9032 | A-37279125* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9033 | A-37276139* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9030 | A-37282907* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10332 | A-37282801* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10337 | A-37280665* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10342 | A-37281763* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
Aktualizacje urządzeń Google
Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji OTA i obrazu oprogramowania na urządzenia Google. Obrazy oprogramowania układowego urządzeń Google są dostępne na stronie Google dla deweloperów.
| Urządzenie Google | Stan aktualizacji zabezpieczeń |
|---|---|
| Pixel / Pixel XL | 5 czerwca 2017 r. |
| Nexus 5X | 5 czerwca 2017 r. |
| Nexus 6 | 5 czerwca 2017 r. |
| Nexus 6P | 5 czerwca 2017 r. |
| Nexus 9 | 5 czerwca 2017 r. |
| Nexus Player | 5 czerwca 2017 r. |
| Pixel C | 5 czerwca 2017 r. |
Aktualizacje urządzeń Google zawierają też poprawki dla tych podatności na zagrożenia:
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | ID | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
| CVE | badacze, |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | Ecular Xu(Trend Micro) |
| CVE-2017-0645, CVE-2017-0639 | En He (@heeeeen4x) i Bo Liu z MS509Team |
| CVE-2017-0649 | Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0646 | Godzheng (郑文选 -@VirtualSeekers) z Tencent PC Manager |
| CVE-2017-0636 | Jake Corina (@JakeCorina) z zespołu Shellphish Grill |
| CVE-2017-8233 | Jianqiang Zhao (@jianqiangzhao) i pjf z IceSword Lab, Qihoo 360 |
| CVE-2017-7368 | Lubo Zhang (zlbzlb815@163.com), Yuan-Tsung Lo (computernik@gmail.com) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-8242 | Nathan Crandall (@natecray) z zespołu ds. bezpieczeństwa produktów w firmie Tesla |
| CVE-2017-0650 | Omer Shwartz, Amir Cohen, dr Asaf Shabtai i dr Yossi Oren z Cyber Lab Uniwersytetu Ben-Guriona |
| CVE-2017-0648 | Roee Hay (@roeehay), Aleph Research, HCL Technologies |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | sevenshen (@lingtongshen) z TrendMicro |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | Vasily Vasiliev |
| CVE-2017-0640 | V.E.O (@VYSEa) z zespołu ds. reagowania na zagrożenia mobilne, Trend Micro |
| CVE-2017-8236 | Xiling Gong z Departamentu Platformy Bezpieczeństwa Tencent |
| CVE-2017-0647 | Yangkang (@dnpushme) i Liyadong z zespołu Qex, Qihoo 360 |
| CVE-2017-7370 | Yonggang Guo (@guoygang) z IceSword Lab, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0651 | Yuan-Tsung Lo (computernik@gmail.com) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-8241 | Zubin Mithra z Google |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 1 czerwca 2017 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 czerwca 2017 r.
- Poziomy aktualizacji zabezpieczeń z 5 czerwca 2017 r. lub nowsze rozwiązują wszystkie problemy związane ze stanem aktualizacji zabezpieczeń z 5 czerwca 2017 r. i wszystkimi poprzednimi stanami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-06-01]
- [ro.build.version.security_patch]:[2017-06-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu aktualizacji zabezpieczeń z 1 czerwa 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 czerwa 2017 r. lub nowszego, muszą zawierać wszystkie odpowiednie poprawki z tego (i poprzednich) komunikatu bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
5. Co oznacza * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają znak * obok identyfikatora błędu Androida w kolumnie Pliki referencyjne. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie Google Developer.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 czerwca 2017 r. | Biuletyn został opublikowany. |
| 1,1 | 7 czerwca 2017 r. | Biuletyn został zaktualizowany o linki do AOSP. |
| 1,2 | 11 lipca 2017 r. | Biuletyn został zaktualizowany o CVE-2017-6249. |
| 1.3 | 17 sierpnia 2017 r. | W biuletynie dokonano poprawek w numerach referencyjnych. |