Opublikowano 5 lipca 2017 r. | Zaktualizowano 26 września 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Poziomy poprawek zabezpieczeń z 5 lipca 2017 r. lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali poinformowani o problemach opisanych w biuletynie co najmniej miesiąc temu. Poprawki do kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i połączone z tym biuletynem. Ten biuletyn zawiera też linki do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach w ramach frameworku multimediów, która umożliwia atakującemu zdalnie uruchomienie dowolnego kodu w kontekście uprzywilejowanego procesu za pomocą specjalnie spreparowanego pliku. Ocena poziomu ważności jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby rozwoju lub zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Szczegółowe informacje o zabezpieczeniach platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Zabezpieczenia Androida i Google Play Protect.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: informacje o najnowszej aktualizacji OTA i obrazu oprogramowania urządzeń Google znajdziesz w sekcji Aktualizacje urządzeń Google.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków poziomu poprawki zabezpieczeń, które dają partnerom Androida elastyczność w szybszym naprawianiu podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Aby uzyskać więcej informacji, zapoznaj się z odpowiedziami na najczęstsze pytania:
- 2017-07-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-07-01 (i wszystkimi poprzednimi ciągami znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
- 2017-07-05: pełny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-07-01 i 2017-07-05 (oraz wszystkie poprzednie ciągi znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
Środki zaradcze dotyczące Androida i Google Play Protect
Oto podsumowanie środków zapobiegawczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest ona szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Poziom aktualizacji zabezpieczeń z 01.07.2017 – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-07-01. Luki są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, typem luki, poważnym oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Środowisko wykonawcze
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście procesu bez uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | RCE | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji korzystanie ze specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście aplikacji, która korzysta z biblioteki.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | EoP | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | EoP | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | ID | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | ID | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Biblioteki
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście aplikacji korzystającej z biblioteki.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762* | RCE | Wysoki | 4.4.4 |
| CVE-2016-2109 | A-35443725 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-34778578 | DoS | Wysoki | 7.0, 7.1.1, 7.1.2 |
Platforma mediów
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [2] | RCE | Krytyczny | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | RCE | Krytyczny | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422* | RCE | Wysoki | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008* | RCE | Wysoki | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | EoP | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | DoS | Wysoki | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
interfejs systemu
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | RCE | Wysoki | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [2] | RCE | Wysoki | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | RCE | Wysoki | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | EoP | Umiarkowana | 7.1.1, 7.1.2 |
Poziom aktualizacji zabezpieczeń z 05.07.2017 – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 lipca 2017 r. Luki są grupowane według komponentu, którego dotyczą, i zawierają takie informacje jak CVE, powiązane odniesienia, typ luki, poważność, komponent (w stosownych przypadkach) oraz zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, na przykład z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Komponenty Broadcom
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu z bliskiej odległości wykonanie dowolnego kodu w kontekście jądra.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027* B-RB#123023 |
RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-0705 | A-34973477* B-RB#119898 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-0706 | A-35195787* B-RB#120532 |
EoP | Umiarkowana | Sterownik Wi-Fi |
Komponenty HTC
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467* | EoP | Umiarkowana | Sterownik LED |
| CVE-2017-0708 | A-35384879* | ID | Umiarkowana | Sterownik dźwięku |
| CVE-2017-0709 | A-35468048* | ID | Niska | Sterownik modułu czujników |
Komponenty jądra
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 Upstream kernel |
EoP | Wysoki | Sieciowy podsystem |
| CVE-2017-5970 | A-35805460 Upstream kernel |
DoS | Wysoki | Sieciowy podsystem |
| CVE-2015-5707 | A-35841297 Kernel upstream [2] |
EoP | Umiarkowana | Sterownik SCSI |
| CVE-2017-7308 | A-36725304 Kernel upstream [2] [3] |
EoP | Umiarkowana | Czynnik sieciowy |
| CVE-2014-9731 | A-35841292 Upstream kernel |
ID | Umiarkowana | System plików |
Komponenty MediaTek
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953* M-ALPS03206781 |
EoP | Wysoki | Czynnik sieciowy |
Komponenty NVIDIA
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204* N-CVE-2017-0340 |
EoP | Wysoki | Libnvparser |
| CVE-2017-0326 | A-33718700* N-CVE-2017-0326 |
ID | Umiarkowana | Sterownik wideo |
Komponenty Qualcomm
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 |
EoP | Wysoki | Program rozruchowy |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 |
EoP | Wysoki | Program rozruchowy |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 |
EoP | Wysoki | Sterownik kamery |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 |
EoP | Wysoki | Sterownik GPU |
| CVE-2017-8263 | A-34126808* QC-CR#1107034 |
EoP | Wysoki | Anonimowy podsystem współdzielonej pamięci |
| CVE-2017-8267 | A-34173755* QC-CR#2001129 |
EoP | Wysoki | Anonimowy podsystem współdzielonej pamięci |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [2] |
EoP | Wysoki | Program rozruchowy |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 |
EoP | Umiarkowana | Sterownik USB HID |
| CVE-2017-8243 | A-34112490* QC-CR#2001803 |
EoP | Umiarkowana | Sterownik SoC |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 |
EoP | Umiarkowana | Sterownik dźwięku |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 |
EoP | Umiarkowana | Sterownik SoC |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8264 | A-33299365* QC-CR#1107702 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8268 | A-34620535* QC-CR#2002207 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8270 | A-35468665* QC-CR#2021363 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-8271 | A-35950388* QC-CR#2028681 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8272 | A-35950805* QC-CR#2028702 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8254 | A-36252027 QC-CR#832914 |
ID | Umiarkowana | Sterownik dźwięku |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 |
ID | Umiarkowana | Sterownik kamery |
| CVE-2017-8269 | A-33967002* QC-CR#2013145 |
ID | Umiarkowana | Sterownik IPA |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane szczegółowo w biuletynach o zabezpieczeniach Qualcomm AMSS z lat 2014–2016. Są one uwzględnione w tym biuletynie o zabezpieczeniach Androida, aby umożliwić powiązanie ich z poziomem aktualizacji zabezpieczeń Androida. Poprawki dotyczące tych luk w zabezpieczeniach są dostępne bezpośrednio w firmie Qualcomm.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9968 | A-37304413* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9973 | A-37470982* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9974 | A-37471979* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9975 | A-37471230* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9977 | A-37471087* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9978 | A-37468982* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9979 | A-37471088* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2014-9980 | A-37471029* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-0575 | A-37296999* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-8592 | A-37470090* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-8595 | A-37472411* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-8596 | A-37472806* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9034 | A-37305706* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9035 | A-37303626* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9036 | A-37303519* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9037 | A-37304366* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9038 | A-37303027* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9039 | A-37302628* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9040 | A-37303625* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9041 | A-37303518* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9042 | A-37301248* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9043 | A-37305954* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9044 | A-37303520* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9045 | A-37302136* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9046 | A-37301486* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9047 | A-37304367* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9048 | A-37305707* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9049 | A-37301488* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9050 | A-37302137* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9051 | A-37300737* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9052 | A-37304217* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9053 | A-37301249* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9054 | A-37303177* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9055 | A-37472412* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9060 | A-37472807* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9061 | A-37470436* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9062 | A-37472808* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9067 | A-37474000* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9068 | A-37470144* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9069 | A-37470777* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9070 | A-37474001* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9071 | A-37471819* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9072 | A-37474002* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2015-9073 | A-37473407* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10343 | A-32580186* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10344 | A-32583954* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10346 | A-37473408* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10347 | A-37471089* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10382 | A-28823584* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10383 | A-28822389* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10388 | A-32580294* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-10391 | A-32583804* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-5871 | A-37473055* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2016-5872 | A-37472809* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
Aktualizacje urządzeń Google
Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji OTA i obrazu oprogramowania na urządzenia Google. Obrazy oprogramowania układowego urządzeń Google są dostępne na stronie Google dla deweloperów.
| Urządzenie Google | Stan aktualizacji zabezpieczeń |
|---|---|
| Pixel / Pixel XL | 5 lipca 2017 r. |
| Nexus 5X | 5 lipca 2017 r. |
| Nexus 6 | 5 lipca 2017 r. |
| Nexus 6P | 5 lipca 2017 r. |
| Nexus 9 | 5 lipca 2017 r. |
| Nexus Player | 5 lipca 2017 r. |
| Pixel C | 5 lipca 2017 r. |
Aktualizacje urządzeń Google zawierają też poprawki dla tych podatności na zagrożenia:
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864* | EoP | Umiarkowana | TCB |
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
| CVE | badacze, |
|---|---|
| CVE-2017-8263 | Billy Lau z Google |
| CVE-2017-0711 | Chengming Yang, Baozeng Ding i Yang Song z grupy Alibaba Mobile Security Group |
| CVE-2017-0681 | Chi Zhang, Hanxiang Wen, Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0706 | Daxing Guo (@freener0) z Xuanwu Lab, Tencent |
| CVE-2017-8260 | Derrek (@derrekr6) i Scott Bauer |
| CVE-2017-8265 | Di Shen (@returnsme) z KeenLab (@keen_lab), Tencent |
| CVE-2017-0703 | Dzmitry Lukyanenka |
| CVE-2017-0692, CVE-2017-0694 | Elphet i Gong Guang z Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665 | Chi Zhang, Hanxiang Wen, Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-8268, CVE-2017-8261 | Jianqiang Zhao (@jianqiangzhao) i pjf z IceSword Lab, Qihoo 360 |
| CVE-2017-0698 | Joey Brand of Census Consulting Inc. |
| CVE-2017-0666, CVE-2017-0684 | Mingjian Zhou (@Mingjian_Zhou), Chi Zhang i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 (@jiych_guru) |
| CVE-2017-9417 | Nitay Artenstein z Exodus Intelligence |
| CVE-2017-0705, CVE-2017-8259 | Scott Bauer |
| CVE-2017-0667 | Timothy Becker z CSS Inc. |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | Vasily Vasiliev |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE-2017-0674, CVE-2017-0677 | V.E.O (@VYSEa) z zespołu ds. reagowania na zagrożenia mobilne, Trend Micro |
| CVE-2017-0708 | Xiling Gong z Departamentu Platformy Bezpieczeństwa Tencent |
| CVE-2017-0690 | Yangkang (@dnpushme) i Liyadong z zespołu Qihoo 360 Qex |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Yonggang Guo (@guoygang) z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | Yuan-Tsung Lo (computernik@gmail.com) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0704, CVE-2017-0669 | Yuxiang Li (@Xbalien29) z Departamentu Platformy Bezpieczeństwa Tencent |
| CVE-2017-0710 | Zach Riggle (@ebeip90) z zespołu ds. bezpieczeństwa Androida |
| CVE-2017-0678 | Zinuo Han z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691, CVE-2017-0700 | Zinuo Han z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. i Ao Wang (@ArayzSegment) z zespołu Pangu |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 1 lipca 2017 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 lipca 2017 r.
- Poziomy aktualizacji zabezpieczeń z 2017-07-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-07-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia, które korzystają z poziomu zabezpieczeń z 1 lipca 2017 r., muszą zawierać wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 lipca 2017 r. lub nowszego, muszą zawierać wszystkie odpowiednie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie Google Developer.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 lipca 2017 r. | Biuletyn został opublikowany. |
| 1,1 | 6 lipca 2017 r. | Biuletyn został zaktualizowany o linki do AOSP. |
| 1,2 | 11 lipca 2017 r. | W powiadomieniu wprowadzono poprawki dotyczące potwierdzenia. |
| 1.3 | 17 sierpnia 2017 r. | W biuletynie dokonano poprawek w numerach referencyjnych. |
| 1,4 | 19 września 2017 r. | Zaktualizowano podziękowania w przypadku CVE-2017-0710. |
| 1,5 | 26 września 2017 r. | Zaktualizowano informacje o powiadomieniach w przypadku CVE-2017-0681. |