منتشر شده در 5 سپتامبر 2017 | به روز شده در 5 اکتبر 2017
بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. سطوح وصله امنیتی 05 سپتامبر 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه بهروزرسانی Pixel و Nexus مراجعه کنید.
شرکا حداقل یک ماه پیش از مسائلی که در بولتن توضیح داده شده است مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.
شدیدترین این مسائل یک آسیبپذیری با شدت بحرانی در چارچوب رسانه است که میتواند یک مهاجم راه دور را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و تخفیفهای سرویس برای اهداف توسعه خاموش شدهاند یا در صورت دور زدن موفقیتآمیز انجام شوند.
ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.
ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
توجه: اطلاعات مربوط به آخرین بهروزرسانی خارج از هوا (OTA) و تصاویر میانافزار دستگاههای Google در بخش بهروزرسانیهای دستگاه Google موجود است.
اطلاعیه ها
- این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطافپذیری برای رفع سریعتر زیرمجموعهای از آسیبپذیریها را که در همه دستگاههای Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسشها و پاسخهای رایج مراجعه کنید:
- 01/09/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان میدهد که تمام مشکلات مرتبط با 01/09/2017 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
- 05/09/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان میدهد که تمام مسائل مرتبط با 2017-09-01 و 2017-09-05 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائه شده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیشفرض در دستگاههای دارای سرویسهای Google Mobile فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است.
سطح وصله امنیتی 01/09/2017—جزئیات آسیب پذیری
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-09-2017 اعمال میشود، ارائه میکنیم. آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیبپذیری ، شدت و نسخههای بهروزرسانیشده AOSP (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
چارچوب
شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا الزامات تعامل کاربر را برای دسترسی به مجوزهای اضافی دور بزند.
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [ 2 ] | EoP | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
کتابخانه ها
شدیدترین آسیبپذیری در این بخش میتواند یک مهاجم از راه دور را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند.
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-0753 | الف-62218744 | RCE | بالا | 7.1.1، 7.1.2، 8.0 |
| CVE-2017-6983 | الف-63852675 | RCE | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0755 | الف-32178311 | EoP | بالا | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
چارچوب رسانه ای
شدیدترین آسیبپذیری در این بخش میتواند یک مهاجم از راه دور را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-0756 | الف-34621073 | RCE | بحرانی | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0757 | A-36006815 | RCE | بحرانی | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0758 | الف-36492741 | RCE | بحرانی | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0759 | الف-36715268 | RCE | بحرانی | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0760 | الف-37237396 | RCE | بحرانی | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0761 | الف-38448381 | RCE | بحرانی | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0762 | الف-62214264 | RCE | بحرانی | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0763 | الف-62534693 | RCE | بحرانی | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0764 | A-62872015 | RCE | بحرانی | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0765 | الف-62872863 | RCE | بحرانی | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0766 | الف-37776688 | RCE | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0767 | A-37536407 [ 2 ] | EoP | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0768 | A-62019992 | EoP | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0769 | الف-37662122 | EoP | بالا | 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0770 | الف-38234812 | EoP | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0771 | الف-37624243 | DoS | بالا | 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0772 | الف-38115076 | DoS | بالا | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0773 | الف-37615911 | DoS | بالا | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0774 | A-62673844 [ 2 ] | DoS | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0775 | الف-62673179 | DoS | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0776 | A-38496660 | شناسه | در حد متوسط | 7.0، 7.1.1، 7.1.2، 8.0 |
| DoS | بالا | 6.0.1 | ||
| CVE-2017-0777 | الف-38342499 | شناسه | در حد متوسط | 7.0، 7.1.1، 7.1.2 |
| DoS | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | ||
| CVE-2017-0778 | الف-62133227 | شناسه | در حد متوسط | 7.0، 7.1.1، 7.1.2 |
| DoS | بالا | 5.0.2، 5.1.1، 6.0، 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [ 2 ] | شناسه | در حد متوسط | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
زمان اجرا
شدیدترین آسیبپذیری در این بخش میتواند یک مهاجم از راه دور را با استفاده از یک فایل ساختهشده خاص فعال کند تا برنامه را متوقف کند.
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-0780 | الف-37742976 | DoS | بالا | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
سیستم
شدیدترین آسیب پذیری در این بخش می تواند یک مهاجم نزدیک را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند.
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [ 2 ] | RCE | بحرانی | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0782 | A-63146237 [ 2 ] [ 3 ] | RCE | بحرانی | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0783 | الف-63145701 | شناسه | بالا | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
| CVE-2017-0784 | الف-37287958 | EoP | در حد متوسط | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 |
| CVE-2017-0785 | الف-63146698 | شناسه | در حد متوسط | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
سطح وصله امنیتی 05/09/2017—جزئیات آسیب پذیری
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۵-۰۹-۲۰۱۷ اعمال میشوند، ارائه میکنیم. آسیبپذیریها تحت مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیبپذیری ، شدت ، مؤلفه (در صورت لزوم)، و نسخههای بهروزرسانیشده AOSP (در صورت لزوم) میشوند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
اجزای Broadcom
شدیدترین آسیبپذیری در این بخش میتواند یک مهاجم نزدیک را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409 * B-V2017061204 | RCE | بحرانی | درایور وای فای |
| CVE-2017-11121 | A-62576413 * B-V2017061205 | RCE | بحرانی | درایور وای فای |
| CVE-2017-7065 | A-62575138 * B-V2017061202 | RCE | بحرانی | درایور وای فای |
| CVE-2017-0786 | A-37351060 * B-V2017060101 | EoP | بالا | درایور وای فای |
| CVE-2017-0787 | A-37722970 * B-V2017053104 | EoP | در حد متوسط | درایور وای فای |
| CVE-2017-0788 | A-37722328 * B-V2017053103 | EoP | در حد متوسط | درایور وای فای |
| CVE-2017-0789 | A-37685267 * B-V2017053102 | EoP | در حد متوسط | درایور وای فای |
| CVE-2017-0790 | A-37357704 * B-V2017053101 | EoP | در حد متوسط | درایور وای فای |
| CVE-2017-0791 | A-37306719 * B-V2017052302 | EoP | در حد متوسط | درایور وای فای |
| CVE-2017-0792 | A-37305578 * B-V2017052301 | شناسه | در حد متوسط | درایور وای فای |
اجزای Imgtk
شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا به داده های خارج از سطوح مجوز دسترسی پیدا کند.
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946 * | شناسه | بالا | زیر سیستم حافظه |
اجزای هسته
شدیدترین آسیبپذیری در این بخش میتواند یک مهاجم از راه دور را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-8890 | الف-38413975 هسته بالادست | RCE | بحرانی | زیر سیستم شبکه |
| CVE-2017-9076 | الف-62299478 هسته بالادست | EoP | بالا | زیر سیستم شبکه |
| CVE-2017-9150 | A-62199770 هسته بالادست | شناسه | بالا | هسته لینوکس |
| CVE-2017-7487 | A-62070688 هسته بالادست | EoP | بالا | درایور پروتکل IPX |
| CVE-2017-6214 | الف-37901268 هسته بالادست | DoS | بالا | زیر سیستم شبکه |
| CVE-2017-6346 | الف-37897645 هسته بالادست | EoP | بالا | هسته لینوکس |
| CVE-2017-5897 | الف-37871211 هسته بالادست | شناسه | بالا | زیر سیستم شبکه |
| CVE-2017-7495 | A-62198330 هسته بالادست | شناسه | بالا | سیستم فایل |
| CVE-2017-7616 | الف-37751399 هسته بالادست | شناسه | در حد متوسط | هسته لینوکس |
| CVE-2017-12146 | الف-35676417 هسته بالادست | EoP | در حد متوسط | هسته لینوکس |
| CVE-2017-0794 | A-35644812 * | EoP | در حد متوسط | درایور SCSI |
اجزای مدیاتک
شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند.
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473 * M-ALPS03361480 | EoP | بالا | درایور آشکارساز لوازم جانبی |
| CVE-2017-0796 | A-62458865 * M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 | EoP | بالا | درایور AUXADC |
| CVE-2017-0797 | A-62459766 * M-ALPS03353854 | EoP | بالا | درایور آشکارساز لوازم جانبی |
| CVE-2017-0798 | A-36100671 * M-ALPS03365532 | EoP | بالا | هسته |
| CVE-2017-0799 | A-36731602 * M-ALPS03342072 | EoP | بالا | Lastbus |
| CVE-2017-0800 | A-37683975 * M-ALPS03302988 | EoP | بالا | TEEI |
| CVE-2017-0801 | A-38447970 * M-ALPS03337980 | EoP | بالا | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120 * M-ALPS03384818 | EoP | در حد متوسط | هسته |
| CVE-2017-0803 | A-36136137 * M-ALPS03361477 | EoP | در حد متوسط | درایور آشکارساز لوازم جانبی |
| CVE-2017-0804 | A-36274676 * M-ALPS03361487 | EoP | در حد متوسط | درایور MMC |
قطعات کوالکام
شدیدترین آسیبپذیری در این بخش میتواند یک مهاجم از راه دور را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225 * QC-CR#2053101 | RCE | بحرانی | LibOmxVenc |
| CVE-2017-10996 | A-38198574 QC-CR#901529 | شناسه | بالا | هسته لینوکس |
| CVE-2017-9725 | A-38195738 QC-CR#896659 | EoP | بالا | زیر سیستم حافظه |
| CVE-2017-9724 | A-38196929 QC-CR#863303 | EoP | بالا | هسته لینوکس |
| CVE-2017-8278 | الف-62379474 QC-CR#2013236 | EoP | بالا | درایور صدا |
| CVE-2017-10999 | A-36490777 * QC-CR#2010713 | EoP | در حد متوسط | درایور IPA |
| CVE-2017-11001 | A-36815555 * QC-CR#2051433 | شناسه | در حد متوسط | درایور وای فای |
| CVE-2017-11002 | A-37712167 * QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 | شناسه | در حد متوسط | درایور وای فای |
| CVE-2017-8250 | A-62379051 QC-CR#2003924 | EoP | در حد متوسط | درایور پردازنده گرافیکی |
| CVE-2017-9677 | الف-62379475 QC-CR#2022953 | EoP | در حد متوسط | درایور صدا |
| CVE-2017-10998 | الف-38195131 QC-CR#108461 | EoP | در حد متوسط | درایور صدا |
| CVE-2017-9676 | الف-62378596 QC-CR#2016517 | شناسه | در حد متوسط | سیستم فایل |
| CVE-2017-8280 | الف-62377236 QC-CR#2015858 | EoP | در حد متوسط | درایور WLAN |
| CVE-2017-8251 | الف-62379525 QC-CR#2006015 | EoP | در حد متوسط | راننده دوربین |
| CVE-2017-10997 | A-33039685 * QC-CR#1103077 | EoP | در حد متوسط | درایور PCI |
| CVE-2017-11000 | A-36136563 * QC-CR#2031677 | EoP | در حد متوسط | راننده دوربین |
| CVE-2017-8247 | الف-62378684 QC-CR#2023513 | EoP | در حد متوسط | راننده دوربین |
| CVE-2017-9720 | A-36264696 * QC-CR#2041066 | EoP | در حد متوسط | راننده دوربین |
| CVE-2017-8277 | الف-62378788 QC-CR#2009047 | EoP | در حد متوسط | درایور ویدئو |
| CVE-2017-8281 | الف-62378232 QC-CR#2015892 | شناسه | در حد متوسط | چند رسانه ای خودرو |
| CVE-2017-11040 | A-37567102 * QC-CR#2038166 | شناسه | در حد متوسط | درایور ویدئو |
به روز رسانی دستگاه گوگل
این جدول حاوی سطح وصله امنیتی در آخرین بهروزرسانی هوایی (OTA) و تصاویر میانافزار دستگاههای Google است. OTA دستگاه Google نیز ممکن است حاوی بهروزرسانیهای اضافی باشد. تصاویر سفتافزار دستگاه Google در سایت Google Developer موجود است.
| دستگاه گوگل | سطح وصله امنیتی |
|---|---|
| پیکسل / پیکسل XL | 05/09/2017 |
| Nexus 5X | 05/09/2017 |
| Nexus 6 | 05/09/2017 |
| Nexus 6P | 05/09/2017 |
| Nexus 9 | 05/09/2017 |
| Nexus Player | 05/09/2017 |
| پیکسل سی | 05/09/2017 |
سپاسگزاریها
مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:
| CVE ها | محققین |
|---|---|
| CVE-2017-11000 | بائونگ دینگ ( @sploving )، چنگ مینگ یانگ و یانگ سانگ از گروه امنیت موبایل علی بابا |
| CVE-2017-0781، CVE-2017-0782، CVE-2017-0783، CVE-2017-0785 | بن سری و گریگوری ویشنپولسکی از شرکت آرمیس ( https://armis.com ) |
| CVE-2017-0800، CVE-2017-0798 | چنگ مینگ یانگ، بائونگ دینگ و یانگ سانگ از گروه امنیتی موبایل علی بابا |
| CVE-2017-0765 | چی ژانگ ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE |
| CVE-2017-0758 | چونگ وانگ و 金哲 (ژ جین) از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | کونگ ژنگ ( @shellcong )، ونجون هو، شیائو ژانگ و ژی زو از شبکه های پالو آلتو |
| CVE-2017-0801 | داچنگ شائو ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE |
| CVE-2017-0755 | داوی پنگ از تیم امنیتی موبایل علی بابا ( weibo: Vinc3nt4H ) |
| CVE-2017-0775، CVE-2017-0774، CVE-2017-0771 | Elphet و Gong Guang از تیم آلفا، Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0784 | En He ( @heeeeen4x ) و بو لیو از MS509Team |
| CVE-2017-10997 | Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0786، CVE-2017-0792، CVE-2017-0791، CVE-2017-0790، CVE-2017-0789، CVE-2017-0788، CVE-2017-0787 | هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0802 | جیک کورینا ( @JakeCorina ) از تیم Shellphish Grill |
| CVE-2017-0780 | جیسون گو و سون شن از Trend Micro |
| CVE-2017-0769 | مینجیان ژو ( @Mingjian_Zhou )، داچنگ شائو ، و ژوکیان جیانگ از تیم C0RE |
| CVE-2017-0794، CVE-2017-9720، CVE-2017-11001، CVE-2017-10999، CVE-2017-0766 | پنگفی دینگ (丁鹏飞)، چنفو بائو (包沉浮)، لنکس وی (韦韬) از Baidu X-Lab (百度安全实验室) |
| CVE-2017-0772 | هفت شن از Trend Micro |
| CVE-2017-0757 | واسیلی واسیلیف |
| CVE-2017-0768، CVE-2017-0779 | ونکه دو ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE |
| CVE-2017-0759 | Weichao Sun از Alibaba Inc. |
| CVE-2017-0796 | Xiangqian Zhang، Chengming Yang، Baozeng Ding و Yang Song از گروه امنیتی موبایل علی بابا |
| CVE-2017-0753 | Yangkang ( @dnpushme ) و hujianfei از تیم Qihoo360 Qex |
| CVE-2017-12146 | Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0767 | یونگکه وانگ و یوبین سان از آزمایشگاه Xuanwu Tencent |
| CVE-2017-0804، CVE-2017-0803، CVE-2017-0799، CVE-2017-0795 | یو پان و یانگ دای از تیم Vulpecker، Qihoo 360 Technology Co. Ltd |
| CVE-2017-0760 | Zinuo Han و 金哲 (Zhe Jin) از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0764، CVE-2017-0761، CVE-2017-0776، CVE-2017-0777، CVE-2017-0778 | Zinuo Han از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd. |
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعملهای زمانبندی بهروزرسانی Pixel و Nexus را بخوانید.
- سطوح وصله امنیتی 01/09/2017 یا بعد از آن همه مسائل مرتبط با سطح وصله امنیتی 01/09/2017 را برطرف میکند.
- سطوح وصله امنیتی 2017-09-05 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2017-09-05 و تمام سطوح وصله قبلی را بررسی میکنند.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.security_patch]:[01/09/2017]
- [ro.build.version.security_patch]:[05/09/2017]
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاههایی که از سطح وصله امنیتی 01-09-2017 استفاده میکنند باید همه مشکلات مربوط به آن سطح وصله امنیتی و همچنین رفع مشکلات گزارششده در بولتنهای امنیتی قبلی را شامل شوند.
- دستگاههایی که از سطح وصله امنیتی 05/09/2017 یا جدیدتر استفاده میکنند باید همه وصلههای قابلاجرا در این بولتنهای امنیتی (و قبلی) را شامل شوند.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | خود داری از خدمات |
| N/A | طبقه بندی در دسترس نیست |
4. ورودی های ستون References به چه معناست؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | ارجاع |
|---|---|
| آ- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| N- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
5. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟
مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. بهروزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
نسخه ها
| نسخه | تاریخ | یادداشت |
|---|---|---|
| 1.0 | 5 سپتامبر 2017 | بولتن منتشر شد. |
| 1.1 | 12 سپتامبر 2017 | جزئیات اضافه شده برای CVE-2017-0781، CVE-2017-0782، CVE-2017-0783، و CVE-2017-0785 به عنوان بخشی از افشای هماهنگ شده با صنعت. |
| 1.2 | 13 سپتامبر 2017 | بولتن اصلاح شد تا شامل پیوندهای AOSP باشد. |
| 1.3 | 25 سپتامبر 2017 | جزئیات اضافه شده برای CVE-2017-11120 و CVE-2017-11121 به عنوان بخشی از افشای هماهنگ شده با صنعت. |
| 1.4 | 28 سپتامبر 2017 | مرجع فروشنده بهروزرسانی برای CVE-2017-11001. |