Biuletyn dotyczący bezpieczeństwa Androida — wrzesień 2017 r

Opublikowano 5 września 2017 | Zaktualizowano 5 października 2017 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 5 września 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie co najmniej miesiąc temu. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach środowiska medialnego o krytycznym znaczeniu, która może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i Google Play Protect , które poprawiają bezpieczeństwo platformy Android , można znaleźć w sekcji Środki zaradcze dotyczące systemów Android i Google Play Protect.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Uwaga: informacje o najnowszych aktualizacjach OTA i obrazach oprogramowania sprzętowego dla urządzeń Google są dostępne w sekcji Aktualizacje urządzeń Google .

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2017-09-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2017-09-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
    • 2017-09-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-09-01 i 2017-09-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami . Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play.

Poziom poprawki zabezpieczeń z dnia 2017-09-01 — szczegóły dotyczące luki

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-09-01. Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu oraz tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Struktura

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji ominięcie wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0752 A-62196835 [ 2 ] EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Biblioteki

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0753 A-62218744 RCE Wysoki 7.1.1, 7.1.2, 8.0
CVE-2017-6983 A-63852675 RCE Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0755 A-32178311 EoP Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Ramy medialne

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0756 A-34621073 RCE Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0757 A-36006815 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0758 A-36492741 RCE Krytyczny 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0759 A-36715268 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0760 A-37237396 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0761 A-38448381 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0762 A-62214264 RCE Krytyczny 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0763 A-62534693 RCE Krytyczny 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0764 A-62872015 RCE Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0765 A-62872863 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0766 A-37776688 RCE Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0767 A-37536407 [ 2 ] EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0768 A-62019992 EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0769 A-37662122 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0770 A-38234812 EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0771 A-37624243 DoS Wysoki 7.0, 7.1.1, 7.1.2
CVE-2017-0772 A-38115076 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0773 A-37615911 DoS Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0774 A-62673844 [ 2 ] DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0775 A-62673179 DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0776 A-38496660 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 6.0.1
CVE-2017-0777 A-38342499 ID Umiarkowany 7.0, 7.1.1, 7.1.2
DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0778 A-62133227 ID Umiarkowany 7.0, 7.1.1, 7.1.2
DoS Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0779 A-38340117 [ 2 ] ID Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Czas wykonania

Najpoważniejsza luka w tej sekcji może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku spowodowanie zawieszenia aplikacji.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0780 A-37742976 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

System

Najpoważniejsza luka w tej sekcji może umożliwić bezpośredniemu atakującemu wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0781 A-63146105 [ 2 ] RCE Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0782 A-63146237 [ 2 ] [ 3 ] RCE Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0783 A-63145701 ID Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0784 A-37287958 EoP Umiarkowany 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0785 A-63146698 ID Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Poziom poprawki zabezpieczeń z dnia 2017-09-05 — szczegóły dotyczące luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-09-05. Luki są pogrupowane według komponentu, na który wpływają, i zawierają szczegółowe informacje, takie jak CVE, powiązane odniesienia, typ luki , istotność , komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Komponenty firmy Broadcom

Najpoważniejsza luka w tej sekcji może umożliwić bezpośredniemu atakującemu użycie specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-11120 A-62575409 *
B-V2017061204
RCE Krytyczny Sterownik Wi-Fi
CVE-2017-11121 A-62576413 *
B-V2017061205
RCE Krytyczny Sterownik Wi-Fi
CVE-2017-7065 A-62575138 *
B-V2017061202
RCE Krytyczny Sterownik Wi-Fi
CVE-2017-0786 A-37351060 *
B-V2017060101
EoP Wysoki Sterownik Wi-Fi
CVE-2017-0787 A-37722970 *
B-V2017053104
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0788 A-37722328 *
B-V2017053103
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0789 A-37685267 *
B-V2017053102
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0790 A-37357704 *
B-V2017053101
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0791 A-37306719 *
B-V2017052302
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0792 A-37305578 *
B-V2017052301
ID Umiarkowany Sterownik Wi-Fi

Komponenty Imgtk

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień.

CVE Bibliografia Typ Powaga Część
CVE-2017-0793 A-35764946 * ID Wysoki Podsystem pamięci

Składniki jądra

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-8890 A-38413975
Jądro nadrzędne
RCE Krytyczny Podsystem sieciowy
CVE-2017-9076 A-62299478
Jądro nadrzędne
EoP Wysoki Podsystem sieciowy
CVE-2017-9150 A-62199770
Jądro nadrzędne
ID Wysoki Jądro Linuksa
CVE-2017-7487 A-62070688
Jądro nadrzędne
EoP Wysoki Sterownik protokołu IPX
CVE-2017-6214 A-37901268
Jądro nadrzędne
DoS Wysoki Podsystem sieciowy
CVE-2017-6346 A-37897645
Jądro nadrzędne
EoP Wysoki Jądro Linuksa
CVE-2017-5897 A-37871211
Jądro nadrzędne
ID Wysoki Podsystem sieciowy
CVE-2017-7495 A-62198330
Jądro nadrzędne
ID Wysoki System plików
CVE-2017-7616 A-37751399
Jądro nadrzędne
ID Umiarkowany Jądro Linuksa
CVE-2017-12146 A-35676417
Jądro nadrzędne
EoP Umiarkowany Jądro Linuksa
CVE-2017-0794 A-35644812 * EoP Umiarkowany Sterownik SCSI

Komponenty MediaTeka

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-0795 A-36198473 *
M-ALPS03361480
EoP Wysoki Sterownik detektora akcesoriów
CVE-2017-0796 A-62458865 *
M-ALPS03353884
M-ALPS03353886
M-ALPS03353887
EoP Wysoki Sterownik AUXADC
CVE-2017-0797 A-62459766 *
M-ALPS03353854
EoP Wysoki Sterownik detektora akcesoriów
CVE-2017-0798 A-36100671 *
M-ALPS03365532
EoP Wysoki Jądro
CVE-2017-0799 A-36731602 *
M-ALPS03342072
EoP Wysoki Ostatni autobus
CVE-2017-0800 A-37683975 *
M-ALPS03302988
EoP Wysoki TEEI
CVE-2017-0801 A-38447970 *
M-ALPS03337980
EoP Wysoki LibMtkOmxVdec
CVE-2017-0802 A-36232120 *
M-ALPS03384818
EoP Umiarkowany Jądro
CVE-2017-0803 A-36136137 *
M-ALPS03361477
EoP Umiarkowany Sterownik detektora akcesoriów
CVE-2017-0804 A-36274676 *
M-ALPS03361487
EoP Umiarkowany Sterownik MMC

Komponenty Qualcomma

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-11041 A-36130225 *
QC-CR#2053101
RCE Krytyczny LibOmxVenc
CVE-2017-10996 A-38198574
QC-CR#901529
ID Wysoki Jądro Linuksa
CVE-2017-9725 A-38195738
QC-CR#896659
EoP Wysoki Podsystem pamięci
CVE-2017-9724 A-38196929
QC-CR#863303
EoP Wysoki Jądro Linuksa
CVE-2017-8278 A-62379474
QC-CR#2013236
EoP Wysoki Sterownik audio
CVE-2017-10999 A-36490777 *
QC-CR#2010713
EoP Umiarkowany Kierowca IPA
CVE-2017-11001 A-36815555 *
QC-CR#2051433
ID Umiarkowany Sterownik Wi-Fi
CVE-2017-11002 A-37712167 *
QC-CR#2058452 QC-CR#2054690 QC-CR#2058455
ID Umiarkowany Sterownik Wi-Fi
CVE-2017-8250 A-62379051
QC-CR#2003924
EoP Umiarkowany Sterownik GPU
CVE-2017-9677 A-62379475
QC-CR#2022953
EoP Umiarkowany Sterownik audio
CVE-2017-10998 A-38195131
QC-CR#108461
EoP Umiarkowany Sterownik audio
CVE-2017-9676 A-62378596
QC-CR#2016517
ID Umiarkowany System plików
CVE-2017-8280 A-62377236
QC-CR#2015858
EoP Umiarkowany Sterownik WLAN
CVE-2017-8251 A-62379525
QC-CR#2006015
EoP Umiarkowany Sterownik aparatu
CVE-2017-10997 A-33039685 *
QC-CR#1103077
EoP Umiarkowany Sterownik PCI
CVE-2017-11000 A-36136563 *
QC-CR#2031677
EoP Umiarkowany Sterownik aparatu
CVE-2017-8247 A-62378684
QC-CR#2023513
EoP Umiarkowany Sterownik aparatu
CVE-2017-9720 A-36264696 *
QC-CR#2041066
EoP Umiarkowany Sterownik aparatu
CVE-2017-8277 A-62378788
QC-CR#2009047
EoP Umiarkowany Sterownik wideo
CVE-2017-8281 A-62378232
QC-CR#2015892
ID Umiarkowany Multimedia samochodowe
CVE-2017-11040 A-37567102 *
QC-CR#2038166
ID Umiarkowany Sterownik wideo

Aktualizacje urządzeń Google

Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji bezprzewodowej (OTA) i obrazy oprogramowania sprzętowego dla urządzeń Google. Oferty OTA na urządzenia Google mogą również zawierać dodatkowe aktualizacje. Obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .

Urządzenie Google’a Poziom poprawki zabezpieczeń
Piksel / Piksel XL 2017-09-05
Nexusa 5X 2017-09-05
Nexusa 6 2017-09-05
Nexusa 6P 2017-09-05
Nexusa 9 2017-09-05
Gracz Nexusa 2017-09-05
Piksel C 2017-09-05

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

CVE Naukowcy
CVE-2017-11000 Baozeng Ding ( @sploving ), Chengming Yang i Yang Song z Alibaba Mobile Security Group
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 Ben Seri i Gregory Vishnepolsky z Armis, Inc. ( https://armis.com )
CVE-2017-0800, CVE-2017-0798 Chengming Yang, Baozeng Ding i Yang Song z Alibaba Mobile Security Group
CVE-2017-0765 Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE
CVE-2017-0758 Chong Wang i 金哲 (Zhe Jin) z Centrum reagowania na bezpieczeństwo w Chengdu, Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 Cong Zheng ( @shellcong ), Wenjun Hu, Xiao Zhang i Zhi Xu z Palo Alto Networks
CVE-2017-0801 Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE
CVE-2017-0755 Dawei Peng z zespołu Alibaba Mobile Security ( weibo: Vinc3nt4H )
CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 Elphet i Gong Guang z Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 En He ( @heeeeen4x ) i Bo Liu z MS509Team
CVE-2017-10997 Gengjia Chen ( @chengjia4574 ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 Jake Corina ( @JakeCorina ) z zespołu Shellphish Grill
CVE-2017-0780 Jason Gu i Seven Shen z Trend Micro
CVE-2017-0769 Mingjian Zhou ( @Mingjian_Zhou ), Dacheng Shao i Xuxian Jiang z zespołu C0RE
CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室)
CVE-2017-0772 Siedem Shen firmy Trend Micro
CVE-2017-0757 Wasilij Wasiliew
CVE-2017-0768, CVE-2017-0779 Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE
CVE-2017-0759 Weichao Sun z Alibaba Inc.
CVE-2017-0796 Xiangqian Zhang, Chengming Yang, Baozeng Ding i Yang Song z Alibaba Mobile Security Group
CVE-2017-0753 Yangkang ( @dnpushme ) i hujianfei z zespołu Qihoo360 Qex
CVE-2017-12146 Yonggang Guo ( @guoygang ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Yongke Wang i Yuebin Sun z laboratorium Xuanwu firmy Tencent
CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 Yu Pan i Yang Dai z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd
CVE-2017-0760 Zinuo Han i 金哲 (Zhe Jin) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 Zinuo Han z Centrum reagowania na bezpieczeństwo w Chengdu, Qihoo 360 Technology Co. Ltd.

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

  • Poziomy poprawek zabezpieczeń z dnia 2017-09-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-09-01.
  • Poziomy poprawek zabezpieczeń z dnia 2017-09-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-09-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2017-09-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2017-09-05 lub nowszym muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

5. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Wersje

Wersja Data Notatki
1,0 5 września 2017 r Biuletyn opublikowany.
1.1 12 września 2017 r Dodano szczegóły dotyczące CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 i CVE-2017-0785 w ramach ujawniania informacji skoordynowanego przez branżę.
1.2 13 września 2017 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
1.3 25 września 2017 r Dodano szczegóły dotyczące CVE-2017-11120 i CVE-2017-11121 w ramach ujawnień skoordynowanych przez branżę.
1.4 28 września 2017 r Zaktualizuj informacje o dostawcy dla CVE-2017-11001.