Opublikowano 5 września 2017 | Zaktualizowano 5 października 2017 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 5 września 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie co najmniej miesiąc temu. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach środowiska medialnego o krytycznym znaczeniu, która może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i Google Play Protect , które poprawiają bezpieczeństwo platformy Android , można znaleźć w sekcji Środki zaradcze dotyczące systemów Android i Google Play Protect.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: informacje o najnowszych aktualizacjach OTA i obrazach oprogramowania sprzętowego dla urządzeń Google są dostępne w sekcji Aktualizacje urządzeń Google .
Ogłoszenia
- Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
- 2017-09-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2017-09-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- 2017-09-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-09-01 i 2017-09-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami . Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play.
Poziom poprawki zabezpieczeń z dnia 2017-09-01 — szczegóły dotyczące luki
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-09-01. Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu oraz tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Struktura
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji ominięcie wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [ 2 ] | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Biblioteki
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0753 | A-62218744 | RCE | Wysoki | 7.1.1, 7.1.2, 8.0 |
| CVE-2017-6983 | A-63852675 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0755 | A-32178311 | EoP | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Ramy medialne
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0756 | A-34621073 | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0757 | A-36006815 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0758 | A-36492741 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0759 | A-36715268 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0760 | A-37237396 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0761 | A-38448381 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0762 | A-62214264 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0763 | A-62534693 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0764 | A-62872015 | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0765 | A-62872863 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0766 | A-37776688 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0767 | A-37536407 [ 2 ] | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0768 | A-62019992 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0769 | A-37662122 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0770 | A-38234812 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0771 | A-37624243 | DoS | Wysoki | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0772 | A-38115076 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0773 | A-37615911 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0774 | A-62673844 [ 2 ] | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0775 | A-62673179 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0776 | A-38496660 | ID | Umiarkowany | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Wysoki | 6.0.1 | ||
| CVE-2017-0777 | A-38342499 | ID | Umiarkowany | 7.0, 7.1.1, 7.1.2 |
| DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0778 | A-62133227 | ID | Umiarkowany | 7.0, 7.1.1, 7.1.2 |
| DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [ 2 ] | ID | Umiarkowany | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Czas wykonania
Najpoważniejsza luka w tej sekcji może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku spowodowanie zawieszenia aplikacji.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0780 | A-37742976 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
System
Najpoważniejsza luka w tej sekcji może umożliwić bezpośredniemu atakującemu wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [ 2 ] | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0782 | A-63146237 [ 2 ] [ 3 ] | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0783 | A-63145701 | ID | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0784 | A-37287958 | EoP | Umiarkowany | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0785 | A-63146698 | ID | Umiarkowany | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Poziom poprawki zabezpieczeń z dnia 2017-09-05 — szczegóły dotyczące luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-09-05. Luki są pogrupowane według komponentu, na który wpływają, i zawierają szczegółowe informacje, takie jak CVE, powiązane odniesienia, typ luki , istotność , komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Komponenty firmy Broadcom
Najpoważniejsza luka w tej sekcji może umożliwić bezpośredniemu atakującemu użycie specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409 * B-V2017061204 | RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-11121 | A-62576413 * B-V2017061205 | RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-7065 | A-62575138 * B-V2017061202 | RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-0786 | A-37351060 * B-V2017060101 | EoP | Wysoki | Sterownik Wi-Fi |
| CVE-2017-0787 | A-37722970 * B-V2017053104 | EoP | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-0788 | A-37722328 * B-V2017053103 | EoP | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-0789 | A-37685267 * B-V2017053102 | EoP | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-0790 | A-37357704 * B-V2017053101 | EoP | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-0791 | A-37306719 * B-V2017052302 | EoP | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-0792 | A-37305578 * B-V2017052301 | ID | Umiarkowany | Sterownik Wi-Fi |
Komponenty Imgtk
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza poziomami uprawnień.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946 * | ID | Wysoki | Podsystem pamięci |
Składniki jądra
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-8890 | A-38413975 Jądro nadrzędne | RCE | Krytyczny | Podsystem sieciowy |
| CVE-2017-9076 | A-62299478 Jądro nadrzędne | EoP | Wysoki | Podsystem sieciowy |
| CVE-2017-9150 | A-62199770 Jądro nadrzędne | ID | Wysoki | Jądro Linuksa |
| CVE-2017-7487 | A-62070688 Jądro nadrzędne | EoP | Wysoki | Sterownik protokołu IPX |
| CVE-2017-6214 | A-37901268 Jądro nadrzędne | DoS | Wysoki | Podsystem sieciowy |
| CVE-2017-6346 | A-37897645 Jądro nadrzędne | EoP | Wysoki | Jądro Linuksa |
| CVE-2017-5897 | A-37871211 Jądro nadrzędne | ID | Wysoki | Podsystem sieciowy |
| CVE-2017-7495 | A-62198330 Jądro nadrzędne | ID | Wysoki | System plików |
| CVE-2017-7616 | A-37751399 Jądro nadrzędne | ID | Umiarkowany | Jądro Linuksa |
| CVE-2017-12146 | A-35676417 Jądro nadrzędne | EoP | Umiarkowany | Jądro Linuksa |
| CVE-2017-0794 | A-35644812 * | EoP | Umiarkowany | Sterownik SCSI |
Komponenty MediaTeka
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473 * M-ALPS03361480 | EoP | Wysoki | Sterownik detektora akcesoriów |
| CVE-2017-0796 | A-62458865 * M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 | EoP | Wysoki | Sterownik AUXADC |
| CVE-2017-0797 | A-62459766 * M-ALPS03353854 | EoP | Wysoki | Sterownik detektora akcesoriów |
| CVE-2017-0798 | A-36100671 * M-ALPS03365532 | EoP | Wysoki | Jądro |
| CVE-2017-0799 | A-36731602 * M-ALPS03342072 | EoP | Wysoki | Ostatni autobus |
| CVE-2017-0800 | A-37683975 * M-ALPS03302988 | EoP | Wysoki | TEEI |
| CVE-2017-0801 | A-38447970 * M-ALPS03337980 | EoP | Wysoki | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120 * M-ALPS03384818 | EoP | Umiarkowany | Jądro |
| CVE-2017-0803 | A-36136137 * M-ALPS03361477 | EoP | Umiarkowany | Sterownik detektora akcesoriów |
| CVE-2017-0804 | A-36274676 * M-ALPS03361487 | EoP | Umiarkowany | Sterownik MMC |
Komponenty Qualcomma
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225 * QC-CR#2053101 | RCE | Krytyczny | LibOmxVenc |
| CVE-2017-10996 | A-38198574 QC-CR#901529 | ID | Wysoki | Jądro Linuksa |
| CVE-2017-9725 | A-38195738 QC-CR#896659 | EoP | Wysoki | Podsystem pamięci |
| CVE-2017-9724 | A-38196929 QC-CR#863303 | EoP | Wysoki | Jądro Linuksa |
| CVE-2017-8278 | A-62379474 QC-CR#2013236 | EoP | Wysoki | Sterownik audio |
| CVE-2017-10999 | A-36490777 * QC-CR#2010713 | EoP | Umiarkowany | Kierowca IPA |
| CVE-2017-11001 | A-36815555 * QC-CR#2051433 | ID | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-11002 | A-37712167 * QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 | ID | Umiarkowany | Sterownik Wi-Fi |
| CVE-2017-8250 | A-62379051 QC-CR#2003924 | EoP | Umiarkowany | Sterownik GPU |
| CVE-2017-9677 | A-62379475 QC-CR#2022953 | EoP | Umiarkowany | Sterownik audio |
| CVE-2017-10998 | A-38195131 QC-CR#108461 | EoP | Umiarkowany | Sterownik audio |
| CVE-2017-9676 | A-62378596 QC-CR#2016517 | ID | Umiarkowany | System plików |
| CVE-2017-8280 | A-62377236 QC-CR#2015858 | EoP | Umiarkowany | Sterownik WLAN |
| CVE-2017-8251 | A-62379525 QC-CR#2006015 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-10997 | A-33039685 * QC-CR#1103077 | EoP | Umiarkowany | Sterownik PCI |
| CVE-2017-11000 | A-36136563 * QC-CR#2031677 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-8247 | A-62378684 QC-CR#2023513 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-9720 | A-36264696 * QC-CR#2041066 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-8277 | A-62378788 QC-CR#2009047 | EoP | Umiarkowany | Sterownik wideo |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 | ID | Umiarkowany | Multimedia samochodowe |
| CVE-2017-11040 | A-37567102 * QC-CR#2038166 | ID | Umiarkowany | Sterownik wideo |
Aktualizacje urządzeń Google
Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji bezprzewodowej (OTA) i obrazy oprogramowania sprzętowego dla urządzeń Google. Oferty OTA na urządzenia Google mogą również zawierać dodatkowe aktualizacje. Obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .
| Urządzenie Google’a | Poziom poprawki zabezpieczeń |
|---|---|
| Piksel / Piksel XL | 2017-09-05 |
| Nexusa 5X | 2017-09-05 |
| Nexusa 6 | 2017-09-05 |
| Nexusa 6P | 2017-09-05 |
| Nexusa 9 | 2017-09-05 |
| Gracz Nexusa | 2017-09-05 |
| Piksel C | 2017-09-05 |
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
| CVE | Naukowcy |
|---|---|
| CVE-2017-11000 | Baozeng Ding ( @sploving ), Chengming Yang i Yang Song z Alibaba Mobile Security Group |
| CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 | Ben Seri i Gregory Vishnepolsky z Armis, Inc. ( https://armis.com ) |
| CVE-2017-0800, CVE-2017-0798 | Chengming Yang, Baozeng Ding i Yang Song z Alibaba Mobile Security Group |
| CVE-2017-0765 | Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0758 | Chong Wang i 金哲 (Zhe Jin) z Centrum reagowania na bezpieczeństwo w Chengdu, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | Cong Zheng ( @shellcong ), Wenjun Hu, Xiao Zhang i Zhi Xu z Palo Alto Networks |
| CVE-2017-0801 | Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0755 | Dawei Peng z zespołu Alibaba Mobile Security ( weibo: Vinc3nt4H ) |
| CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 | Elphet i Gong Guang z Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0784 | En He ( @heeeeen4x ) i Bo Liu z MS509Team |
| CVE-2017-10997 | Gengjia Chen ( @chengjia4574 ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 | Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0802 | Jake Corina ( @JakeCorina ) z zespołu Shellphish Grill |
| CVE-2017-0780 | Jason Gu i Seven Shen z Trend Micro |
| CVE-2017-0769 | Mingjian Zhou ( @Mingjian_Zhou ), Dacheng Shao i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 | Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室) |
| CVE-2017-0772 | Siedem Shen firmy Trend Micro |
| CVE-2017-0757 | Wasilij Wasiliew |
| CVE-2017-0768, CVE-2017-0779 | Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0759 | Weichao Sun z Alibaba Inc. |
| CVE-2017-0796 | Xiangqian Zhang, Chengming Yang, Baozeng Ding i Yang Song z Alibaba Mobile Security Group |
| CVE-2017-0753 | Yangkang ( @dnpushme ) i hujianfei z zespołu Qihoo360 Qex |
| CVE-2017-12146 | Yonggang Guo ( @guoygang ) z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0767 | Yongke Wang i Yuebin Sun z laboratorium Xuanwu firmy Tencent |
| CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 | Yu Pan i Yang Dai z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0760 | Zinuo Han i 金哲 (Zhe Jin) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 | Zinuo Han z Centrum reagowania na bezpieczeństwo w Chengdu, Qihoo 360 Technology Co. Ltd. |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .
- Poziomy poprawek zabezpieczeń z dnia 2017-09-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-09-01.
- Poziomy poprawek zabezpieczeń z dnia 2017-09-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-09-05 i wszystkimi poprzednimi poziomami poprawek.
Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?
W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2017-09-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
- Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2017-09-05 lub nowszym muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.
Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ ?
Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie przywilejów |
| ID | Ujawnianie informacji |
| DoS | Odmowa usługi |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Referencje ?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny firmy Broadcom |
5. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?
Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Wersje
| Wersja | Data | Notatki |
|---|---|---|
| 1,0 | 5 września 2017 r | Biuletyn opublikowany. |
| 1.1 | 12 września 2017 r | Dodano szczegóły dotyczące CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 i CVE-2017-0785 w ramach ujawniania informacji skoordynowanego przez branżę. |
| 1.2 | 13 września 2017 r | Biuletyn zmieniony w celu uwzględnienia łączy AOSP. |
| 1.3 | 25 września 2017 r | Dodano szczegóły dotyczące CVE-2017-11120 i CVE-2017-11121 w ramach ujawnień skoordynowanych przez branżę. |
| 1.4 | 28 września 2017 r | Zaktualizuj informacje o dostawcy dla CVE-2017-11001. |