תאריך פרסום: 5 בספטמבר 2017 | תאריך עדכון: 5 באוקטובר 2017
עדכון האבטחה של Android מכיל פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android. רמות תיקוני האבטחה מ-5 בספטמבר 2017 ואילך מטפלות בכל הבעיות האלה. לוח הזמנים של עדכוני Pixel ו-Nexus מסביר איך בודקים את רמת תיקון האבטחה של המכשיר.
השותפים עודכנו על הבעיות המתוארות בעדכון לפחות לפני חודש. תיקוני קוד מקור לבעיות האלה פורסמו במאגר Android Open Source Project (AOSP) ויש קישור אליהם מהעדכון הזה. העדכון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיה החמורה ביותר היא נקודת חולשה קריטית במסגרת המדיה, שעלולה לאפשר לתוקף מרחוק להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות. הערכת החומרה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של הבעיות החדשות האלה על ידי לקוחות או על ניצול לרעה שלהן. בקטע אמצעי מיטיגציה ב-Android וב-Google Play Protect מפורט מידע על ההגנות של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הערה: מידע על קובצי הקושחה והעדכונים האוויריים (OTA) האחרונים למכשירי Google זמין בקטע עדכונים למכשירי Google.
הודעות
- בעדכון הזה יש שתי מחרוזות של רמת תיקון אבטחה, כדי לספק לשותפי Android גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. מידע נוסף זמין בתשובות לשאלות נפוצות:
- 2017-09-01: מחרוזת חלקית של רמת תיקון האבטחה. מחרוזת רמת תיקון האבטחה הזו מציינת שכל הבעיות שמשויכות ל-01 בספטמבר 2017 (וכל מחרוזות רמת תיקון האבטחה הקודמות) טופלו.
- 2017-09-05: מחרוזת מלאה של רמת תיקון האבטחה. מחרוזת רמת תיקון האבטחה הזו מציינת שכל הבעיות שמשויכות ל-2017-09-01 ול-2017-09-05 (וכל המחרוזות הקודמות של רמת תיקון האבטחה) טופלו.
הפחתת ההשפעה על שירותי Android ו-Google
זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android והגנות השירות, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Google Play Protect, ומזהיר את המשתמשים לגבי אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם Google Mobile Services, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות שאינם Google Play.
רמת תיקון האבטחה 01 בספטמבר 2017 – פרטי נקודת החולשה
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון מ-01 בספטמבר 2017. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. מוצג תיאור של הבעיה וטבלה עם מספר ה-CVE, מקורות המידע המשויכים, סוג נקודת החולשה, מידת החומרה וגרסאות AOSP מעודכנות (אם רלוונטי). כשהדבר אפשרי, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לאפליקציה מקומית זדונית לעקוף את הדרישות של אינטראקציה עם משתמש כדי לקבל גישה להרשאות נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [2] | EoP | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ספריות
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף מרחוק להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך ללא הרשאות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2017-0753 | A-62218744 | RCE | רחב | 7.1.1, 7.1.2, 8.0 |
| CVE-2017-6983 | A-63852675 | RCE | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0755 | A-32178311 | EoP | רחב | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Media Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף מרחוק להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2017-0756 | A-34621073 | RCE | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0757 | A-36006815 | RCE | קריטי | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0758 | A-36492741 | RCE | קריטי | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0759 | A-36715268 | RCE | קריטי | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0760 | A-37237396 | RCE | קריטי | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0761 | A-38448381 | RCE | קריטי | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0762 | A-62214264 | RCE | קריטי | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0763 | A-62534693 | RCE | קריטי | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0764 | A-62872015 | RCE | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0765 | A-62872863 | RCE | קריטי | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0766 | A-37776688 | RCE | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0767 | A-37536407 [2] | EoP | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0768 | A-62019992 | EoP | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0769 | A-37662122 | EoP | רחב | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0770 | A-38234812 | EoP | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0771 | A-37624243 | DoS | רחב | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0772 | A-38115076 | DoS | רחב | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0773 | A-37615911 | DoS | רחב | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0774 | A-62673844 [2] | DoS | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0775 | A-62673179 | DoS | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0776 | A-38496660 | מזהה | בינונית | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | רחב | 6.0.1 | ||
| CVE-2017-0777 | A-38342499 | מזהה | בינונית | 7.0, 7.1.1, 7.1.2 |
| DoS | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0778 | A-62133227 | מזהה | בינונית | 7.0, 7.1.1, 7.1.2 |
| DoS | רחב | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [2] | מזהה | בינונית | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
זמן ריצה
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף מרחוק להשתמש בקובץ שנוצר במיוחד כדי לגרום לאפליקציה להיתקע.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2017-0780 | A-37742976 | DoS | רחב | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף בקרבת מקום להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [2] | RCE | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0782 | A-63146237 [2] [3] | RCE | קריטי | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0783 | A-63145701 | מזהה | רחב | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0784 | A-37287958 | EoP | בינונית | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0785 | A-63146698 | מזהה | בינונית | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
רמת תיקון האבטחה 05 בספטמבר 2017 – פרטי נקודת החולשה
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון מ-5 בספטמבר 2017. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות, וכוללות פרטים כמו מספר ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה, מידת החומרה, הרכיב (אם רלוונטי) וגרסאות AOSP מעודכנות (אם רלוונטי). כשהדבר אפשרי, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למספר הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
רכיבים של Broadcom
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף שנמצא בסביבה הקרובה להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות באמצעות קובץ שנוצר במיוחד.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409* B-V2017061204 |
RCE | קריטי | דרייבר Wi-Fi |
| CVE-2017-11121 | A-62576413* B-V2017061205 |
RCE | קריטי | דרייבר Wi-Fi |
| CVE-2017-7065 | A-62575138* B-V2017061202 |
RCE | קריטי | דרייבר Wi-Fi |
| CVE-2017-0786 | A-37351060* B-V2017060101 |
EoP | רחב | דרייבר Wi-Fi |
| CVE-2017-0787 | A-37722970* B-V2017053104 |
EoP | בינונית | דרייבר Wi-Fi |
| CVE-2017-0788 | A-37722328* B-V2017053103 |
EoP | בינונית | דרייבר Wi-Fi |
| CVE-2017-0789 | A-37685267* B-V2017053102 |
EoP | בינונית | דרייבר Wi-Fi |
| CVE-2017-0790 | A-37357704* B-V2017053101 |
EoP | בינונית | דרייבר Wi-Fi |
| CVE-2017-0791 | A-37306719* B-V2017052302 |
EoP | בינונית | דרייבר Wi-Fi |
| CVE-2017-0792 | A-37305578* B-V2017052301 |
מזהה | בינונית | דרייבר Wi-Fi |
רכיבי Imgtk
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לאפליקציה מקומית זדונית לגשת לנתונים מחוץ לרמות ההרשאות שלה.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946* | מזהה | רחב | מערכת משנה של זיכרון |
רכיבי הליבה
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף מרחוק להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-8890 | A-38413975 ליבה ב-upstream |
RCE | קריטי | מערכת משנה של Networking |
| CVE-2017-9076 | A-62299478 ליבה של Upstream |
EoP | רחב | מערכת משנה של Networking |
| CVE-2017-9150 | A-62199770 ליבה של Upstream |
מזהה | רחב | ליבה של Linux |
| CVE-2017-7487 | A-62070688 ליבה ב-upstream |
EoP | רחב | דרייבר לפרוטוקול IPX |
| CVE-2017-6214 | A-37901268 ליבה של Upstream |
DoS | רחב | מערכת משנה של Networking |
| CVE-2017-6346 | A-37897645 ליבה של Upstream |
EoP | רחב | ליבה של Linux |
| CVE-2017-5897 | A-37871211 ליבה ב-upstream |
מזהה | רחב | מערכת משנה של Networking |
| CVE-2017-7495 | A-62198330 ליבה של Upstream |
מזהה | רחב | מערכת קבצים |
| CVE-2017-7616 | A-37751399 ליבה של Upstream |
מזהה | בינונית | ליבה של Linux |
| CVE-2017-12146 | A-35676417 ליבה של Upstream |
EoP | בינונית | ליבה של Linux |
| CVE-2017-0794 | A-35644812* | EoP | בינונית | מנהל התקן SCSI |
רכיבים של MediaTek
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לאפליקציה זדונית מקומית להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473* M-ALPS03361480 |
EoP | רחב | מנהל ההתקן של גלאי האביזר |
| CVE-2017-0796 | A-62458865* M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 |
EoP | רחב | דרייבר AUXADC |
| CVE-2017-0797 | A-62459766* M-ALPS03353854 |
EoP | רחב | מנהל ההתקן של גלאי האביזר |
| CVE-2017-0798 | A-36100671* M-ALPS03365532 |
EoP | רחב | בועה |
| CVE-2017-0799 | A-36731602* M-ALPS03342072 |
EoP | רחב | Lastbus |
| CVE-2017-0800 | A-37683975* M-ALPS03302988 |
EoP | רחב | TEEI |
| CVE-2017-0801 | A-38447970* M-ALPS03337980 |
EoP | רחב | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120* M-ALPS03384818 |
EoP | בינונית | בועה |
| CVE-2017-0803 | A-36136137* M-ALPS03361477 |
EoP | בינונית | מנהל ההתקן של גלאי האביזר |
| CVE-2017-0804 | A-36274676* M-ALPS03361487 |
EoP | בינונית | דרייבר MMC |
רכיבי Qualcomm
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף מרחוק להשתמש בקובץ שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225* QC-CR#2053101 |
RCE | קריטי | LibOmxVenc |
| CVE-2017-10996 | A-38198574 QC-CR#901529 |
מזהה | רחב | ליבה של Linux |
| CVE-2017-9725 | A-38195738 QC-CR#896659 |
EoP | רחב | מערכת משנה של זיכרון |
| CVE-2017-9724 | A-38196929 QC-CR#863303 |
EoP | רחב | ליבה של Linux |
| CVE-2017-8278 | A-62379474 QC-CR#2013236 |
EoP | רחב | מנהל התקן אודיו |
| CVE-2017-10999 | A-36490777* QC-CR#2010713 |
EoP | בינונית | דרייבר IPA |
| CVE-2017-11001 | A-36815555* QC-CR#2051433 |
מזהה | בינונית | דרייבר Wi-Fi |
| CVE-2017-11002 | A-37712167* QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 |
מזהה | בינונית | דרייבר Wi-Fi |
| CVE-2017-8250 | A-62379051 QC-CR#2003924 |
EoP | בינונית | מנהל ההתקן של GPU |
| CVE-2017-9677 | A-62379475 QC-CR#2022953 |
EoP | בינונית | מנהל התקן אודיו |
| CVE-2017-10998 | A-38195131 QC-CR#108461 |
EoP | בינונית | מנהל התקן אודיו |
| CVE-2017-9676 | A-62378596 QC-CR#2016517 |
מזהה | בינונית | מערכת קבצים |
| CVE-2017-8280 | A-62377236 QC-CR#2015858 |
EoP | בינונית | דרייבר WLAN |
| CVE-2017-8251 | A-62379525 QC-CR#2006015 |
EoP | בינונית | מנהל התקן של המצלמה |
| CVE-2017-10997 | A-33039685* QC-CR#1103077 |
EoP | בינונית | דרייבר PCI |
| CVE-2017-11000 | A-36136563* QC-CR#2031677 |
EoP | בינונית | מנהל התקן של המצלמה |
| CVE-2017-8247 | A-62378684 QC-CR#2023513 |
EoP | בינונית | מנהל התקן של המצלמה |
| CVE-2017-9720 | A-36264696* QC-CR#2041066 |
EoP | בינונית | מנהל התקן של המצלמה |
| CVE-2017-8277 | A-62378788 QC-CR#2009047 |
EoP | בינונית | מנהל התקן וידאו |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
מזהה | בינונית | מולטימדיה לרכב |
| CVE-2017-11040 | A-37567102* QC-CR#2038166 |
מזהה | בינונית | מנהל התקן וידאו |
עדכונים למכשירי Google
בטבלה הזו מוצגת רמת תיקון האבטחה בעדכון האוויר (OTA) ובתמונות הקושחה האחרונות למכשירי Google. עדכוני OTA של מכשירי Google עשויים לכלול גם עדכונים נוספים. קובצי האימג' של הקושחה של מכשירי Google זמינים באתר של Google למפתחים.
| מכשיר Google | רמת תיקון האבטחה |
|---|---|
| Pixel / Pixel XL | 2017-09-05 |
| Nexus 5X | 2017-09-05 |
| Nexus 6 | 2017-09-05 |
| Nexus 6P | 2017-09-05 |
| Nexus 9 | 2017-09-05 |
| Nexus Player | 2017-09-05 |
| Pixel C | 2017-09-05 |
תודות
אנחנו רוצים להודות לחוקרים הבאים על התרומות שלהם:
| CVE | חוקרים |
|---|---|
| CVE-2017-11000 | Baozeng Ding (@sploving), Chengming Yang ו-Yang Song מקבוצת האבטחה לנייד של Alibaba |
| CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 | בן סריו וגרגורי וישנפולסקי מ-Armis, Inc. (https://armis.com) |
| CVE-2017-0800, CVE-2017-0798 | צ'נגמינג יאנג (Chengming Yang), באוזנג דינג (Baozeng Ding) וינג סונג (Yang Song) מקבוצת Alibaba Mobile Security |
| CVE-2017-0765 | Chi Zhang, Mingjian Zhou (@Mingjian_Zhou) ו-Xuxian Jiang מצוות C0RE |
| CVE-2017-0758 | Chong Wang ו-金哲 (Zhe Jin) מ-Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | Cong Zheng (@shellcong), Wenjun Hu, Xiao Zhang ו-Zhi Xu מ-Palo Alto Networks |
| CVE-2017-0801 | Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou) ו-Xuxian Jiang מ-C0RE Team |
| CVE-2017-0755 | דיוויי פנג מצוות האבטחה בנייד של Alibaba (weibo: Vinc3nt4H) |
| CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 | Elphet ו-Gong Guang מצוות Alpha, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0784 | En He (@heeeeen4x) ו-Bo Liu מ-MS509Team |
| CVE-2017-10997 | Gengjia Chen (@chengjia4574) ו-pjf מ-IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 | Hao Chen ו-Guang Gong מצוות Alpha, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0802 | ג'ייק קורינה (@JakeCorina) מצוות Shellphish Grill |
| CVE-2017-0780 | ג'ייסון גו וסבן שן מ-Trend Micro |
| CVE-2017-0769 | Mingjian Zhou (@Mingjian_Zhou), Dacheng Shao ו-Xuxian Jiang מצוות C0RE |
| CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 | Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) מ-Baidu X-Lab (百度安全实验室) |
| CVE-2017-0772 | Seven Shen מ-Trend Micro |
| CVE-2017-0757 | וסילי וסילייב |
| CVE-2017-0768, CVE-2017-0779 | Wenke Dou, Mingjian Zhou (@Mingjian_Zhou) ו-Xuxian Jiang מצוות C0RE |
| CVE-2017-0759 | Weichao Sun מ-Alibaba Inc. |
| CVE-2017-0796 | Xiangqian Zhang, Chengming Yang, Baozeng Ding ו-Yang Song מקבוצת האבטחה לנייד של Alibaba |
| CVE-2017-0753 | Yangkang (@dnpushme) ו-hujianfei מצוות Qex של Qihoo360 |
| CVE-2017-12146 | Yonggang Guo (@guoygang) מ-IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0767 | יונגקה וואנג (Yongke Wang) ויובין סון (Yuebin Sun) מ-Xuanwu Lab של Tencent |
| CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 | Yu Pan ו-Yang Dai מצוות Vulpecker, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0760 | Zinuo Han ו-金哲 (Zhe Jin) מ-Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 | Zinuo Han מ-Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
במאמר לוח הזמנים של עדכוני Pixel ו-Nexus מוסבר איך בודקים את רמת תיקון האבטחה של מכשיר.
- רמות תיקוני האבטחה מ-1 בספטמבר 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-1 בספטמבר 2017.
- רמות תיקון האבטחה מ-5 בספטמבר 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-5 בספטמבר 2017 וכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון ל-:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. למה יש בעדכון הזה שתי רמות של תיקוני אבטחה?
בעדכון הזה יש שתי רמות תיקון אבטחה, כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות שמפורטות בדף העדכונים הזה ולהשתמש ברמת התיקון האחרונה של האבטחה.
- במכשירים עם תיקון האבטחה מ-01 בספטמבר 2017 חייבות להופיע כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בעדכוני אבטחה קודמים.
- במכשירים עם תיקון אבטחה ברמה 05 בספטמבר 2017 ואילך חייבים לכלול את כל התיקונים הרלוונטיים מהעדכונים הקודמים של עדכוני האבטחה.
מומלץ לשותפים לארוז את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מפנות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| DoS | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות לכלול קידומת שמזהה את הארגון שאליו שייך ערך העזר.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר הסימוכין של Qualcomm |
| M- | מספר הסימוכין של MediaTek |
| N- | מספר הסימוכין של NVIDIA |
| B- | מספר הסימוכין של Broadcom |
5. מה המשמעות של * לצד מזהה הבאג ב-Android בעמודה References?
בעיות שלא זמינות לציבור מסומנות בסימן * לצד מזהה הבאג ב-Android בעמודה References. בדרך כלל, העדכון לבעיה הזו נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים באתר של Google Developers.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 5 בספטמבר 2017 | העדכון פורסם. |
| 1.1 | 12 בספטמבר 2017 | נוספו פרטים לגבי נקודות החולשה CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 ו-CVE-2017-0785 כחלק מחשיפת מידע מתואמת בענף. |
| 1.2 | 13 בספטמבר 2017 | העדכון עודכן ונוספו קישורים ל-AOSP. |
| 1.3 | 25 בספטמבר 2017 | נוספו פרטים לגבי CVE-2017-11120 ו-CVE-2017-11121 במסגרת חשיפת מידע מתואמת בתחום. |
| 1.4 | 28 בספטמבר 2017 | עדכון של קובץ העזר של הספק לגבי CVE-2017-11001. |