Opublikowano 5 września 2017 r. | Zaktualizowano 5 października 2017 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Wszystkie te problemy zostały rozwiązane w poziomach aktualizacji zabezpieczeń z 5 września 2017 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa.
Partnerzy zostali poinformowani o problemach opisanych w biuletynie co najmniej miesiąc temu. Poprawki do kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i połączone z tym biuletynem. Ten biuletyn zawiera też linki do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest luka w ramach krytycznych zabezpieczeń w ramach mediów, która umożliwia atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych w Androidzie i Google Play Protect znajdziesz w sekcji poświęconej zabezpieczeniom na platformie Android i Google Play Protect, które zwiększają bezpieczeństwo tej platformy.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: informacje o najnowszej aktualizacji OTA i obrazu oprogramowania układowego urządzeń Google znajdziesz w sekcji Aktualizacje urządzeń Google.
Ogłoszenia
- W tym komunikacie znajdują się 2 ciągi znaków poziomu poprawki zabezpieczeń, które dają partnerom Androida elastyczność w szybszym naprawianiu podzbioru luk, które są podobne na wszystkich urządzeniach z Androidem. Aby dowiedzieć się więcej, zapoznaj się z odpowiedziami na najczęstsze pytania:
- 2017-09-01: częściowy ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu aktualizacji zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-09-01 (i wszystkimi poprzednimi ciągami znaków poziomu aktualizacji zabezpieczeń) zostały rozwiązane.
- 2017-09-05: pełny ciąg znaków poziomu aktualizacji zabezpieczeń. Ten ciąg znaków poziomu poprawki zabezpieczeń wskazuje, że wszystkie problemy związane z 2017-09-01 i 2017-09-05 (oraz wszystkie poprzednie ciągi znaków poziomu poprawki zabezpieczeń) zostały rozwiązane.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie działań zapobiegawczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Poziom aktualizacji zabezpieczeń z 01.09.2017 – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2017-09-01. Luki są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z luką w zabezpieczeniach CVE, powiązanymi odniesieniami, typem luki, wagą oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji obejście wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [2] | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Biblioteki
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście procesu bez uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0753 | A-62218744 | RCE | Wysoki | 7.1.1, 7.1.2, 8.0 |
| CVE-2017-6983 | A-63852675 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0755 | A-32178311 | EoP | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Platforma Media
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0756 | A-34621073 | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0757 | A-36006815 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0758 | A-36492741 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0759 | A-36715268 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0760 | A-37237396 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0761 | A-38448381 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0762 | A-62214264 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0763 | A-62534693 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0764 | A-62872015 | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0765 | A-62872863 | RCE | Krytyczny | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0766 | A-37776688 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0767 | A-37536407 [2] | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0768 | A-62019992 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0769 | A-37662122 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0770 | A-38234812 | EoP | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0771 | A-37624243 | DoS | Wysoki | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0772 | A-38115076 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0773 | A-37615911 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0774 | A-62673844 [2] | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0775 | A-62673179 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0776 | A-38496660 | ID | Umiarkowana | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Wysoki | 6.0.1 | ||
| CVE-2017-0777 | A-38342499 | ID | Umiarkowana | 7.0, 7.1.1, 7.1.2 |
| DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0778 | A-62133227 | ID | Umiarkowana | 7.0, 7.1.1, 7.1.2 |
| DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [2] | ID | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Środowisko wykonawcze
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do zawieszenia aplikacji.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0780 | A-37742976 | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu uruchomienie dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [2] | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0782 | A-63146237 [2] [3] | RCE | Krytyczny | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0783 | A-63145701 | ID | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0784 | A-37287958 | EoP | Umiarkowana | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0785 | A-63146698 | ID | Umiarkowana | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
2017-09-05 poziom aktualizacji zabezpieczeń – informacje o lukach w zabezpieczeniach
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 września 2017 r. Informacje o lukach są pogrupowane według komponentu, którego dotyczą, i zawierają takie szczegóły jak CVE, powiązane odniesienia, typ luki, powagę, komponent (w stosownych przypadkach) oraz zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, na przykład z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Komponenty Broadcom
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić osobie przeprowadzającej atak użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409* B-V2017061204 |
RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-11121 | A-62576413* B-V2017061205 |
RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-7065 | A-62575138* B-V2017061202 |
RCE | Krytyczny | Sterownik Wi-Fi |
| CVE-2017-0786 | A-37351060* B-V2017060101 |
EoP | Wysoki | Sterownik Wi-Fi |
| CVE-2017-0787 | A-37722970* B-V2017053104 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-0788 | A-37722328* B-V2017053103 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-0789 | A-37685267* B-V2017053102 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-0790 | A-37357704* B-V2017053101 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-0791 | A-37306719* B-V2017052302 |
EoP | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-0792 | A-37305578* B-V2017052301 |
ID | Umiarkowana | Sterownik Wi-Fi |
Komponenty Imgtk
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych wykraczających poza poziom uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946* | ID | Wysoki | Podsystem pamięci |
Komponenty jądra
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-8890 | A-38413975 Jednostka jądra upstream |
RCE | Krytyczny | Sieciowy podsystem |
| CVE-2017-9076 | A-62299478 Kompilacja jądra z upstreamu |
EoP | Wysoki | Sieciowy podsystem |
| CVE-2017-9150 | A-62199770 Jednostka nadrzędna jądra |
ID | Wysoki | Rdzeń Linuksa |
| CVE-2017-7487 | A-62070688 Kompilacja jądra z upstream |
EoP | Wysoki | Sterownik protokołu IPX |
| CVE-2017-6214 | A-37901268 Upstream kernel |
DoS | Wysoki | Sieciowy podsystem |
| CVE-2017-6346 | A-37897645 Upstream kernel |
EoP | Wysoki | Rdzeń Linuksa |
| CVE-2017-5897 | A-37871211 Jednostka jądra upstream |
ID | Wysoki | Sieciowy podsystem |
| CVE-2017-7495 | A-62198330 Upstream kernel |
ID | Wysoki | System plików |
| CVE-2017-7616 | A-37751399 Jednostka jądrowa upstream |
ID | Umiarkowana | Rdzeń Linuksa |
| CVE-2017-12146 | A-35676417 Jednostka jądra upstream |
EoP | Umiarkowana | Rdzeń Linuksa |
| CVE-2017-0794 | A-35644812* | EoP | Umiarkowana | Sterownik SCSI |
Komponenty MediaTek
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473* M-ALPS03361480 |
EoP | Wysoki | Sterownik detektora akcesoriów |
| CVE-2017-0796 | A-62458865* M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 |
EoP | Wysoki | Sterownik AUXADC |
| CVE-2017-0797 | A-62459766* M-ALPS03353854 |
EoP | Wysoki | Sterownik detektora akcesoriów |
| CVE-2017-0798 | A-36100671* M-ALPS03365532 |
EoP | Wysoki | Bąbelki |
| CVE-2017-0799 | A-36731602* M-ALPS03342072 |
EoP | Wysoki | Lastbus |
| CVE-2017-0800 | A-37683975* M-ALPS03302988 |
EoP | Wysoki | TEEI |
| CVE-2017-0801 | A-38447970* M-ALPS03337980 |
EoP | Wysoki | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120* M-ALPS03384818 |
EoP | Umiarkowana | Bąbelki |
| CVE-2017-0803 | A-36136137* M-ALPS03361477 |
EoP | Umiarkowana | Sterownik detektora akcesoriów |
| CVE-2017-0804 | A-36274676* M-ALPS03361487 |
EoP | Umiarkowana | Sterownik MMC |
Komponenty Qualcomm
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225* QC-CR#2053101 |
RCE | Krytyczny | LibOmxVenc |
| CVE-2017-10996 | A-38198574 QC-CR#901529 |
ID | Wysoki | Rdzeń Linuksa |
| CVE-2017-9725 | A-38195738 QC-CR#896659 |
EoP | Wysoki | Podsystem pamięci |
| CVE-2017-9724 | A-38196929 QC-CR#863303 |
EoP | Wysoki | Rdzeń Linuksa |
| CVE-2017-8278 | A-62379474 QC-CR#2013236 |
EoP | Wysoki | Sterownik audio |
| CVE-2017-10999 | A-36490777* QC-CR#2010713 |
EoP | Umiarkowana | Sterownik IPA |
| CVE-2017-11001 | A-36815555* QC-CR#2051433 |
ID | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-11002 | A-37712167* QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 |
ID | Umiarkowana | Sterownik Wi-Fi |
| CVE-2017-8250 | A-62379051 QC-CR#2003924 |
EoP | Umiarkowana | Sterownik GPU |
| CVE-2017-9677 | A-62379475 QC-CR#2022953 |
EoP | Umiarkowana | Sterownik audio |
| CVE-2017-10998 | A-38195131 QC-CR#108461 |
EoP | Umiarkowana | Sterownik audio |
| CVE-2017-9676 | A-62378596 QC-CR#2016517 |
ID | Umiarkowana | System plików |
| CVE-2017-8280 | A-62377236 QC-CR#2015858 |
EoP | Umiarkowana | Sterownik WLAN |
| CVE-2017-8251 | A-62379525 QC-CR#2006015 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-10997 | A-33039685* QC-CR#1103077 |
EoP | Umiarkowana | Sterownik PCI |
| CVE-2017-11000 | A-36136563* QC-CR#2031677 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8247 | A-62378684 QC-CR#2023513 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-9720 | A-36264696* QC-CR#2041066 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-8277 | A-62378788 QC-CR#2009047 |
EoP | Umiarkowana | Sterownik wideo |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
ID | Umiarkowana | Multimedia w samochodach |
| CVE-2017-11040 | A-37567102* QC-CR#2038166 |
ID | Umiarkowana | Sterownik wideo |
Aktualizacje urządzeń Google
Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji OTA i obrazu oprogramowania na urządzenia Google. Aktualizacje OTA urządzeń Google mogą też zawierać dodatkowe aktualizacje. Obrazy oprogramowania układów Google są dostępne na stronie Google Developers.
| Urządzenie Google | Stan aktualizacji zabezpieczeń |
|---|---|
| Pixel / Pixel XL | 2017-09-05 |
| Nexus 5X | 2017-09-05 |
| Nexus 6 | 2017-09-05 |
| Nexus 6P | 2017-09-05 |
| Nexus 9 | 2017-09-05 |
| Nexus Player | 2017-09-05 |
| Pixel C | 2017-09-05 |
Podziękowania
Dziękujemy zaangażowanym w to badanie naukowcom:
| CVE | badacze, |
|---|---|
| CVE-2017-11000 | Baozeng Ding (@sploving), Chengming Yang i Yang Song z grupy Alibaba Mobile Security |
| CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 | Ben Seri i Gregory Vishnepolsky z Armis, Inc. (https://armis.com) |
| CVE-2017-0800, CVE-2017-0798 | Chengming Yang, Baozeng Ding i Yang Song z grupy Alibaba Mobile Security Group |
| CVE-2017-0765 | Chi Zhang, Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0758 | Chong Wang i 金哲 (Zhe Jin) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | Cong Zheng (@shellcong), Wenjun Hu, Xiao Zhang i Zhi Xu z Palo Alto Networks |
| CVE-2017-0801 | Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0755 | Dawei Peng z zespołu ds. bezpieczeństwa mobilnego w Alibaba (weibo: Vinc3nt4H). |
| CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 | Elphet i Gong Guang z Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0784 | En He (@heeeeen4x) i Bo Liu z MS509Team |
| CVE-2017-10997 | Gengjia Chen (@chengjia4574) i pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 | Hao Chen i Guang Gong z zespołu Alpha, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0802 | Jake Corina (@JakeCorina) z zespołu Shellphish Grill |
| CVE-2017-0780 | Jason Gu i Seven Shen z Trend Micro |
| CVE-2017-0769 | Mingjian Zhou (@Mingjian_Zhou), Dacheng Shao i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 | Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) z Baidu X-Lab (百度安全实验室) |
| CVE-2017-0772 | Seven Shen z Trend Micro |
| CVE-2017-0757 | Vasily Vasiliev |
| CVE-2017-0768, CVE-2017-0779 | Wenke Dou, Mingjian Zhou (@Mingjian_Zhou) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-0759 | Weichao Sun z Alibaba Inc. |
| CVE-2017-0796 | Xiangqian Zhang, Chengming Yang, Baozeng Ding i Yang Song z Alibaba Mobile Security Group |
| CVE-2017-0753 | Yangkang (@dnpushme) i hujianfei z zespołu Qex w Qihoo360 |
| CVE-2017-12146 | Yonggang Guo (@guoygang) z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0767 | Yongke Wang i Yuebin Sun z laboratorium Xuanwu firmy Tencent |
| CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 | Yu Pan i Yang Dai z zespołu Vulpecker, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0760 | Zinuo Han i 金哲 (Zhe Jin) z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 | Zinuo Han z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami w Harmonogramie aktualizacji urządzeń Pixel i Nexus.
- Poziomy aktualizacji zabezpieczeń z 1 września 2017 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 września 2017 r.
- Poziomy aktualizacji zabezpieczeń z 2017-09-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2017-09-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 1 września 2017 r., muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 września 2017 r. lub nowszego, muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Nexus, które można pobrać na stronie Google Developer.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 września 2017 r. | Biuletyn został opublikowany. |
| 1,1 | 12 września 2017 r. | W ramach ujawniania informacji skoordynowanego przez branżę dodano szczegóły dotyczące błędów CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 i CVE-2017-0785. |
| 1,2 | 13 września 2017 r. | Biuletyn został zaktualizowany o linki do AOSP. |
| 1.3 | 25 września 2017 r. | Dodano szczegóły dotyczące błędów CVE-2017-11120 i CVE-2017-11121 w ramach skoordynowanego w branży ujawniania informacji. |
| 1,4 | 28 września 2017 r. | Zaktualizuj informacje o producencie dotyczące CVE-2017-11001. |