發表於 2017 年 12 月 4 日 |更新於 2017 年 12 月 6 日
Pixel / Nexus 安全公告包含影響受支援的 Google Pixel 和 Nexus 裝置(Google 裝置)的安全漏洞和功能改進的詳細資訊。對於 Google 設備,2017 年 12 月 5 日或更高版本的安全性修補程式等級可以解決本公告中的所有問題。若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本。
所有受支援的 Google 裝置都將收到 2017 年 12 月 5 日修補程式等級的更新。我們鼓勵所有客戶接受對其設備的這些更新。
注意: Google 裝置韌體映像可在Google Developer 網站上取得。
公告
除了2017 年 12 月 Android 安全公告中所述的安全漏洞外,Pixel 和 Nexus 裝置還包含下述安全漏洞的修補程式。合作夥伴至少在一個月前收到有關這些問題的通知,並可能選擇將其納入設備更新的一部分。
安全補丁
漏洞按其影響的組件進行分組。其中包含問題的描述以及包含 CVE、相關引用、漏洞類型、嚴重性和更新的 Android 開源專案 (AOSP) 版本(如果適用)的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
媒體框架
| CVE | 參考 | 類型 | 嚴重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-13154 | A-63666573 | 結束時間 | 高的 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
| CVE-2017-0879 | A-65025028 | ID | 緩和 | 7.0、7.1.1、7.1.2、8.0 |
| 拒絕服務 | 高的 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13149 | A-65719872 | ID | 緩和 | 7.0、7.1.1、7.1.2、8.0 |
| 拒絕服務 | 高的 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13150 | A-38328132 | ID | 緩和 | 7.0、7.1.1、7.1.2、8.0 |
| 拒絕服務 | 高的 | 6.0、6.0.1 | ||
| CVE-2017-13152 | A-62872384 | ID | 緩和 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
博通組件
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-13161 | A-63930471 * BC-V2017092501 | 結束時間 | 緩和 | 不明確的 |
核心元件
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-13167 | A-37240993 * | 結束時間 | 高的 | 聲音定時器 |
| CVE-2017-13163 | A-37429972 * | 結束時間 | 緩和 | MTP USB 驅動程式 |
| CVE-2017-15868 | A-33982955 上游內核 | 結束時間 | 緩和 | 無線驅動 |
| CVE-2017-13165 | A-31269937 * | 結束時間 | 緩和 | 檔案系統 |
| CVE-2017-13166 | A-34624167 * | 結束時間 | 緩和 | V4L2視訊驅動 |
| CVE-2017-1000380 | A-64217740 上游內核 | 結束時間 | 緩和 | 聲音定時器驅動程式 |
| CVE-2017-13168 | A-65023233 * | 結束時間 | 緩和 | SCSI驅動程式 |
| CVE-2017-13169 | A-37512375 * | ID | 緩和 | 網路攝影機伺服器 |
| CVE-2017-13164 | A-36007193 * | ID | 緩和 | 活頁夾驅動程式 |
聯發科技組件
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-13172 | A-36493287 * M-ALPS03495791 | 結束時間 | 緩和 | 藍牙驅動 |
NVIDIA 組件
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-6280 | A-63851980 * N-CVE-2017-6280 | ID | 緩和 | 英偉達驅動程式 |
| CVE-2017-13175 | A-64339309 * N-CVE-2017-13175 | ID | 緩和 | 利布威廉 |
高通組件
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-9708 | A-62674846 * QC-CR#2081806 | 結束時間 | 緩和 | 核心 |
| CVE-2017-11042 | A-38232268 * QC-CR#2070438 | 結束時間 | 緩和 | 活頁夾 |
| CVE-2017-11030 | A-64431967 QC-CR#2034255 [ 2 ] | 結束時間 | 緩和 | 展示 |
| CVE-2017-9703 | A-34329758 * QC-CR#2038086 | 結束時間 | 緩和 | 視訊驅動程式 |
| CVE-2017-9718 | A-36386076 * QC-CR#2045918 | 結束時間 | 緩和 | 核心 |
| CVE-2017-8244 | A-35138888 * QC-CR#2013361 | 結束時間 | 緩和 | 偵錯驅動程式 |
| CVE-2017-14901 | A-65468984 QC-CR#2059714 | 結束時間 | 緩和 | 無線區域網路 |
| CVE-2017-9698 | A-63868678 QC-CR#2023860 | 結束時間 | 緩和 | 圖形 |
| CVE-2017-9700 | A-63868780 QC-CR#2043822 | 結束時間 | 緩和 | 聲音的 |
| CVE-2017-9722 | A-64453224 QC-CR#2034239 [ 2 ] | 結束時間 | 緩和 | 展示 |
| CVE-2017-11049 | A-64728945 QC-CR#2034909 | 結束時間 | 緩和 | 展示 |
| CVE-2017-11047 | A-64728948 QC-CR#2057285 | 結束時間 | 緩和 | 展示 |
| CVE-2017-14898 | A-65468978 QC-CR#2054748 | 結束時間 | 緩和 | 無線區域網路 |
| CVE-2017-14899 | A-65468980 QC-CR#2054752 | 結束時間 | 緩和 | 無線區域網路 |
| CVE-2017-11044 | A-65468989 QC-CR#2063166 | 結束時間 | 緩和 | 圖形 |
| CVE-2017-11045 | A-65468993 QC-CR#2060377 [ 2 ] | 結束時間 | 緩和 | 相機 |
| CVE-2017-14900 | A-65468983 QC-CR#2058468 | 結束時間 | 緩和 | 無線區域網路 |
| CVE-2017-9710 | A-63868933 QC-CR#2023883 | 結束時間 | 緩和 | 數據HLOS |
| CVE-2017-11019 | A-64453105 QC-CR#2030638 | 結束時間 | 緩和 | 展示 |
| CVE-2017-11016 | A-64453423 QC-CR#2038685 | 結束時間 | 緩和 | 聲音的 |
| CVE-2017-11033 | A-64453422 QC-CR#2031930 [ 2 ] | 結束時間 | 緩和 | 核心 |
| CVE-2017-14896 | A-65468975 QC-CR#2013716 | 結束時間 | 緩和 | GUD 行動核心驅動程式 |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 | ID | 緩和 | DCI驅動器 |
| CVE-2017-14903 | A-63522505 * QC-CR#2088768 | ID | 緩和 | 無線區域網路 |
| CVE-2017-11031 | A-64442463 QC-CR#2059181 | ID | 緩和 | 展示 |
| CVE-2017-14905 | A-37719782 QC-CR#2061251 | ID | 緩和 | 無線網路 |
高通閉源元件
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-14907 | A-62212113 * | 不適用 | 批判的 | 閉源元件 |
| CVE-2016-5341 | A-63983006 * | 不適用 | 緩和 | 閉源元件 |
| CVE-2017-9709 | A-65944335 * | 不適用 | 緩和 | 閉源元件 |
| CVE-2017-15813 | A-63979947 * | 不適用 | 緩和 | 閉源元件 |
功能更新
作為 12 月 OTA 的一部分,所有受支援的 Google 裝置都將收到 Android 8.1 更新。 Android 8.1 包含許多對 Android 平台各部分的功能更新和改進。
常見問題及解答
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的裝置是否已更新以解決這些問題?
2017-12-05 或更高版本的安全性修補程式等級解決了與 2017-12-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。若要了解如何檢查裝置的安全修補程式級別,請閱讀Pixel 和 Nexus 更新計畫上的說明。
2.類型欄中的條目是什麼意思?
漏洞詳細資料表的「類型」欄位中的條目引用安全漏洞的分類。
| 縮寫 | 定義 |
|---|---|
| 遠端程式碼執行 | 遠端程式碼執行 |
| 結束時間 | 特權提升 |
| ID | 資訊揭露 |
| 拒絕服務 | 拒絕服務 |
| 不適用 | 分類不可用 |
3.參考文獻欄中的條目是什麼意思?
漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。
| 字首 | 參考 |
|---|---|
| A- | 安卓錯誤 ID |
| QC- | 高通參考號 |
| M- | 聯發科參考號 |
| N- | NVIDIA 參考號 |
| B- | 博通參考號 |
4.參考資料欄中 Android bug ID 旁邊的 * 是什麼意思?
未公開發布的問題在「參考資料」列中的 Android bug ID 旁邊有一個 *。此問題的更新通常包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
5. 為什麼本公告和 Android 安全公告中的安全漏洞不同?
為了聲明 Android 裝置上的最新安全修補程式級別,需要 Android 安全公告中記錄的安全漏洞。其他安全漏洞(例如本公告中記錄的漏洞)不需要聲明安全修補程式等級。
版本
| 版本 | 日期 | 筆記 |
|---|---|---|
| 1.0 | 2017 年 12 月 4 日 | 公告發布。 |
| 1.1 | 2017 年 12 月 5 日 | 更新了公告,其中包含韌體映像的連結和功能更新的詳細資訊。 |
| 1.2 | 2017 年 12 月 6 日 | 公告已修訂,包含 AOSP 連結。 |