תאריך פרסום: 4 בדצמבר 2017 | תאריך עדכון: 6 בדצמבר 2017
עדכון האבטחה Pixel / Nexus מכיל פרטים על נקודות חולשה באבטחה ועל שיפורים פונקציונליים שמשפיעים על מכשירי Google Pixel ו-Nexus נתמכים (מכשירי Google). במכשירי Google, כל הבעיות שמפורטות בהודעה הזו נפתרות באמצעות תיקוני האבטחה ברמה 05 בדצמבר 2017 ואילך. במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
כל מכשירי Google הנתמכים יקבלו עדכון לרמת התיקון מ-5 בדצמבר 2017. אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הערה: קובצי האימג' של קושחת המכשיר של Google זמינים באתר למפתחים של Google.
הודעות
בנוסף לנקודות החולשה באבטחה שמתוארות בעדכון האבטחה של Android בדצמבר 2017, מכשירי Pixel ו-Nexus מכילים גם תיקונים לנקודות החולשה באבטחה שמתוארות בהמשך. השותפים עודכנו בבעיות האלה לפני לפחות חודש, והם יכולים לשלב אותן כחלק מהעדכונים של המכשירים שלהם.
תיקוני אבטחה
נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. מוצגים תיאור של הבעיה וטבלה עם מספר ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה, מידת החומרה וגרסאות מעודכנות של Android Open Source Project (AOSP) (אם רלוונטי). כשהדבר אפשרי, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למספר הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
מסגרת מדיה
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2017-13154 | A-63666573 | EoP | רחב | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0879 | A-65025028 | מזהה | בינונית | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | רחב | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13149 | A-65719872 | מזהה | בינונית | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | רחב | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13150 | A-38328132 | מזהה | בינונית | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | רחב | 6.0, 6.0.1 | ||
| CVE-2017-13152 | A-62872384 | מזהה | בינונית | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
רכיבים של Broadcom
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-13161 | A-63930471* BC-V2017092501 |
EoP | בינונית | לא מוגדר |
רכיבי הליבה
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-13167 | A-37240993* | EoP | רחב | טיימר לסאונד |
| CVE-2017-13163 | A-37429972* | EoP | בינונית | מנהל התקן USB מסוג MTP |
| CVE-2017-15868 | A-33982955 ליבה של Upstream |
EoP | בינונית | מנהל התקן אלחוטי |
| CVE-2017-13165 | A-31269937* | EoP | בינונית | מערכת קבצים |
| CVE-2017-13166 | A-34624167* | EoP | בינונית | מנהל ההתקן של וידאו V4L2 |
| CVE-2017-1000380 | A-64217740 ליבה של Upstream |
EoP | בינונית | דרייבר של טיימר קול |
| CVE-2017-13168 | A-65023233* | EoP | בינונית | מנהל התקן SCSI |
| CVE-2017-13169 | A-37512375* | מזהה | בינונית | שרת המצלמה |
| CVE-2017-13164 | A-36007193* | מזהה | בינונית | דרייבר של ארגונית |
רכיבים של MediaTek
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-13172 | A-36493287* M-ALPS03495791 |
EoP | בינונית | דרייבר Bluetooth |
רכיבי NVIDIA
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-6280 | A-63851980* N-CVE-2017-6280 |
מזהה | בינונית | מנהל ההתקן של NVIDIA |
| CVE-2017-13175 | A-64339309* N-CVE-2017-13175 |
מזהה | בינונית | Libwilhelm |
רכיבי Qualcomm
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-9708 | A-62674846* QC-CR#2081806 |
EoP | בינונית | בועה |
| CVE-2017-11042 | A-38232268* QC-CR#2070438 |
EoP | בינונית | ארגונית |
| CVE-2017-11030 | A-64431967 QC-CR#2034255 [2] |
EoP | בינונית | תצוגה |
| CVE-2017-9703 | A-34329758* QC-CR#2038086 |
EoP | בינונית | מנהל התקן וידאו |
| CVE-2017-9718 | A-36386076* QC-CR#2045918 |
EoP | בינונית | בועה |
| CVE-2017-8244 | A-35138888* QC-CR#2013361 |
EoP | בינונית | מנהל ההתקן Debugfs |
| CVE-2017-14901 | A-65468984 QC-CR#2059714 |
EoP | בינונית | WLAN |
| CVE-2017-9698 | A-63868678 QC-CR#2023860 |
EoP | בינונית | גרפיקה |
| CVE-2017-9700 | A-63868780 QC-CR#2043822 |
EoP | בינונית | אודיו |
| CVE-2017-9722 | A-64453224 QC-CR#2034239 [2] |
EoP | בינונית | תצוגה |
| CVE-2017-11049 | A-64728945 QC-CR#2034909 |
EoP | בינונית | תצוגה |
| CVE-2017-11047 | A-64728948 QC-CR#2057285 |
EoP | בינונית | תצוגה |
| CVE-2017-14898 | A-65468978 QC-CR#2054748 |
EoP | בינונית | WLAN |
| CVE-2017-14899 | A-65468980 QC-CR#2054752 |
EoP | בינונית | WLAN |
| CVE-2017-11044 | A-65468989 QC-CR#2063166 |
EoP | בינונית | גרפיקה |
| CVE-2017-11045 | A-65468993 QC-CR#2060377 [2] |
EoP | בינונית | מצלמה |
| CVE-2017-14900 | A-65468983 QC-CR#2058468 |
EoP | בינונית | WLAN |
| CVE-2017-9710 | A-63868933 QC-CR#2023883 |
EoP | בינונית | Data HLOS |
| CVE-2017-11019 | A-64453105 QC-CR#2030638 |
EoP | בינונית | תצוגה |
| CVE-2017-11016 | A-64453423 QC-CR#2038685 |
EoP | בינונית | אודיו |
| CVE-2017-11033 | A-64453422 QC-CR#2031930 [2] |
EoP | בינונית | בועה |
| CVE-2017-14896 | A-65468975 QC-CR#2013716 |
EoP | בינונית | מנהל GUD mobicore |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
מזהה | בינונית | דרייבר DCI |
| CVE-2017-14903 | A-63522505* QC-CR#2088768 |
מזהה | בינונית | WLAN |
| CVE-2017-11031 | A-64442463 QC-CR#2059181 |
מזהה | בינונית | תצוגה |
| CVE-2017-14905 | A-37719782 QC-CR#2061251 |
מזהה | בינונית | רשתות אלחוטיות |
רכיבים של Qualcomm במקור סגור
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2017-14907 | A-62212113* | לא רלוונטי | קריטי | רכיב במקור סגור |
| CVE-2016-5341 | A-63983006* | לא רלוונטי | בינונית | רכיב במקור סגור |
| CVE-2017-9709 | A-65944335* | לא רלוונטי | בינונית | רכיב במקור סגור |
| CVE-2017-15813 | A-63979947* | לא רלוונטי | בינונית | רכיב במקור סגור |
עדכונים פונקציונליים
כל מכשירי Google הנתמכים יקבלו עדכון ל-Android 8.1 כחלק מהעדכון האווירי בדצמבר. Android 8.1 מכיל הרבה עדכונים פונקציונליים ושיפורים בחלקים שונים של פלטפורמת Android.
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
רמות תיקון האבטחה מ-5 בדצמבר 2017 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-5 בדצמבר 2017 וכל רמות התיקון הקודמות. במאמר לוח הזמנים של עדכוני Pixel ו-Nexus מוסבר איך בודקים את רמת תיקון האבטחה של מכשיר.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מפנות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| DoS | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות לכלול קידומת שמזהה את הארגון שאליו שייך ערך העזר.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר הסימוכין של Qualcomm |
| M- | מספר הסימוכין של MediaTek |
| N- | מספר הסימוכין של NVIDIA |
| B- | מספר הסימוכין של Broadcom |
4. מה המשמעות של * לצד מזהה הבאג ב-Android בעמודה References?
בעיות שלא זמינות לציבור מסומנות בסימן * לצד מזהה הבאג ב-Android בעמודה References. בדרך כלל, העדכון לבעיה הזו נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Nexus, שזמינים באתר של Google Developers.
5. למה פרצות האבטחה מחולקות בין העדכון הזה לבין עדכוני האבטחה של Android?
נקודות חולשה באבטחה מתועדות בעדכוני האבטחה של Android, והן נדרשות כדי להצהיר על רמת תיקון האבטחה העדכנית ביותר במכשירי Android. אין צורך בנקודות חולשה נוספות באבטחה, כמו אלה שמתועדות בעדכון הזה, כדי להכריז על רמת תיקון אבטחה.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 4 בדצמבר 2017 | העדכון פורסם. |
| 1.1 | 5 בדצמבר 2017 | העדכון עודכן עם קישור לתמונות של הקושחה ופרטים על עדכונים פונקציונליים. |
| 1.2 | 6 בדצמבר 2017 | העדכון עודכן ונוספו קישורים ל-AOSP. |