Бюллетень по безопасности Pixel и Nexus – декабрь 2017 г.

Опубликован 4 декабря 2017 г. | Обновлен 6 декабря 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь, устранены в исправлении от 5 декабря 2017 года или более новом. Подробнее о том, как проверить версию системы безопасности на устройстве

Поддерживаемые устройства Google получат обновление системы безопасности 2017-12-05. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13154 A-63666573 ПП Высокий 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0879 A-65025028 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13149 A-65719872 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13150 A-38328132 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-13152 A-62872384 РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Компоненты Broadcom

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13161 A-63930471*
BC-V2017092501
EoP Средний Нет данных

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13167 A-37240993* ПП Высокий Таймер со звуком
CVE-2017-13163 A-37429972* ПП Средний USB-драйвер для протокола MTP
CVE-2017-15868 A-33982955
Upstream kernel
EoP Средний Драйвер для беспроводных сетей
CVE-2017-13165 A-31269937* ПП Средний Файловая система
CVE-2017-13166 A-34624167* ПП Средний Видеодрайвер V4L2
CVE-2017-1000380 A-64217740
Upstream kernel
EoP Средний Драйвер таймера со звуком
CVE-2017-13168 A-65023233* ПП Средний SCSI-драйвер
CVE-2017-13169 A-37512375* РИ Средний CameraServer
CVE-2017-13164 A-36007193* РИ Средний Драйвер Binder

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13172 A-36493287*
M-ALPS03495791
EoP Средний Драйвер Bluetooth

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6280 A-63851980*
N-CVE-2017-6280
ID Средний Драйвер NVIDIA
CVE-2017-13175 A-64339309*
N-CVE-2017-13175
ID Средний Libwilhelm

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-9708 A-62674846*
QC-CR#2081806
EoP Средний Ядро
CVE-2017-11042 A-38232268*
QC-CR#2070438
EoP Средний Binder
CVE-2017-11030 A-64431967
QC-CR#2034255 [2]
EoP Средний Экран
CVE-2017-9703 A-34329758*
QC-CR#2038086
EoP Средний Видеодрайвер
CVE-2017-9718 A-36386076*
QC-CR#2045918
EoP Средний Ядро
CVE-2017-8244 A-35138888*
QC-CR#2013361
EoP Средний Драйвер Debugfs
CVE-2017-14901 A-65468984
QC-CR#2059714
EoP Средний WLAN
CVE-2017-9698 A-63868678
QC-CR#2023860
EoP Средний Графика
CVE-2017-9700 A-63868780
QC-CR#2043822
EoP Средний Аудио
CVE-2017-9722 A-64453224
QC-CR#2034239 [2]
EoP Средний Экран
CVE-2017-11049 A-64728945
QC-CR#2034909
EoP Средний Экран
CVE-2017-11047 A-64728948
QC-CR#2057285
EoP Средний Экран
CVE-2017-14898 A-65468978
QC-CR#2054748
EoP Средний WLAN
CVE-2017-14899 A-65468980
QC-CR#2054752
EoP Средний WLAN
CVE-2017-11044 A-65468989
QC-CR#2063166
EoP Средний Графика
CVE-2017-11045 A-65468993
QC-CR#2060377 [2]
EoP Средний Камера
CVE-2017-14900 A-65468983
QC-CR#2058468
EoP Средний WLAN
CVE-2017-9710 A-63868933
QC-CR#2023883
EoP Средний Данные HLOS
CVE-2017-11019 A-64453105
QC-CR#2030638
EoP Средний Экран
CVE-2017-11016 A-64453423
QC-CR#2038685
EoP Средний Аудио
CVE-2017-11033 A-64453422
QC-CR#2031930 [2]
EoP Средний Ядро
CVE-2017-14896 A-65468975
QC-CR#2013716
EoP Средний Драйвер GUD mobicore
CVE-2017-8281 A-62378232
QC-CR#2015892
ID Средний Драйвер DCI
CVE-2017-14903 A-63522505*
QC-CR#2088768
ID Средний WLAN
CVE-2017-11031 A-64442463
QC-CR#2059181
ID Средний Экран
CVE-2017-14905 A-37719782
QC-CR#2061251
ID Средний Беспроводная сеть

Компоненты Qualcomm с закрытым исходным кодом

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-14907 A-62212113* Н/Д Критический Закрытый компонент
CVE-2016-5341 A-63983006* Н/Д Средний Компонент с закрытым исходным кодом
CVE-2017-9709 A-65944335* Н/Д Средний Закрытый компонент
CVE-2017-15813 A-63979947* Н/Д Средний Закрытый компонент

Улучшения функциональных возможностей

Поддерживаемые устройства Google получат обновление системы до Android 8.1 вместе с беспроводным обновлением в декабре. В эту версию входят улучшения функциональных возможностей и исправления различных компонентов платформы Android.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 декабря 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-12-05. Информацию о том, как проверить версию системы безопасности, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 4 декабря 2017 г. Бюллетень опубликован.
1.1 5 декабря 2017 г. Добавлена ссылка на образы встроенного ПО и информация об обновлениях функциональных возможностей.
1.2 6 декабря 2017 г. Добавлены ссылки на AOSP.