กระดานข่าวการรักษาความปลอดภัยของ Pixel / Nexus—มกราคม 2018

Published มกราคม 2, 2018 | อัพเดทเมื่อ 29 มกราคม 2018

Pixel / Nexus Security Bulletin มีรายละเอียดของช่องโหว่ด้านความปลอดภัยและการปรับปรุงการทำงานที่ส่งผลต่อ อุปกรณ์ Google Pixel และ Nexus (อุปกรณ์ Google) ที่รองรับ สำหรับอุปกรณ์ Google ระดับแพตช์ความปลอดภัย 2018-01-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และปัญหาทั้งหมดใน กระดานข่าวความปลอดภัยของ Android มกราคม 2018 หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็นระดับแพตช์ 2018-01-05 เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

หมายเหตุ: อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

ประกาศ

นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ใน กระดานข่าวความปลอดภัยของ Android มกราคม 2018 แล้ว อุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่าง พาร์ทเนอร์ได้รับแจ้งปัญหาเหล่านี้อย่างน้อยหนึ่งเดือนก่อน และอาจเลือกที่จะรวมไว้เป็นส่วนหนึ่งของการอัปเดตอุปกรณ์

แพตช์ความปลอดภัย

ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน Android Open Source Project (AOSP) ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

กรอบ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0846 A-64934810 [ 2 ] ไอดี ปานกลาง 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

กรอบสื่อ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-13201 A-63982768 ไอดี ปานกลาง 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13202 A-67647856 ไอดี ปานกลาง 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13206 A-65025048 ไอดี ปานกลาง 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13207 A-37564426 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13185 A-65123471 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0
DoS สูง 5.1.1, 6.0, 6.0.1
CVE-2017-13187 A-65034175 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 5.1.1, 6.0, 6.0.1
CVE-2017-13188 A-65280786 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 5.1.1, 6.0, 6.0.1
CVE-2017-13203 A-63122634 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2017-13204 A-64380237 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2017-13205 A-645550583 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2017-13200 A-63100526 ไอดี ต่ำ 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ไอดี ปานกลาง 5.1.1, 6.0, 6.0.1
CVE-2017-13186 A-65735716 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 5.1.1, 6.0, 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 5.1.1, 6.0, 6.0.1

ระบบ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-13212 A-62187985 EoP ปานกลาง 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

ส่วนประกอบ Broadcom

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-13213 A-63374465 *
B-V2017081501
EoP ปานกลาง ไดรเวอร์ Bcmdhd

ส่วนประกอบ HTC

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-11072 A-65468991 * EoP ปานกลาง ตัวอัพเดตตารางพาร์ติชั่น

ส่วนประกอบเคอร์เนล

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-13219 A-62800865 * DoS ปานกลาง ตัวควบคุมหน้าจอสัมผัส Synaptics
CVE-2017-13220 A-63527053 * EoP ปานกลาง BlueZ
CVE-2017-13221 A-64709938 * EoP ปานกลาง ไดรเวอร์ Wifi
CVE-2017-11473 A-64253928
ต้นน้ำเคอร์เนล
EoP ปานกลาง เคอร์เนล
CVE-2017-13222 A-38159576 * ไอดี ปานกลาง เคอร์เนล
CVE-2017-14140 A-65468230
ต้นน้ำเคอร์เนล
ไอดี ปานกลาง เคอร์เนล
CVE-2017-15537 A-68805943
ต้นน้ำเคอร์เนล
ไอดี ปานกลาง เคอร์เนล

ส่วนประกอบ MediaTek

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-13225 A-38308024 *
M-ALPS03495789
EoP สูง MTK Media
CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-13226 A-32591194 *
M-ALPS03149184
EoP ปานกลาง MTK

ส่วนประกอบ Qualcomm

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP ปานกลาง ไดร์เวอร์ SOC
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP ปานกลาง ไดร์เวอร์ SOC
CVE-2017-15848 A-67713083
QC-CR#2073777
EoP ปานกลาง คนขับ
CVE-2017-11081 A-67713113
QC-CR#2077622
EoP ปานกลาง WLan
CVE-2017-15845 A-67713111
QC-CR#2072966
EoP ปานกลาง WLan
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2 ]
EoP ปานกลาง ไดร์เวอร์กราฟิก
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP ปานกลาง ไดรเวอร์ไร้สาย
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP ปานกลาง Bootloader
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP ปานกลาง ไดรเวอร์ HDMI
CVE-2017-14879 A-63890276 *
QC-CR#2056307
EoP ปานกลาง ไดรเวอร์ IPA
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP ปานกลาง Bootloader
CVE-2017-14869 A-67713093
QC-CR#2061498
ไอดี ปานกลาง Bootloader
CVE-2017-11066 A-65468971
QC-CR#2068506
ไอดี ปานกลาง Bootloader
CVE-2017-15850 A-62464339 *
QC-CR#2113240
ไอดี ปานกลาง ไดรเวอร์ไมโครโฟน
CVE-2017-9712 A-63868883
QC-CR#2033195
ไอดี ปานกลาง ไดรเวอร์ไร้สาย
CVE-2017-11079 A-67713100
QC-CR#2078342
ไอดี ปานกลาง Bootloader
CVE-2017-14870 A-67713096
QC-CR#2061506
ไอดี ปานกลาง Bootloader
CVE-2017-11079 A-66937383
QC-CR#2078342
ไอดี ปานกลาง Bootloader

อัพเดตการทำงาน

การอัปเดตเหล่านี้รวมอยู่ในอุปกรณ์ Pixel ที่ได้รับผลกระทบเพื่อแก้ไขปัญหาการทำงานที่ไม่เกี่ยวข้องกับความปลอดภัยของอุปกรณ์ Pixel ตารางนี้มีข้อมูลอ้างอิงที่เกี่ยวข้อง หมวดหมู่ที่ได้รับผลกระทบ เช่น Bluetooth หรือข้อมูลมือถือ และการปรับปรุง

อ้างอิง หมวดหมู่ การปรับปรุง
A-68810306 ที่เก็บคีย์ ปรับการจัดการการอัปเกรดคีย์ในที่เก็บคีย์
A-70213235 ความเสถียร ปรับปรุงความเสถียรและประสิทธิภาพหลังจากติดตั้ง OTA

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

ระดับแพตช์ความปลอดภัย 2018-01-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2018-01-05 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus

2. รายการในคอลัมน์ Type หมายถึงอะไร

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำนิยาม
RCE การเรียกใช้โค้ดจากระยะไกล
EoP ยกระดับสิทธิพิเศษ
ไอดี การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

3. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร

รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิง Broadcom

4. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้กับกระดานข่าวสารความปลอดภัยของ Android

ต้องมีช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยของ Android เพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ที่บันทึกไว้ในกระดานข่าวนี้ ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย

รุ่น

เวอร์ชั่น วันที่ หมายเหตุ
1.0 2 มกราคม 2018 เผยแพร่แถลงการณ์
1.1 5 มกราคม 2018 กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP
1.2 29 มกราคม 2018 เพิ่ม CVE-2017-13225