Buletin Keamanan Pixel / Nexus—Januari 2018

Diterbitkan 2 Januari 2018 | Diperbarui 29 Januari 2018

Buletin Keamanan Pixel / Nexus berisi rincian kerentanan keamanan dan peningkatan fungsi yang memengaruhi perangkat Google Pixel dan Nexus yang didukung (perangkat Google). Untuk perangkat Google, tingkat patch keamanan 05-01-2018 atau yang lebih baru mengatasi semua masalah dalam buletin ini dan semua masalah dalam Buletin Keamanan Android Januari 2018 . Untuk mempelajari cara memeriksa tingkat patch keamanan perangkat, lihat Memeriksa dan memperbarui versi Android Anda .

Semua perangkat Google yang didukung akan menerima pembaruan ke tingkat patch 05-01-2018. Kami mendorong semua pelanggan untuk menerima pembaruan ini pada perangkat mereka.

Catatan: Gambar firmware perangkat Google tersedia di situs Pengembang Google .

Pengumuman

Selain kerentanan keamanan yang dijelaskan dalam Buletin Keamanan Android Januari 2018 , perangkat Pixel dan Nexus juga berisi patch untuk kerentanan keamanan yang dijelaskan di bawah. Mitra telah diberitahu tentang masalah ini setidaknya sebulan yang lalu dan mungkin memilih untuk memasukkannya sebagai bagian dari pembaruan perangkat mereka.

Patch keamanan

Kerentanan dikelompokkan berdasarkan komponen yang terkena dampaknya. Terdapat deskripsi masalah dan tabel berisi CVE, referensi terkait, jenis kerentanan , tingkat keparahan , dan versi Proyek Sumber Terbuka Android (AOSP) yang diperbarui (jika berlaku). Jika tersedia, kami menautkan perubahan publik yang mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu bug, referensi tambahan ditautkan ke nomor setelah ID bug.

Kerangka

CVE Referensi Jenis Kerasnya Versi AOSP yang diperbarui
CVE-2017-0846 A-64934810 [ 2 ] PENGENAL Sedang 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Kerangka media

CVE Referensi Jenis Kerasnya Versi AOSP yang diperbarui
CVE-2017-13201 A-63982768 PENGENAL Sedang 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13202 A-67647856 PENGENAL Sedang 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13206 A-65025048 PENGENAL Sedang 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13207 A-37564426 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13185 A-65123471 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0
DoS Tinggi 5.1.1, 6.0, 6.0.1
CVE-2017-13187 A-65034175 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 5.1.1, 6.0, 6.0.1
CVE-2017-13188 A-65280786 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 5.1.1, 6.0, 6.0.1
CVE-2017-13203 A-63122634 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 6.0, 6.0.1
CVE-2017-13204 A-64380237 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 6.0, 6.0.1
CVE-2017-13205 A-64550583 PENGENAL Sedang 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 6.0, 6.0.1
CVE-2017-13200 A-63100526 PENGENAL Rendah 7.0, 7.1.1, 7.1.2, 8.0, 8.1
PENGENAL Sedang 5.1.1, 6.0, 6.0.1
CVE-2017-13186 A-65735716 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 6.0, 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 5.1.1, 6.0, 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Tinggi 5.1.1, 6.0, 6.0.1

Sistem

CVE Referensi Jenis Kerasnya Versi AOSP yang diperbarui
CVE-2017-13212 A-62187985 EoP Sedang 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Komponen Broadcom

CVE Referensi Jenis Kerasnya Komponen
CVE-2017-13213 A-63374465 *
B-V2017081501
EoP Sedang Sopir Bcmdhd

komponen HTC

CVE Referensi Jenis Kerasnya Komponen
CVE-2017-11072 A-65468991 * EoP Sedang Pembaru tabel partisi

Komponen inti

CVE Referensi Jenis Kerasnya Komponen
CVE-2017-13219 A-62800865 * DoS Sedang Pengontrol layar sentuh Synaptics
CVE-2017-13220 A-63527053 * EoP Sedang BiruZ
CVE-2017-13221 A-64709938 * EoP Sedang Sopir Wi-Fi
CVE-2017-11473 A-64253928
Kernel hulu
EoP Sedang Inti
CVE-2017-13222 A-38159576 * PENGENAL Sedang Inti
CVE-2017-14140 A-65468230
Kernel hulu
PENGENAL Sedang Inti
CVE-2017-15537 A-68805943
Kernel hulu
PENGENAL Sedang Inti

komponen MediaTek

CVE Referensi Jenis Kerasnya Komponen
CVE-2017-13225 A-38308024 *
M-ALPS03495789
EoP Tinggi Media MTK
CVE Referensi Jenis Kerasnya Komponen
CVE-2017-13226 A-32591194 *
M-ALPS03149184
EoP Sedang MTK

komponen Qualcomm

CVE Referensi Jenis Kerasnya Komponen
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP Sedang Pengemudi SOC
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP Sedang Pengemudi SOC
CVE-2017-15848 A-67713083
QC-CR#2073777
EoP Sedang Pengemudi
CVE-2017-11081 A-67713113
QC-CR#2077622
EoP Sedang Wlan
CVE-2017-15845 A-67713111
QC-CR#2072966
EoP Sedang Wlan
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2 ]
EoP Sedang Pengemudi Grafis
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP Sedang Pengemudi nirkabel
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP Sedang Pemuat boot
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP Sedang pengemudi HDMI
CVE-2017-14879 A-63890276 *
QC-CR#2056307
EoP Sedang pengemudi IPA
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP Sedang Pemuat boot
CVE-2017-14869 A-67713093
QC-CR#2061498
PENGENAL Sedang Pemuat boot
CVE-2017-11066 A-65468971
QC-CR#2068506
PENGENAL Sedang Pemuat boot
CVE-2017-15850 A-62464339 *
QC-CR#2113240
PENGENAL Sedang Pengemudi mikrofon
CVE-2017-9712 A-63868883
QC-CR#2033195
PENGENAL Sedang Pengemudi nirkabel
CVE-2017-11079 A-67713100
QC-CR#2078342
PENGENAL Sedang Pemuat boot
CVE-2017-14870 A-67713096
QC-CR#2061506
PENGENAL Sedang Pemuat boot
CVE-2017-11079 A-66937383
QC-CR#2078342
PENGENAL Sedang Pemuat boot

Pembaruan fungsional

Pembaruan ini disertakan untuk perangkat Pixel yang terpengaruh guna mengatasi masalah fungsionalitas yang tidak terkait dengan keamanan perangkat Pixel. Tabel tersebut mencakup referensi terkait; kategori yang terkena dampak, seperti Bluetooth atau data seluler; dan perbaikan.

Referensi Kategori Perbaikan
A-68810306 Penyimpanan kunci Penanganan peningkatan kunci yang disesuaikan di keystore.
A-70213235 Stabilitas Tingkatkan stabilitas dan kinerja setelah menginstal OTA.

Pertanyaan dan jawaban umum

Bagian ini menjawab pertanyaan umum yang mungkin muncul setelah membaca buletin ini.

1. Bagaimana cara menentukan apakah perangkat saya diperbarui untuk mengatasi masalah ini?

Level patch keamanan 05-01-2018 atau yang lebih baru mengatasi semua masalah yang terkait dengan level patch keamanan 01-01-2018 dan semua level patch sebelumnya. Untuk mempelajari cara memeriksa tingkat patch keamanan perangkat, baca petunjuk pada jadwal update Pixel dan Nexus .

2. Apa yang dimaksud dengan entri pada kolom Tipe ?

Entri di kolom Jenis pada tabel detail kerentanan merujuk pada klasifikasi kerentanan keamanan.

Singkatan Definisi
RCE Eksekusi kode jarak jauh
EoP Peningkatan hak istimewa
PENGENAL Keterbukaan informasi
DoS Kegagalan layanan
T/A Klasifikasi tidak tersedia

3. Apa yang dimaksud dengan entri pada kolom Referensi ?

Entri di kolom Referensi pada tabel detail kerentanan mungkin berisi awalan yang mengidentifikasi organisasi tempat nilai referensi tersebut berada.

Awalan Referensi
A- ID bug Android
QC- Nomor referensi Qualcomm
M- Nomor referensi MediaTek
N- Nomor referensi NVIDIA
B- Nomor referensi Broadcom

4. Apa arti tanda * di samping ID bug Android pada kolom Referensi ?

Masalah yang tidak tersedia untuk umum mempunyai tanda * di samping ID bug Android di kolom Referensi . Pembaruan untuk masalah tersebut umumnya terdapat dalam driver biner terbaru untuk perangkat Nexus yang tersedia dari situs Pengembang Google .

5. Mengapa kerentanan keamanan terbagi antara buletin ini dan Buletin Keamanan Android?

Kerentanan keamanan yang didokumentasikan dalam Buletin Keamanan Android diperlukan untuk mendeklarasikan tingkat patch keamanan terbaru pada perangkat Android. Kerentanan keamanan tambahan, seperti yang didokumentasikan dalam buletin ini, tidak diperlukan untuk mendeklarasikan tingkat patch keamanan.

Versi

Versi: kapan Tanggal Catatan
1.0 2 Januari 2018 Buletin diterbitkan.
1.1 5 Januari 2018 Buletin direvisi untuk menyertakan link AOSP.
1.2 29 Januari 2018 Menambahkan CVE-2017-13225.