Biuletyn dotyczący bezpieczeństwa Pixel / Nexus — styczeń 2018 r

Opublikowano 2 stycznia 2018 | Zaktualizowano 29 stycznia 2018 r

Biuletyn Bezpieczeństwa Pixel / Nexus zawiera szczegółowe informacje na temat luk w zabezpieczeniach i ulepszeń funkcjonalnych wpływających na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poprawki zabezpieczeń z datą 2018-01-05 lub nowszą dotyczą wszystkich problemów opisanych w tym biuletynie oraz wszystkich problemów opisanych w Biuletynie zabezpieczeń Androida ze stycznia 2018 r . Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki 2018-01-05. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Uwaga: obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .

Ogłoszenia

Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń Androida ze stycznia 2018 r . urządzenia Pixel i Nexus zawierają także łaty usuwające luki w zabezpieczeniach opisane poniżej. Partnerzy zostali powiadomieni o tych problemach co najmniej miesiąc temu i mogą zdecydować się na uwzględnienie ich w ramach aktualizacji swoich urządzeń.

Poprawki bezpieczeństwa

Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu i tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje Android Open Source Project (AOSP) (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Struktura

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0846 A-64934810 [ 2 ] ID Umiarkowany 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Ramy medialne

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-13201 A-63982768 ID Umiarkowany 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13202 A-67647856 ID Umiarkowany 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13206 A-65025048 ID Umiarkowany 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13207 A-37564426 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13185 A-65123471 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 5.1.1, 6.0, 6.0.1
CVE-2017-13187 A-65034175 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 5.1.1, 6.0, 6.0.1
CVE-2017-13188 A-65280786 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 5.1.1, 6.0, 6.0.1
CVE-2017-13203 A-63122634 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0, 6.0.1
CVE-2017-13204 A-64380237 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0, 6.0.1
CVE-2017-13205 A-64550583 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0, 6.0.1
CVE-2017-13200 A-63100526 ID Niski 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ID Umiarkowany 5.1.1, 6.0, 6.0.1
CVE-2017-13186 A-65735716 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0, 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 5.1.1, 6.0, 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 5.1.1, 6.0, 6.0.1

System

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-13212 A-62187985 EoP Umiarkowany 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Komponenty firmy Broadcom

CVE Bibliografia Typ Powaga Część
CVE-2017-13213 A-63374465 *
B-V2017081501
EoP Umiarkowany Sterownik Bcmdhd

Komponenty HTC

CVE Bibliografia Typ Powaga Część
CVE-2017-11072 A-65468991 * EoP Umiarkowany Aktualizator tabeli partycji

Składniki jądra

CVE Bibliografia Typ Powaga Część
CVE-2017-13219 A-62800865 * DoS Umiarkowany Kontroler z ekranem dotykowym Synaptics
CVE-2017-13220 A-63527053 * EoP Umiarkowany NiebieskiZ
CVE-2017-13221 A-64709938 * EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-11473 A-64253928
Jądro nadrzędne
EoP Umiarkowany Jądro
CVE-2017-13222 A-38159576 * ID Umiarkowany Jądro
CVE-2017-14140 A-65468230
Jądro nadrzędne
ID Umiarkowany Jądro
CVE-2017-15537 A-68805943
Jądro nadrzędne
ID Umiarkowany Jądro

Komponenty MediaTeka

CVE Bibliografia Typ Powaga Część
CVE-2017-13225 A-38308024 *
M-ALPS03495789
EoP Wysoki Media MTK
CVE Bibliografia Typ Powaga Część
CVE-2017-13226 A-32591194 *
M-ALPS03149184
EoP Umiarkowany MTK

Komponenty Qualcomma

CVE Bibliografia Typ Powaga Część
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP Umiarkowany Kierowca SOC
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP Umiarkowany Kierowca SOC
CVE-2017-15848 A-67713083
QC-CR#2073777
EoP Umiarkowany Kierowca
CVE-2017-11081 A-67713113
QC-CR#2077622
EoP Umiarkowany WLAN
CVE-2017-15845 A-67713111
QC-CR#2072966
EoP Umiarkowany WLAN
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2 ]
EoP Umiarkowany Sterownik karty graficznej
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP Umiarkowany Sterownik bezprzewodowy
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP Umiarkowany Program rozruchowy
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP Umiarkowany Sterownik HDMI
CVE-2017-14879 A-63890276 *
QC-CR#2056307
EoP Umiarkowany Kierowca IPA
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP Umiarkowany Program rozruchowy
CVE-2017-14869 A-67713093
QC-CR#2061498
ID Umiarkowany Program rozruchowy
CVE-2017-11066 A-65468971
QC-CR#2068506
ID Umiarkowany Program rozruchowy
CVE-2017-15850 A-62464339 *
QC-CR#2113240
ID Umiarkowany Sterownik mikrofonu
CVE-2017-9712 A-63868883
QC-CR#2033195
ID Umiarkowany Sterownik bezprzewodowy
CVE-2017-11079 A-67713100
QC-CR#2078342
ID Umiarkowany Program rozruchowy
CVE-2017-14870 A-67713096
QC-CR#2061506
ID Umiarkowany Program rozruchowy
CVE-2017-11079 A-66937383
QC-CR#2078342
ID Umiarkowany Program rozruchowy

Aktualizacje funkcjonalne

Te aktualizacje są dostępne dla urządzeń Pixel, których dotyczy problem, i rozwiązują problemy z funkcjonalnością niezwiązane z bezpieczeństwem urządzeń Pixel. Tabela zawiera powiązane odniesienia; kategoria, której to dotyczy, np. Bluetooth lub mobilna transmisja danych; i ulepszenia.

Bibliografia Kategoria Ulepszenia
A-68810306 Magazyn kluczy Dostosowano obsługę kluczowych aktualizacji w magazynie kluczy.
A-70213235 Stabilność Popraw stabilność i wydajność po zainstalowaniu OTA.

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z dnia 2018-01-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2018-01-05 i wszystkimi poprzednimi poziomami poprawek. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

2. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

4. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

5. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i Biuletyny bezpieczeństwa Androida?

Aby móc zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z systemem Android, wymagane są luki w zabezpieczeniach udokumentowane w Biuletynach bezpieczeństwa systemu Android. Dodatkowe luki w zabezpieczeniach, takie jak te udokumentowane w tym biuletynie, nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń.

Wersje

Wersja Data Notatki
1,0 2 stycznia 2018 r Biuletyn opublikowany.
1.1 5 stycznia 2018 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
1.2 29 stycznia 2018 r Dodano CVE-2017-13225.