Бюллетень по безопасности Pixel и Nexus – январь 2018 г.

Опубликован 2 января 2018 г. | Обновлен 29 января 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за январь 2018 года, устранены в исправлении системы безопасности 2018-01-05 и более новых. Подробнее о том, как проверить уровень исправления системы безопасности на устройстве

Поддерживаемые устройства Google получат исправление системы безопасности 2018-01-05. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за январь 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0846 A-64934810 [2] ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13201 A-63982768 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13202 A-67647856 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13206 A-65025048 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13207 A-37564426 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13185 A-65123471 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13187 A-65034175 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13188 A-65280786 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13203 A-63122634 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0, 6.0.1
CVE-2017-13204 A-64380237 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0, 6.0.1
CVE-2017-13205 A-64550583 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0, 6.0.1
CVE-2017-13200 A-63100526 ID Низкий 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ID Средний 5.1.1, 6.0, 6.0.1
CVE-2017-13186 A-65735716 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0, 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13212 A-62187985 EoP Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Компоненты Broadcom

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13213 A-63374465*
B-V2017081501
EoP Средний Драйвер bcmdhd

Компоненты HTC

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11072 A-65468991* EoP Средний Программа обновления таблицы разделов

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13219 A-62800865* DoS Средний Контроллер сенсорного экрана Synaptics
CVE-2017-13220 A-63527053* EoP Средний BlueZ
CVE-2017-13221 A-64709938* EoP Средний Драйвер Wi-Fi
CVE-2017-11473 A-64253928
Upstream kernel
EoP Средний Ядро
CVE-2017-13222 A-38159576* ID Средний Ядро
CVE-2017-14140 A-65468230
Upstream kernel
ID Средний Ядро
CVE-2017-15537 A-68805943
Upstream kernel
ID Средний Ядро

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13225 A-38308024*
M-ALPS03495789
EoP Высокий MTK Media
CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13226 A-32591194*
M-ALPS03149184
EoP Средний MTK

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP Средний Драйвер процессора
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP Средний Драйвер процессора
CVE-2017-15848 A-67713083
QC-CR#2073777
EoP Средний Драйвер
CVE-2017-11081 A-67713113
QC-CR#2077622
EoP Средний WLAN
CVE-2017-15845 A-67713111
QC-CR#2072966
EoP Средний WLAN
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2]
EoP Средний Драйвер графической системы
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP Средний Драйвер адаптера беспроводной сети
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP Средний Загрузчик
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP Средний Драйвер HDMI
CVE-2017-14879 A-63890276*
QC-CR#2056307
EoP Средний Драйвер IPA
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP Средний Загрузчик
CVE-2017-14869 A-67713093
QC-CR#2061498
ID Средний Загрузчик
CVE-2017-11066 A-65468971
QC-CR#2068506
ID Средний Загрузчик
CVE-2017-15850 A-62464339*
QC-CR#2113240
ID Средний Драйвер микрофона
CVE-2017-9712 A-63868883
QC-CR#2033195
ID Средний Драйвер адаптера беспроводной сети
CVE-2017-11079 A-67713100
QC-CR#2078342
ID Средний Загрузчик
CVE-2017-14870 A-67713096
QC-CR#2061506
ID Средний Загрузчик
CVE-2017-11079 A-66937383
QC-CR#2078342
ID Средний Загрузчик

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения.

Ссылки Категория Описание
A-68810306 Хранилище ключей Внесены изменения в обработку обновлений ключей.
A-70213235 Стабильность Повышены стабильность и производительность после установки автоматического обновления (OTA).

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2018-01-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-01-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 2 января 2018 г. Бюллетень опубликован.
1.1 5 января 2018 г. Добавлены ссылки на AOSP.
1.2 29 января 2018 г. Добавлена информация об уязвимости CVE-2017-13225.