منتشر شده در 5 فوریه 2018 | به روز شده در 30 آوریل 2018
بولتن امنیتی Pixel / Nexus حاوی جزئیات آسیبپذیریهای امنیتی و بهبودهای عملکردی است که بر دستگاههای Google Pixel و Nexus پشتیبانیشده (دستگاههای Google) تأثیر میگذارند. برای دستگاههای Google، سطوح وصله امنیتی 2018-02-05 یا جدیدتر به همه مشکلات موجود در این بولتن و همه مشکلات در بولتن امنیتی Android فوریه 2018 رسیدگی میکند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
همه دستگاههای پشتیبانیشده Google یک بهروزرسانی به سطح وصله ۰۵/۰۲/۲۰۱۸ دریافت خواهند کرد. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
توجه: تصاویر میانافزار دستگاه Google در سایت Google Developer موجود است.
اطلاعیه ها
علاوه بر آسیبپذیریهای امنیتی شرحدادهشده در بولتن امنیتی اندروید فوریه ۲۰۱۸ ، دستگاههای Pixel و Nexus همچنین دارای وصلههایی برای آسیبپذیریهای امنیتی شرح داده شده در زیر هستند. شرکا حداقل یک ماه پیش از این مشکلات مطلع شدند و ممکن است انتخاب کنند که آنها را به عنوان بخشی از بهروزرسانیهای دستگاه خود بگنجانند.
وصله های امنیتی
آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیبپذیری ، شدت و نسخههای بهروزرسانیشده پروژه منبع باز Android (AOSP) (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
چارچوب
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-13239 | A-66244132 * | شناسه | در حد متوسط | 8.0 |
| CVE-2017-13240 | الف-68694819 | شناسه | در حد متوسط | 8.0، 8.1 |
چارچوب رسانه ای
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-13241 | A-69065651 | شناسه | در حد متوسط | 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0، 8.1 |
| CVE-2017-13229 | A-68160703 | RCE | در حد متوسط | 7.0، 7.1.1، 7.1.2، 8.0، 8.1 |
| RCE | بحرانی | 5.1.1، 6.0، 6.0.1 | ||
| CVE-2017-13235 | الف-68342866 | NSI | NSI | 7.0، 7.1.1، 7.1.2، 8.0، 8.1 |
| DoS | بالا | 5.1.1، 6.0، 6.0.1 |
سیستم
| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2017-13242 | A-62672248 [ 2 ] | شناسه | در حد متوسط | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0، 8.1 |
| CVE-2017-13243 | A-38258991 * | شناسه | در حد متوسط | 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0 |
اجزای هسته
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-13244 | A-62678986 * | EoP | در حد متوسط | سه پایه |
| CVE-2017-13245 | A-64315347 * | EoP | در حد متوسط | درایور صدا |
| CVE-2017-1000405 | الف-69934280 هسته بالادست | EoP | در حد متوسط | مدیریت صفحه |
| CVE-2017-13246 | A-36279469 * | شناسه | در حد متوسط | درایور شبکه |
قطعات کوالکام
| CVE | منابع | تایپ کنید | شدت | جزء |
|---|---|---|---|---|
| CVE-2017-15817 | الف-68992394 QC-CR#2076603 [ 2 ] | RCE | بحرانی | WLan |
| CVE-2017-15859 | A-65468985 QC-CR#2059715 | شناسه | در حد متوسط | qcacld-2.0 |
| CVE-2017-17769 | A-65172622 * QC-CR#2110256 | شناسه | در حد متوسط | qdsp6v2 |
| CVE-2017-9723 | الف-68992479 QC-CR#2007828 | EoP | در حد متوسط | درایور صفحه لمسی synaptics_dsx_htc |
| CVE-2017-14881 | الف-68992478 QC-CR#2087492 [ 2 ] | EoP | در حد متوسط | درایور ipa |
| CVE-2017-14877 | الف-68992473 QC-CR#2057803 [ 2 ] | EoP | در حد متوسط | درایور ipa |
| CVE-2017-15826 | الف-68992471 QC-CR#2100085 [ 2 ] | EoP | در حد متوسط | روتاتور MDSS |
| CVE-2017-14876 | الف-68992468 QC-CR#2054041 | EoP | در حد متوسط | درایور MSM camera_v2 |
| CVE-2017-14892 | الف-68992455 QC-CR#2096407 | EoP | در حد متوسط | qdsp6v2 |
| CVE-2017-17766 | الف-68992448 QC-CR#2115366 | EoP | در حد متوسط | وای فای |
| CVE-2017-15823 | الف-68992447 QC-CR#2115365 | EoP | در حد متوسط | وای فای |
| CVE-2017-15852 | A-36730614 * QC-CR#2028702 | EoP | در حد متوسط | فریم بافر |
| CVE-2017-15846 | الف-67713103 QC-CR#2083314 [ 2 ] | EoP | در حد متوسط | دوربین |
| CVE-2017-14883 | الف-68992426 QC-CR#2112832 | EoP | در حد متوسط | قدرت |
| CVE-2017-11043 | الف-68992421 QC-CR#2091584 | EoP | در حد متوسط | وای فای |
| CVE-2017-14875 | الف-68992465 QC-CR#2042147 | شناسه | در حد متوسط | دوربین |
| CVE-2017-14891 | الف-68992453 QC-CR#2096006 | شناسه | در حد متوسط | KGSL |
| CVE-2017-17771 | A-38196031 QC-CR#2003798 | EoP | در حد متوسط | راننده دوربین |
| CVE-2017-11087 | A-34735194 * QC-CR#2053869 | شناسه | در حد متوسط | چارچوب رسانه ای |
به روز رسانی های عملکردی
این بهروزرسانیها برای دستگاههای Pixel آسیبدیده گنجانده شدهاند تا به مشکلات عملکردی که به امنیت دستگاههای Pixel مربوط نیستند رسیدگی کنند. جدول شامل مراجع مرتبط است. دسته آسیب دیده، مانند بلوتوث یا داده های تلفن همراه؛ بهبودها؛ و دستگاه های تحت تأثیر
| منابع | دسته بندی | بهبودها | دستگاه ها |
|---|---|---|---|
| الف-68863351 | UX | آیکون های بهبود یافته در برنامه تنظیمات. | همه |
| الف-68198663 | بلوتوث | بهبود کیفیت تماس بلوتوث برای برخی از هدست ها. | Pixel، Pixel XL، Pixel 2، Pixel 2 XL |
| الف-68317240 | وای فای | بهبود عملکرد اتصال Wi-Fi. | Pixel 2, Pixel 2 XL |
| الف-69263786 | دوربین | بهبود عملکرد دوربین در شرایط نوری خاص. | Pixel 2, Pixel 2 XL |
| الف-67844294 | Android Auto | بهبود عملکرد پیش بینی شده Android Auto برای برخی خودروها. | Pixel 2, Pixel 2 XL |
| الف-69349260 | سازگاری برنامه | تجزیه کلید RSA از آرایه های بایت بهبود یافته است. | همه |
| الف-68832228 | قدرت | عملکرد باتری در برخی از دستگاههای Pixel 2XL بهبود یافته است. | Pixel 2 XL |
| الف-69797895 | داده های موبایل | بهبود عملکرد داده برای کاربران Telus در محیط های شبکه خاص. | پیکسل 2 |
| الف-68368139 | ثبات | بهبود پایداری دستگاه پس از بوت شدن در شرایط خاص. | Pixel 2, Pixel 2 XL |
| الف-68874871 | سمعی | بهبود مسیریابی هنگام تعویض خروجی های صوتی. | Pixel 2, Pixel 2 XL |
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
سطوح وصله امنیتی 05/02/2018 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 05/02/2018 و تمام سطوح وصله قبلی را برطرف میکند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعملهای زمانبندی بهروزرسانی Pixel و Nexus را بخوانید.
2. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | خود داری از خدمات |
| N/A | طبقه بندی در دسترس نیست |
3. ورودی های ستون References به چه معناست؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | ارجاع |
|---|---|
| آ- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| N- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
4. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟
مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. بهروزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
5. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی اندروید تقسیم شده است؟
آسیبپذیریهای امنیتی که در بولتنهای امنیتی اندروید مستند شدهاند، برای اعلام آخرین سطح وصله امنیتی در دستگاههای اندرویدی مورد نیاز هستند. آسیب پذیری های امنیتی اضافی، مانند موارد مستند شده در این بولتن، برای اعلام سطح وصله امنیتی مورد نیاز نیست.
نسخه ها
| نسخه | تاریخ | یادداشت |
|---|---|---|
| 1.0 | 5 فوریه 2018 | بولتن منتشر شد. |
| 1.1 | 7 فوریه 2018 | بولتن اصلاح شد تا شامل پیوندهای AOSP باشد. |
| 1.3 | 2 آوریل 2018 | CVE-2017-15817 از بولتن فوریه اندروید به بولتن فوریه پیکسل منتقل شد. |
| 1.4 | 30 آوریل 2018 | CVE-2017-15852 از CR 2046770 به CR 2028702 به روز شد. |