Bollettino sulla sicurezza Pixel/Nexus: giugno 2018

Pubblicato il 4 giugno 2018 | Aggiornato il 6 giugno 2018

Il Pixel/Nexus Security Bulletin contiene dettagli sulle vulnerabilità della sicurezza e miglioramenti funzionali che interessano i dispositivi Google Pixel e Nexus (dispositivi Google) supportati. Per i dispositivi Google, i livelli di patch di sicurezza del 05-06-2018 o successivi risolvono tutti i problemi in questo bollettino e tutti i problemi nel bollettino sulla sicurezza Android di giugno 2018. Per informazioni su come controllare il livello di patch di sicurezza di un dispositivo, consulta Verifica e aggiorna la versione di Android .

Tutti i dispositivi Google supportati riceveranno un aggiornamento al livello di patch 2018-06-05. Invitiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Nota: le immagini del firmware del dispositivo Google sono disponibili sul sito Google Developer .

Annunci

Oltre alle vulnerabilità di sicurezza descritte nel Bollettino sulla sicurezza Android di giugno 2018, i dispositivi Pixel e Nexus contengono anche patch per le vulnerabilità di sicurezza descritte di seguito. I partner sono stati informati di questi problemi almeno un mese fa e possono scegliere di incorporarli come parte degli aggiornamenti del dispositivo.

Patch di sicurezza

Le vulnerabilità sono raggruppate sotto la componente che interessano. C'è una descrizione del problema e una tabella con il CVE, i riferimenti associati, il tipo di vulnerabilità , la gravità e le versioni aggiornate di Android Open Source Project (AOSP) (ove applicabile). Quando disponibile, colleghiamo la modifica pubblica che ha risolto il problema all'ID del bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, i riferimenti aggiuntivi sono collegati a numeri che seguono l'ID del bug.

Struttura

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2018-9374 A-72710897 EoP Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9375 A-75298708 EoP Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9377 A-64752751 * ID Moderare 6.0, 6.0.1

Quadro dei media

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2018-9378 A-73126106 ID Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9379 A-63766886 [ 2 ] ID Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9349 A-72510002 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9350 A-73552574 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9351 A-73625898 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9352 A-73965867 [ 2 ] ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9353 A-73965890 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9354 A-74067957 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1

Sistema

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2018-9380 A-75298652 EoP Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9381 A-73125709 ID Moderare 8.1
CVE-2018-9382 A-35765136 * EoP Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Componenti del kernel

CVE Riferimenti Tipo Gravità Componente
CVE-2018-9383 A-73827422 * ID Moderare asn1_decoder
CVE-2018-9384 A-74356909
kernel a monte
ID Moderare kernel
CVE-2018-9385 A-74128061
kernel a monte
EoP Moderare amba
CVE-2018-9386 A-71363680 * EoP Moderare Driver HTC reboot_block
CVE-2018-9387 A-69006385 * EoP Moderare mnh_sm driver
CVE-2018-9388 A-68343441 * EoP Moderare ftm4_touch
CVE-2018-9389 A-65023306 * EoP Moderare ipv4/ipv6
CVE-2018-7480 A-76106168
kernel a monte
EoP Moderare Gestore di blocchi
CVE-2017-18075 A-73237057
kernel a monte
EoP Moderare pcrypt

componenti MediaTek

CVE Riferimenti Tipo Gravità Componente
CVE-2018-9390 A-76100614 *
M-ALPS03849277
EoP Moderare Voce wlanThermo procfs
CVE-2018-9391 A-72313579 *
M-ALPS03762614
EoP Moderare GPS HAL
CVE-2018-9392 A-72312594 *
M-ALPS03762614
EoP Moderare GPS HAL
CVE-2018-9393 A-72312577 *
M-ALPS03753748
EoP Moderare Wlan MTK
CVE-2018-9394 A-72312468 *
M-ALPS03753652
EoP Moderare Driver MTK P2P
CVE-2018-9395 A-72312071 *
M-ALPS03753735
EoP Moderare MTK cfg80211
CVE-2018-9396 A-71867113 *
M-ALPS03740353
EoP Moderare Mediatek CCCI
CVE-2018-9397 A-71866634 *
M-ALPS03532675
M-ALPS03479586
EoP Moderare Dispositivo Mediatek WMT
CVE-2018-9398 A-71866289 *
M-ALPS03740468
EoP Moderare Driver della radio FM
CVE-2018-9399 A-71866200 *
M-ALPS03740489
EoP Moderare /proc/driver/wmt_dbg driver
CVE-2018-9400 A-71865884 *
M-ALPS03753678
EoP Moderare Driver per touchscreen Goodix
CVE-2017-13308 A-70728757 *
M-ALPS03751855
EoP Moderare termico
CVE-2018-9401 A-70511226 *
M-ALPS03693409
EoP Moderare cameraisp
CVE-2018-9402 A-70728072 *
M-ALPS03684171
EoP Moderare Driver WLAN
CVE-2018-9403 A-72313700 *
M-ALPS03762413
EoP Moderare HAL
CVE-2018-9404 A-72314374 *
M-ALPS03773299
EoP Moderare Strato di interfaccia radio
CVE-2018-9405 A-72314804 *
M-ALPS03762818
EoP Moderare DmAgente
CVE-2018-9406 A-70726950 *
M-ALPS03684231
ID Moderare NlpService
CVE-2018-9407 A-70728406 *
M-ALPS03902529
ID Moderare emm
CVE-2018-9408 A-70729980 *
M-ALPS03693684
ID Moderare GPS

componenti Qualcomm

CVE Riferimenti Tipo Gravità Componente
CVE-2017-15824 A-68163089 *
QC-CR#2107596
ID Moderare Caricatore di avvio EDK2
CVE-2018-5897 A-70528036 *
QC-CR#2172685
ID Moderare diag
CVE-2018-5895 A-70293535 *
QC-CR#2161027
ID Moderare qcacld
CVE-2018-5836 A-74237168
QC-CR#2160375
ID Moderare WLAN
CVE-2018-3577 A-72957387
QC-CR#2129566
ID Moderare WLAN
CVE-2017-15824 A-68992463
QC-CR#2107596
ID Moderare boot loader
CVE-2017-14893 A-68992461
QC-CR#2104835
ID Moderare boot loader
CVE-2017-14872 A-68992457
QC-CR#2073366
ID Moderare boot loader
CVE-2018-5893 A-74237664
QC-CR#2146949
EoP Moderare WLAN
CVE-2016-5342, CVE-2016-5080 A-72232294 *
QC-CR#1032174
EoP Moderare Driver WLAN
CVE-2018-5899 A-71638332 *
QC-CR#1040612
EoP Moderare Driver WLAN
CVE-2018-5890 A-71501675
QC-CR#2127348
EoP Moderare Boot loader
CVE-2018-5889 A-71501674
QC-CR#2127341
EoP Moderare Boot loader
CVE-2018-5888 A-71501672
QC-CR#2127312
EoP Moderare Boot loader
CVE-2018-5887 A-71501669
QC-CR#2127305
EoP Moderare Boot loader
CVE-2018-5898 A-71363804 *
QC-CR#2173850
EoP Moderare Driver audio QC
CVE-2018-5832 A-69065862 *
QC-CR#2149998
EoP Moderare Camerav2
CVE-2018-5857 A-62536960 *
QC-CR#2169403
EoP Moderare wcd_cpe_core
CVE-2018-3597 A-74237782
QC-CR#2143070
EoP Moderare DSP_Servizi
CVE-2018-3564 A-72957546
QC-CR#2062648
EoP Moderare DSP_Servizi
CVE-2017-15856 A-72957506
QC-CR#2111922
EoP Moderare nodo power_stats debugfs

Componenti chiusi di Qualcomm

Queste vulnerabilità interessano i componenti di Qualcomm e sono descritte in modo più dettagliato nel bollettino sulla sicurezza di Qualcomm AMSS o nell'avviso di sicurezza appropriato. La valutazione della gravità di questi problemi è fornita direttamente da Qualcomm.

CVE Riferimenti Tipo Gravità Componente
CVE-2017-11088 A-72951251 * N / A Moderare Componente closed-source
CVE-2017-11076 A-65049457 * N / A Moderare Componente closed-source

Patch funzionali

Questi aggiornamenti sono inclusi per i dispositivi Pixel interessati per risolvere problemi di funzionalità non correlati alla sicurezza dei dispositivi Pixel. La tabella include i riferimenti associati; la categoria interessata, come Bluetooth o dati mobili; miglioramenti; e dispositivi interessati.

Riferimenti Categoria Miglioramenti Dispositivi
A-74413120 Bluetooth Migliora le prestazioni BLE Tutto
A-76022834 Prestazione Migliora il comportamento di commutazione dell'antenna nelle aree con copertura debole Pixel 2, Pixel 2 XL
A-77963927 Wifi Migliora la connettività Wi-Fi con alcuni punti di accesso Wi-Fi Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-77458860 interfaccia utente Il formato IMEI SV viene visualizzato correttamente come numerico Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-68114567
A-74058011
Schermo Migliora la coerenza di Always On Display Pixel 2 XL
A-70282393 Prestazione Migliora il comportamento del sensore di prossimità Pixel 2 XL

Domande e risposte comuni

Questa sezione risponde alle domande più comuni che possono verificarsi dopo la lettura di questo bollettino.

1. Come faccio a determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

I livelli di patch di sicurezza del 05-06-2018 o successivi risolvono tutti i problemi associati al livello di patch di sicurezza del 05-06-2018 e tutti i livelli di patch precedenti. Per informazioni su come controllare il livello di patch di sicurezza di un dispositivo, leggi le istruzioni sulla pianificazione degli aggiornamenti di Pixel e Nexus .

2. Cosa significano le voci nella colonna Tipo ?

Le voci nella colonna Tipo della tabella dei dettagli della vulnerabilità fanno riferimento alla classificazione della vulnerabilità della sicurezza.

Abbreviazione Definizione
RCE Esecuzione di codice a distanza
EoP Elevazione del privilegio
ID Rivelazione di un 'informazione
DoS Negazione del servizio
N / A Classificazione non disponibile

3. Cosa significano le voci nella colonna Riferimenti ?

Le voci nella colonna Riferimenti della tabella dei dettagli della vulnerabilità possono contenere un prefisso che identifica l'organizzazione a cui appartiene il valore di riferimento.

Prefisso Riferimento
UN- ID bug Android
controllo qualità- Numero di riferimento Qualcomm
M- Numero di riferimento MediaTek
N- Numero di riferimento NVIDIA
B- Numero di riferimento Broadcom

4. Cosa significa un * accanto all'ID del bug Android nella colonna Riferimenti ?

I problemi che non sono disponibili pubblicamente hanno un * accanto all'ID del bug Android nella colonna Riferimenti . L'aggiornamento per quel problema è generalmente contenuto nei driver binari più recenti per i dispositivi Pixel/Nexus disponibili sul sito Google Developer .

5. Perché le vulnerabilità della sicurezza sono suddivise tra questo bollettino e i bollettini sulla sicurezza di Android?

Le vulnerabilità di sicurezza documentate nei Bollettini sulla sicurezza di Android sono necessarie per dichiarare il livello di patch di sicurezza più recente sui dispositivi Android. Ulteriori vulnerabilità di sicurezza, come quelle documentate in questo bollettino, non sono necessarie per dichiarare un livello di patch di sicurezza.

Versioni

Versione Data Appunti
1.0 4 giugno 2018 Bollettino pubblicato.
1.1 6 giugno 2018 Bollettino rivisto per includere i collegamenti AOSP.