Бюллетень по безопасности Pixel и Nexus – июль 2018 г.

Опубликовано 2 июля 2018 г. | Обновлено 8 ноября 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июль 2018 года, устранены в исправлении 2018-07-05 и более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.

Поддерживаемые устройства Google получат обновление системы безопасности 2018-07-05. Мы рекомендуем всем пользователям установить его или более новое обновление.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июль 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9426 A-79148652 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9376 A-69981755 EoP Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9434 A-29833520 [2] ID Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9429 A-73927042 ID Средний 8.1
CVE-2018-9423 A-77599438 ID Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9413 A-73782082 RCE Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9418 A-73824150 RCE Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9430 A-73963551 RCE Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9414 A-78787521 EoP Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9431 A-77600924 EoP Средний 8.0, 8.1

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-9416 A-75300370* EoP Средний SCSI-драйвер
CVE-2018-9415 A-69129004
Upstream kernel
EoP Средний Драйвер AMBA
CVE-2018-7995 A-77694092
Upstream kernel
EoP Средний mcheck
CVE-2018-1065 A-76206188
Upstream kernel
EoP Средний Netfilter
CVE-2017-1821 A-76874268
Upstream kernel
EoP Средний Ethernet
CVE-2017-1000112 A-68806309
Upstream kernel
EoP Средний Ядро Linux

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-5865 A-77528512
QC-CR#2179937
ID Средний Программа fwlog
CVE-2018-5864 A-77528805
QC-CR#2170392
ID Средний WMA
CVE-2018-11304 A-73242483*
QC-CR#2209291
EoP Средний Аудиодрайвер
CVE-2018-5907 A-72710411*
QC-CR#2209291
EoP Средний Аудиодрайвер
CVE-2018-5862 A-77528300
QC-CR#2153343
EoP Средний WLAN
CVE-2018-5859 A-77527701
QC-CR#2146486
EoP Средний Видеодрайвер
CVE-2018-5858 A-77528653
QC-CR#2174725 [2]
EoP Средний Аудио
CVE-2018-3570 A-72956998
QC-CR#2149165
EoP Средний Драйвер cpuidle
CVE-2017-15851 A-38258851*
QC-CR#2078155
EoP Средний Camera_v2
CVE-2017-0606 A-34088848*
QC-CR#2148210
QC-CR#2022490
EoP Средний Драйвер /dev/voice_svc

Исправления функциональных возможностей

Это исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.

Ссылки Категория Описание Устройства
A-73204553 Обмен данными Повышена стабильность подключений к сетям Wi-Fi, создаваемым некоторыми маршрутизаторами. Pixel 2, Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2018-07-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-07-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel и Nexus, которые можно скачать на сайте Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описываются уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для достижения уровня исправления необязательно.

Версии

Версия Дата Примечания
1.0 2 июля 2018 г. Бюллетень опубликован.
1.1 3 июля 2018 г. Добавлены ссылки на AOSP.
1.2 8 ноября 2018 г. Исправлена информация об уязвимости CVE-2017-1000112.