Publicado em 5 de março de 2018 | Atualizado em 7 de março de 2018
O Boletim de Segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Os níveis de patch de segurança de 05/03/2018 ou posteriores tratam de todos esses problemas. Para saber como verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar sua versão do Android .
Os parceiros Android são notificados de todos os problemas pelo menos um mês antes da publicação. Os patches do código-fonte para esses problemas foram lançados no repositório Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.
O mais grave desses problemas é uma vulnerabilidade de segurança crítica na estrutura de mídia que pode permitir que um invasor remoto usando um arquivo especialmente criado execute código arbitrário no contexto de um processo privilegiado. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações de plataforma e serviço sejam desligadas para fins de desenvolvimento ou se contornadas com sucesso.
Não recebemos relatórios de exploração ativa do cliente ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações Android e Google Play Protect para obter detalhes sobre as proteções da plataforma de segurança Android e Google Play Protect, que melhoram a segurança da plataforma Android.
Observação: informações sobre a última atualização over-the-air (OTA) e imagens de firmware para dispositivos do Google estão disponíveis no boletim de segurança Pixel / Nexus de março de 2018 .
Reduções de serviço do Android e do Google
Este é um resumo das atenuações fornecidas pela plataforma de segurança Android e proteções de serviço, como o Google Play Protect . Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança possam ser exploradas com êxito no Android.
- A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente o abuso por meio do Google Play Protect e avisa os usuários sobre aplicativos potencialmente nocivos . O Google Play Protect é habilitado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.
Detalhes de vulnerabilidade no nível do patch de segurança de 01/03/2018
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch de 01/03/2018. As vulnerabilidades são agrupadas no componente que afetam. Há uma descrição do problema e uma tabela com o CVE, referências associadas, tipo de vulnerabilidade , gravidade e versões atualizadas do AOSP (quando aplicável). Quando disponível, vinculamos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após a ID do bug.
Estrutura de mídia
A vulnerabilidade mais grave nesta seção pode permitir que um invasor remoto usando um arquivo especialmente criado para executar código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Versões atualizadas de AOSP |
|---|---|---|---|---|
| CVE-2017-13248 | A-70349612 | RCE | Crítico | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13249 | A-70399408 | RCE | Crítico | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13250 | A-71375536 | RCE | Crítico | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13251 | A-69269702 | EoP | Crítico | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13252 | A-70526702 | EoP | Alto | 8,0, 8,1 |
| CVE-2017-13253 | A-71389378 | EoP | Alto | 8,0, 8,1 |
Sistema
A vulnerabilidade mais grave nesta seção pode permitir que um invasor próximo execute código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Versões atualizadas de AOSP |
|---|---|---|---|---|
| CVE-2017-13255 | A-68776054 | RCE | Crítico | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13256 | A-68817966 | RCE | Crítico | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13272 | A-67110137 [ 2 ] | RCE | Crítico | 7,0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13266 | A-69478941 | RCE | Crítico | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13257 | A-67110692 | EU IA | Alto | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13258 | A-67863755 | EU IA | Alto | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13259 | A-68161546 [ 2 ] | EU IA | Alto | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13260 | A-69177251 | EU IA | Alto | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13261 | A-69177292 | EU IA | Alto | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13262 | A-69271284 | EU IA | Alto | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Detalhes de vulnerabilidade de nível de patch de segurança de 05/03/2018
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch de 05/03/2018. As vulnerabilidades são agrupadas no componente que afetam e incluem detalhes como CVE, referências associadas, tipo de vulnerabilidade , gravidade , componente (onde aplicável) e versões atualizadas do AOSP (onde aplicável). Quando disponível, vinculamos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após a ID do bug.
Componentes do kernel
A vulnerabilidade mais grave nesta seção pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Componente |
|---|---|---|---|---|
| CVE-2017-16530 | A-69051940 Kernel upstream | EoP | Alto | Motorista UAS |
| CVE-2017-16525 | A-69050921 Kernel upstream | EoP | Alto | Driver USB |
| CVE-2017-16535 | A-69052675 Kernel upstream | EU IA | Alto | Driver USB |
| CVE-2017-16533 | A-69052348 Kernel upstream | EU IA | Alto | Driver USB |
| CVE-2017-16531 | A-69052055 Kernel upstream | EU IA | Alto | Driver USB |
| CVE-2017-16529 | A-69051731 Kernel upstream | EU IA | Alto | Driver de som USB |
Componentes NVIDIA
A vulnerabilidade mais grave nesta seção pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Componente |
|---|---|---|---|---|
| CVE-2017-6281 | A-66969318 * N-CVE-2017-6281 | EoP | Alto | Libnvomx |
| CVE-2017-6286 | A-64893247 * N-CVE-2017-6286 | EoP | Alto | Libnvomx |
Componentes Qualcomm
A vulnerabilidade mais grave nesta seção pode permitir que um invasor remoto usando um arquivo especialmente criado para executar código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Componente |
|---|---|---|---|---|
| CVE-2017-18067 | A-68992411 QC-CR # 2081734 [ 2 ] | RCE | Crítico | Driver de rede sem fio |
| CVE-2017-15815 | A-68992395 QC-CR # 2093392 | RCE | Crítico | WLAN |
| CVE-2017-18068 | A-70799990 QC-CR # 2072064 | EoP | Alto | WLAN |
| CVE-2017-18056 | A-70237692 QC-CR # 2119404 | EoP | Alto | WLAN |
| CVE-2017-18063 | A-68992442 QC-CR # 2114776 | EoP | Alto | WLAN |
| CVE-2017-18064 | A-68992438 QC-CR # 2114323 | EoP | Alto | WLAN |
| CVE-2017-15821 | A-68992432 QC-CR # 2113072 | EoP | Alto | WLAN |
| CVE-2017-14885 | A-70237686 QC-CR # 2113758 | EoP | Alto | WLAN |
| CVE-2017-18069 | A-67582682 * QC-CR # 2054772 QC-CR # 2058471 | EU IA | Alto | WLAN |
| CVE-2017-14882 | A-68992424 QC-CR # 2101439 | EU IA | Alto | WLAN |
| CVE-2017-14878 | A-70237706 QC-CR # 2064580 [ 2 ] [ 3 ] | DoS | Alto | Driver de rede sem fio |
Componentes de código fechado da Qualcomm
Essas vulnerabilidades afetam os componentes da Qualcomm e são descritas com mais detalhes no boletim de segurança ou alerta de segurança Qualcomm AMSS apropriado. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Modelo | Gravidade | Componente |
|---|---|---|---|---|
| CVE-2017-17773 | A-70221445 QC-CR # 2125554 * | N / D | Crítico | Componente de código fechado |
| CVE-2016-10393 | A-68326806 QC-CR # 1055934 * | N / D | Alto | Componente de código fechado |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como posso determinar se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar sua versão do Android .
- Os níveis do patch de segurança de 01/03/2018 ou posteriores tratam de todos os problemas associados ao nível do patch de segurança 01/03/2018.
- Os níveis do patch de segurança de 05/03/2018 ou posteriores tratam de todos os problemas associados ao nível do patch de segurança 05/03/2018 e todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para:
- [ro.build.version.security_patch]: [2018-03-01]
- [ro.build.version.security_patch]: [05/03/2018]
2. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades que são semelhantes em todos os dispositivos Android mais rapidamente. Os parceiros Android são incentivados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.
- Os dispositivos que usam o nível de patch de segurança de 01/03/2018 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
- Os dispositivos que usam o nível de patch de segurança de 05/03/2018 ou mais recente devem incluir todos os patches aplicáveis neste (e nos anteriores) boletins de segurança.
Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.
3. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.
| Abreviação | Definição |
|---|---|
| RCE | Execução remota de código |
| EoP | Elevação de privilégio |
| EU IA | Divulgação de informação |
| DoS | Negação de serviço |
| N / D | Classificação não disponível |
4. O que significam as entradas na coluna Referências ?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
| Prefixo | Referência |
|---|---|
| UMA- | ID de bug do Android |
| QC- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência NVIDIA |
| B- | Número de referência Broadcom |
5. O que significa um * ao lado do ID do bug do Android na coluna Referências ?
Os problemas que não estão publicamente disponíveis têm um * próximo ao ID do bug do Android na coluna Referências . A atualização para esse problema geralmente está contida nos drivers binários mais recentes para dispositivos Nexus disponíveis no site Google Developer .
6. Por que as vulnerabilidades de segurança estão divididas entre este boletim e os boletins de segurança do dispositivo / parceiro, como o boletim Pixel / Nexus?
As vulnerabilidades de segurança documentadas neste boletim de segurança são necessárias para declarar o nível de patch de segurança mais recente em dispositivos Android. Vulnerabilidades de segurança adicionais documentadas nos boletins de segurança do dispositivo / parceiro não são necessárias para declarar um nível de patch de segurança. Os fabricantes de dispositivos e chipsets Android são incentivados a documentar a presença de outras correções em seus dispositivos por meio de seus próprios sites de segurança, como os boletins de segurança Samsung , LGE ou Pixel / Nexus .
Versões
| Versão | Data | Notas |
|---|---|---|
| 1.0 | 5 de março de 2018 | Boletim publicado. |
| 1,1 | 7 de março de 2018 | Boletim revisado para incluir links AOSP. |