Дата публикации: 2 октября 2017 г. | Дата обновления: 3 октября 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы устройств Google, перечисленные здесь и в бюллетене по безопасности Android за октябрь 2017 года, устранены в исправлении от 5 октября 2017 года и более поздних версий. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Поддерживаемые устройства Google получат обновление системы безопасности 2017-10-05. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за октябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления систем безопасности.
- Благодарности теперь перечисляются на странице Благодарности отдела безопасности Android.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0807 | A-35056974* | EoP | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0808 | A-62301183 [2] | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0813 | A-36531046 | DoS | Средний | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0814 | A-62800140 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0817 | A-63522430 | ID | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0818 | A-63581671 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-0819 | A-63045918 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-0820 | A-62187433 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0822 | A-63787722 | EoP | Средний | 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0823 | A-37896655 | ID | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Компоненты Broadcom
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0824 | A-37622847* B-V2017063001 |
EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-0825 | A-37305633* B-V2017063002 |
ID | Средний | Драйвер Wi-Fi |
Компоненты HTC
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0826 | A-34949781* | EoP | Средний | Загрузчик ОС |
Компоненты Huawei
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0828 | A-34622855* | EoP | Средний | Загрузчик ОС |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-7187 | A-63666227 Ядро Upstream |
EoP | Средний | SCSI-драйвер |
Компоненты Motorola
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0829 | A-62345044* | EoP | Средний | Загрузчик ОС |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9686 | A-62827928 QC-CR#1115359 |
EoP | Средний | Драйвер SPS |
| CVE-2017-11050 | A-62085265 QC-CR#2064785 |
EoP | Средний | WLAN |
| CVE-2017-11067 | A-62058746* QC-CR#2062012 |
EoP | Средний | WLAN |
| CVE-2017-11057 | A-37949660* QC-CR#2059812 |
EoP | Средний | Камера |
| CVE-2017-11056 | A-37893116* QC-CR#2060504 |
EoP | Средний | Драйвер шифрования |
| CVE-2017-11046 | A-37623773* QC-CR#2059656 |
EoP | Средний | Аудиодрайвер |
| CVE-2017-11059 | A-37284397* QC-CR#2057375 |
EoP | Средний | Драйвер шифрования |
| CVE-2017-9706 | A-34170483* QC-CR#2030399 |
EoP | Средний | Видеодрайвер |
| CVE-2017-11048 | A-37093119* QC-CR#2052691 |
EoP | Средний | Видеодрайвер |
| CVE-2017-9697 | A-63868628 QC-CR#2032672 |
EoP | Средний | Драйвер процессора |
| CVE-2017-11051 | A-62456806 QC-CR#2061755 |
ID | Средний | WLAN |
| CVE-2017-9715 | A-36730104* QC-CR#2054958 QC-CR#2057034 |
ID | Средний | WLAN |
| CVE-2017-11061 | A-36816726* QC-CR#2054693 QC-CR#2059701 |
ID | Средний | WLAN |
| CVE-2017-11060 | A-36817548* QC-CR#2058447 QC-CR#2054770 |
ID | Средний | WLAN |
| CVE-2017-9717 | A-36817053* QC-CR#2051450 |
ID | Средний | WLAN |
| CVE-2017-11052 | A-37687303* QC-CR#2061688 |
ID | Средний | WLAN |
| CVE-2017-11054 | A-37713609* QC-CR#2061251 |
ID | Средний | WLAN |
| CVE-2017-11062 | A-37720349* QC-CR#2058448 |
ID | Средний | WLAN |
| CVE-2017-11055 | A-37721426* QC-CR#2061241 |
ID | Средний | WLAN |
| CVE-2017-11064 | A-36815952* QC-CR#2054770 QC-CR#2058447 QC-CR#2066628 QC-CR#2087785 |
ID | Средний | WLAN |
| CVE-2017-9687 | A-62827190 QC-CR#2016076 |
EoP | Низкий | Модем |
| CVE-2017-11063 | A-36716469* QC-CR#2053027 |
DoS | Низкий | Драйвер камеры |
Исправления функциональных возможностей
В этом месяце их нет.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные уязвимости?
В исправлении 2017-10-05 и более поздних версий устранены все проблемы, соответствующие исправлению системы безопасности 2017-10-05 и всем предыдущим исправлениям. О том, как проверить уровень исправления системы безопасности на устройстве, рассказывается в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.
5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 октября 2017 г. | Бюллетень опубликован. |
| 1.1 | 3 октября 2017 г. | Добавлены ссылки на AOSP. |