Бюллетень по безопасности Pixel и Nexus – октябрь 2017 г.

Опубликовано 2 октября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройств Google). Для них в исправлении от 5 октября 2017 года или более новом устранены все проблемы, описанные в этом бюллетене и в бюллетене по безопасности Android за октябрь 2017 года. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Поддерживаемые устройства Google получат обновление системы безопасности 2017-10-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Примечание. Образы прошивок для устройств Google находятся на сайте для разработчиков.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за октябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
  • Благодарности теперь перечисляются на странице Благодарности отдела безопасности Android.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведено описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0807 A-35056974 ПП Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0808 A-62301183 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0813 A-36531046 ОО Средний 7.0, 7.1.1, 7.1.2
CVE-2017-0814 A-62800140 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0817 A-63522430 РИ Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0818 A-63581671 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0819 A-63045918 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0820 A-62187433 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0822 A-63787722 ПП Средний 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0823 A-37896655 РИ Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Компоненты Broadcom

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0824 A-37622847*
B-V2017063001
ПП Средний Драйвер Wi-Fi
CVE-2017-0825 A-37305633*
B-V2017063002
РИ Средний Драйвер Wi-Fi

Компоненты HTC

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0826 A-34949781* ПП Средний Загрузчик

Компоненты Huawei

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0828 A-34622855* ПП Средний Загрузчик

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-7187 A-63666227
Upstream kernel
ПП Средний SCSI-драйвер

Компоненты Motorola

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0829 A-62345044* ПП Средний Загрузчик

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-9686 A-62827928
QC-CR#1115359
ПП Средний Драйвер SPS
CVE-2017-11050 A-62085265
QC-CR#2064785
ПП Средний WLAN
CVE-2017-11067 A-62058746*
QC-CR#2062012
ПП Средний WLAN
CVE-2017-11057 A-37949660*
QC-CR#2059812
ПП Средний Камера
CVE-2017-11056 A-37893116*
QC-CR#2060504
ПП Средний Драйвер шифрования
CVE-2017-11046 A-37623773*
QC-CR#2059656
ПП Средний Аудиодрайвер
CVE-2017-11059 A-37284397*
QC-CR#2057375
ПП Средний Драйвер шифрования
CVE-2017-9706 A-34170483*
QC-CR#2030399
ПП Средний Видеодрайвер
CVE-2017-11048 A-37093119*
QC-CR#2052691
ПП Средний Видеодрайвер
CVE-2017-9697 A-63868628
QC-CR#2032672
ПП Средний Драйвер процессора
CVE-2017-11051 A-62456806
QC-CR#2061755
РИ Средний WLAN
CVE-2017-9715 A-36730104*
QC-CR#2054958
QC-CR#2057034
РИ Средний WLAN
CVE-2017-11061 A-36816726*
QC-CR#2054693
QC-CR#2059701
РИ Средний WLAN
CVE-2017-11060 A-36817548*
QC-CR#2058447
QC-CR#2054770
РИ Средний WLAN
CVE-2017-9717 A-36817053*
QC-CR#2051450
РИ Средний WLAN
CVE-2017-11052 A-37687303*
QC-CR#2061688
РИ Средний WLAN
CVE-2017-11054 A-37713609*
QC-CR#2061251
РИ Средний WLAN
CVE-2017-11062 A-37720349*
QC-CR#2058448
РИ Средний WLAN
CVE-2017-11055 A-37721426*
QC-CR#2061241
РИ Средний WLAN
CVE-2017-11064 A-36815952*
QC-CR#2054770
QC-CR#2058447 QC-CR#2066628
QC-CR#2087785
РИ Средний WLAN
CVE-2017-9687 A-62827190
QC-CR#2016076
ПП Низкий Модем
CVE-2017-11063 A-36716469*
QC-CR#2053027
ОО Низкий Драйвер камеры

Обновления функциональных возможностей

В этом месяце их нет.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 октября 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-10-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

А этой столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

3. На что указывают записи в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает значок * рядом с идентификатором ошибки Android в столбце Ссылки?

Значок * (звездочка) означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 2 октября 2017 г. Бюллетень опубликован.