Bollettino sulla sicurezza di Pixel / Nexus: novembre 2017

Pubblicato il 6 novembre 2017 | Aggiornato l'8 novembre 2017

Il bollettino sulla sicurezza Pixel/Nexus contiene dettagli sulle vulnerabilità della sicurezza e sui miglioramenti funzionali che interessano i dispositivi Google Pixel e Nexus supportati (dispositivi Google). Per i dispositivi Google, anche i livelli delle patch di sicurezza del 05-11-2017 o successivi risolvono tutti i problemi presenti in questo bollettino. Per informazioni su come verificare il livello delle patch di sicurezza di un dispositivo, consulta Controllare e aggiornare la versione di Android .

Tutti i dispositivi Google supportati riceveranno un aggiornamento al livello di patch 2017-11-05. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Nota: le immagini del firmware del dispositivo Google sono disponibili sul sito degli sviluppatori Google .

Annunci

Oltre alle vulnerabilità di sicurezza descritte nel Bollettino sulla sicurezza Android di novembre 2017 , i dispositivi Pixel e Nexus contengono anche patch per le vulnerabilità di sicurezza descritte di seguito. I partner sono stati informati di questi problemi almeno un mese fa e potrebbero scegliere di incorporarli come parte degli aggiornamenti dei loro dispositivi.

Patch di sicurezza

Le vulnerabilità sono raggruppate sotto il componente che interessano. Sono presenti una descrizione del problema e una tabella con CVE, riferimenti associati, tipo di vulnerabilità , gravità e versioni aggiornate di Android Open Source Project (AOSP) (ove applicabile). Quando disponibile, colleghiamo la modifica pubblica che ha risolto il problema all'ID del bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, i riferimenti aggiuntivi sono collegati ai numeri che seguono l'ID del bug.

Struttura

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2017-0845 A-35028827 DoS Moderare 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Quadro mediatico

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2017-0838 A-63522818 EoP Alto 7.0, 7.1.1, 7.1.2
CVE-2017-0852 A-62815506 DoS Alto 5.0.2, 5.1.1, 6.0
CVE-2017-0847 A-65540999 EoP Moderare 8.0
CVE-2017-0848 A-64477217 ID Moderare 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0849 A-62688399 ID Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0850 A-64836941 * ID Moderare 7.0, 7.1.1, 7.1.2
CVE-2017-0851 A-35430570 ID Moderare 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0853 A-63121644 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0
DoS Alto 6.0, 6.0.1
CVE-2017-0854 A-63873837 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0
DoS Alto 6.0, 6.0.1
CVE-2017-0857 A-65122447 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Alto 6.0, 6.0.1
CVE-2017-0858 A-64836894 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Alto 6.0, 6.0.1
CVE-2017-0859 A-36075131 * NSI NSI 7.0, 7.1.1, 7.1.2
DoS Alto 6.0, 6.0.1

Durata

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2016-2105 A-63710022 * RCE Moderare 5.0.2, 5.1.1
CVE-2016-2106 A-63709511 * RCE Moderare 5.0.2, 5.1.1
CVE-2017-3731 A-63710076 * ID Moderare 5.0.2, 5.1.1

Sistema

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2017-0860 A-31097064 EoP Moderare 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Componenti del kernel

CVE Riferimenti Tipo Gravità Componente
CVE-2017-6001 A-37901413
Kernel a monte
EoP Moderare Nucleo centrale
CVE-2017-0861 A-36006981 * EoP Moderare Driver audio
CVE-2017-0862 A-36006779 * EoP Moderare Nocciolo
CVE-2017-11600 A-64257838
Kernel a monte
EoP Moderare Sottosistema di rete
CVE-2017-0863 A-37950620 * EoP Moderare Driver video

Componenti MediaTek

CVE Riferimenti Tipo Gravità Componente
CVE-2017-0864 A-37277147 *
M-ALPS03394571
EoP Moderare IoCtl (torcia elettrica)
CVE-2017-0865 A-65025090 *
M-ALPS02973195
EoP Moderare Driver del SoC

Componenti NVIDIA

CVE Riferimenti Tipo Gravità Componente
CVE-2017-0866 A-38415808 *
N-CVE-2017-0866
EoP Moderare Infrastruttura di rendering diretto
CVE-2017-6274 A-34705801 *
N-CVE-2017-6274
EoP Moderare Driver termico
CVE-2017-6275 A-34702397 *
N-CVE-2017-6275
ID Moderare Driver termico

Componenti Qualcomm

CVE Riferimenti Tipo Gravità Componente
CVE-2017-11073 A-62084791 *
QC-CR#2064767
EoP Moderare Sottosistema di rete
CVE-2017-11035 A-64431968
QC-CR#2055659 [ 2 ]
EoP Moderare Wi-Fi
CVE-2017-11012 A-64455446
QC-CR#2054760
EoP Moderare Wi-Fi
CVE-2017-11085 A-62952032 *
QC-CR#2077909
EoP Moderare Audio
CVE-2017-11091 A-37478866 *
QC-CR#2064235
EoP Moderare Driver video
CVE-2017-11026 A-64453104
QC-CR#1021460
EoP Moderare Avvio di Linux
CVE-2017-11038 A-35888677 *
QC-CR#2034087
EoP Moderare Sottosistema di memoria
CVE-2017-11032 A-64431966
QC-CR#1051435
EoP Moderare kernel Linux
CVE-2017-9719 A-64438726
QC-CR#2042697 [ 2 ]
EoP Moderare Schermo
CVE-2017-11024 A-64441352
QC-CR#2031178
EoP Moderare Connettività cablata
CVE-2017-11025 A-64440043
QC-CR#2013494
EoP Moderare Audio
CVE-2017-11023 A-64434485
QC-CR#2029216
EoP Moderare Servizi
CVE-2017-11029 A-64433362
QC-CR#2025367 [ 2 ]
EoP Moderare Telecamera
CVE-2017-11018 A-64441628
QC-CR#897844
EoP Moderare Telecamera
CVE-2017-9721 A-64441353
QC-CR#2039552
EoP Moderare Schermo
CVE-2017-9702 A-36492827 *
QC-CR#2037398
EoP Moderare Telecamera
CVE-2017-11089 A-36819059 *
QC-CR#2055013
ID Moderare Wi-Fi
CVE-2017-8239 A-36251230 *
QC-CR#1091603
ID Moderare Telecamera
CVE-2017-11090 A-36818836 *
QC-CR#2061676
ID Moderare Wi-Fi
CVE-2017-11093 A-37625232 *
QC-CR#2077623
ID Moderare HDMI
CVE-2017-8279 A-62378962
QC-CR#2015227
ID Moderare Servizi
CVE-2017-9696 A-36232584 *
QC-CR#2029867
ID Moderare Nocciolo
CVE-2017-11058 A-37718081
QC-CR#2061251
ID Moderare Wi-Fi
CVE-2017-11022 A-64440918
QC-CR#1086582 [ 2 ]
ID Moderare Wi-Fi
CVE-2017-9701 A-63868730
QC-CR#2038992
ID Moderare Avvio di Linux
CVE-2017-11027 A-64453534
QC-CR#2055630
ID Moderare Avvio di Linux

Aggiornamenti funzionali

Questi aggiornamenti sono inclusi per i dispositivi Pixel interessati per risolvere problemi di funzionalità non correlati alla sicurezza dei dispositivi Pixel. La tabella include i riferimenti associati; la categoria interessata, come Bluetooth o dati mobili; e una sintesi della questione.

Riferimenti Categoria Miglioramenti
A-65225835 Audio Soglia di avviso del volume modificata in alcune regioni.
A-37943083 Bluetooth Miglioramenti per i dispositivi Bluetooth che supportano solo la versione AVRCP 1.3.
A-63790458 Bluetooth Associazione migliorata della connessione delle cuffie.
A-64142363 Bluetooth Visualizzazione migliorata delle informazioni sui brani su alcuni kit per auto Bluetooth.
A-64991621 Bluetooth Metadati migliorati in alcuni kit per auto.
A-65223508 Bluetooth Connessioni Bluetooth migliorate con alcuni kit per auto.
A-65463237 Bluetooth Magic Tether migliorato su BLE.
A-64977836 Telecamera Messa a fuoco automatica migliorata durante l'acquisizione video.
A-65099590 Telecamera Velocità di risposta della fotocamera frontale migliorata.
A-68159303 Schermo Regolazioni per visualizzare l'impostazione della modalità colore.
A-68254840 Schermo Regolazioni per visualizzare le impostazioni di luminosità.
A-68279369 Schermo Regolazioni della luminosità della barra di navigazione.
A-64103722 Dati mobili Modificato il passaggio di YouTube dai dati mobili al Wi-Fi.
A-65113738 Dati mobili Regolazione dei dati mobili su 3 Network.
A-37187694 Stabilità Stabilità dell'applicazione migliorata.
A-67959484 Stabilità Adeguamenti alla qualità della chiamata.

Domande e risposte comuni

Questa sezione risponde alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

I livelli di patch di sicurezza del 05-11-2017 o successivi risolvono tutti i problemi associati al livello di patch di sicurezza del 05-11-2017 e a tutti i livelli di patch precedenti. Per sapere come verificare il livello delle patch di sicurezza di un dispositivo, leggi le istruzioni sul programma di aggiornamento di Pixel e Nexus .

2. Cosa significano le voci nella colonna Tipo ?

Le voci nella colonna Tipo della tabella dei dettagli della vulnerabilità fanno riferimento alla classificazione della vulnerabilità della sicurezza.

Abbreviazione Definizione
RCE Esecuzione di codice remoto
EoP Elevazione dei privilegi
ID Rivelazione di un 'informazione
DoS Negazione del servizio
N / A Classificazione non disponibile

3. Cosa significano le voci nella colonna Riferimenti ?

Le voci nella colonna Riferimenti della tabella dei dettagli della vulnerabilità possono contenere un prefisso che identifica l'organizzazione a cui appartiene il valore di riferimento.

Prefisso Riferimento
UN- ID bug Android
QC- Numero di riferimento di Qualcomm
M- Numero di riferimento MediaTek
N- Numero di riferimento NVIDIA
B- Numero di riferimento Broadcom

4. Cosa significa un * accanto all'ID del bug Android nella colonna Riferimenti ?

I problemi che non sono disponibili pubblicamente hanno un * accanto all'ID del bug Android nella colonna Riferimenti . L'aggiornamento per questo problema è generalmente contenuto negli ultimi driver binari per i dispositivi Nexus disponibili sul sito degli sviluppatori di Google .

5. Perché le vulnerabilità della sicurezza sono suddivise tra questo bollettino e i bollettini sulla sicurezza di Android?

Le vulnerabilità della sicurezza documentate nei bollettini sulla sicurezza di Android sono necessarie per dichiarare il livello di patch di sicurezza più recente sui dispositivi Android. Ulteriori vulnerabilità della sicurezza, come quelle documentate in questo bollettino, non sono necessarie per dichiarare un livello di patch di sicurezza.

Versioni

Versione Data Appunti
1.0 6 novembre 2017 Pubblicato il bollettino.
1.1 8 novembre 2017 Bollettino aggiornato con link AOSP e dettagli aggiuntivi sugli aggiornamenti funzionali.