Бюллетень по безопасности Pixel и Nexus – ноябрь 2017 г.

Опубликован 6 ноября 2017 г. | Обновлен 8 ноября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь, устранены в исправлении от 5 ноября 2017 года или более новом. Подробнее о том, как проверить версию системы безопасности на устройстве

Поддерживаемые устройства Google получат обновление системы безопасности 2017-11-05. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за ноябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0845 A-35028827 ОО Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0838 A-63522818 ПП Высокий 7.0, 7.1.1, 7.1.2
CVE-2017-0852 A-62815506 ОО Высокий 5.0.2, 5.1.1, 6.0
CVE-2017-0847 A-65540999 ПП Средний 8.0
CVE-2017-0848 A-64477217 РИ Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0849 A-62688399 РИ Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0850 A-64836941* РИ Средний 7.0, 7.1.1, 7.1.2
CVE-2017-0851 A-35430570 РИ Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0853 A-63121644 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0854 A-63873837 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0857 A-65122447 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0858 A-64836894 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0859 A-36075131* NSI NSI 7.0, 7.1.1, 7.1.2
ОО Высокий 6.0, 6.0.1

Runtime

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2016-2105 A-63710022* УВК Средний 5.0.2, 5.1.1
CVE-2016-2106 A-63709511* УВК Средний 5.0.2, 5.1.1
CVE-2017-3731 A-63710076* РИ Средний 5.0.2, 5.1.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0860 A-31097064 ПП Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6001 A-37901413
Upstream kernel
EoP Средний Основное ядро
CVE-2017-0861 A-36006981* ПП Средний Аудиодрайвер
CVE-2017-0862 A-36006779* ПП Средний Ядро
CVE-2017-11600 A-64257838
Upstream kernel
EoP Средний Сетевая подсистема
CVE-2017-0863 A-37950620* ПП Средний Видеодрайвер

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0864 A-37277147*
M-ALPS03394571
EoP Средний Вызов ioctl (вспышка)
CVE-2017-0865 A-65025090*
M-ALPS02973195
EoP Средний Драйвер процессора

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0866 A-38415808*
N-CVE-2017-0866
EoP Средний Инфраструктура прямой визуализации
CVE-2017-6274 A-34705801*
N-CVE-2017-6274
EoP Средний Драйвер температурного датчика
CVE-2017-6275 A-34702397*
N-CVE-2017-6275
ID Средний Драйвер температурного датчика

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11073 A-62084791*
QC-CR#2064767
EoP Средний Сетевая подсистема
CVE-2017-11035 A-64431968
QC-CR#2055659 [2]
EoP Средний WLAN
CVE-2017-11012 A-64455446
QC-CR#2054760
EoP Средний WLAN
CVE-2017-11085 A-62952032*
QC-CR#2077909
EoP Средний Аудио
CVE-2017-11091 A-37478866*
QC-CR#2064235
EoP Средний Видеодрайвер
CVE-2017-11026 A-64453104
QC-CR#1021460
EoP Средний Загрузчик Linux
CVE-2017-11038 A-35888677*
QC-CR#2034087
EoP Средний Подсистема памяти
CVE-2017-11032 A-64431966
QC-CR#1051435
EoP Средний Ядро Linux
CVE-2017-9719 A-64438726
QC-CR#2042697 [2]
EoP Средний Экран
CVE-2017-11024 A-64441352
QC-CR#2031178
EoP Средний Проводное подключение
CVE-2017-11025 A-64440043
QC-CR#2013494
EoP Средний Аудио
CVE-2017-11023 A-64434485
QC-CR#2029216
EoP Средний Сервисы
CVE-2017-11029 A-64433362
QC-CR#2025367 [2]
EoP Средний Камера
CVE-2017-11018 A-64441628
QC-CR#897844
EoP Средний Камера
CVE-2017-9721 A-64441353
QC-CR#2039552
EoP Средний Экран
CVE-2017-9702 A-36492827*
QC-CR#2037398
EoP Средний Камера
CVE-2017-11089 A-36819059*
QC-CR#2055013
ID Средний WLAN
CVE-2017-8239 A-36251230*
QC-CR#1091603
ID Средний Камера
CVE-2017-11090 A-36818836*
QC-CR#2061676
ID Средний WLAN
CVE-2017-11093 A-37625232*
QC-CR#2077623
ID Средний HDMI
CVE-2017-8279 A-62378962
QC-CR#2015227
ID Средний Сервисы
CVE-2017-9696 A-36232584*
QC-CR#2029867
ID Средний Ядро
CVE-2017-11058 A-37718081
QC-CR#2061251
ID Средний WLAN
CVE-2017-11022 A-64440918
QC-CR#1086582 [2]
ID Средний WLAN
CVE-2017-9701 A-63868730
QC-CR#2038992
ID Средний Загрузчик Linux
CVE-2017-11027 A-64453534
QC-CR#2055630
ID Средний Загрузчик Linux

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения.

Ссылки Категория Описание
A-65225835 Аудио Изменен порог предупреждения о высокой громкости для некоторых регионов.
A-37943083 Bluetooth Внесены улучшения, касающиеся только устройств Bluetooth с поддержкой AVRCP 1.3.
A-63790458 Bluetooth Улучшена связь при подключении гарнитуры.
A-64142363 Bluetooth Улучшен показ сведений о треке на некоторых Bluetooth-комплектах громкой связи для автомобилей.
A-64991621 Bluetooth Улучшены метаданные на некоторых комплектах громкой связи для автомобилей.
A-65223508 Bluetooth Улучшено Bluetooth-подключение в некоторых комплектах громкой связи для автомобилей.
A-65463237 Bluetooth Улучшена функция "Мгновенная точка доступа" при применении технологии BLE.
A-64977836 Камера Улучшен автофокус при записи видео.
A-65099590 Камера Повышена скорость реакции фронтальной камеры.
A-68159303 Экран Внесены изменения в настройки цветового режима экрана.
A-68254840 Экран Внесены изменения в настройки яркости экрана.
A-68279369 Экран Внесены изменения в яркость панели навигации.
A-64103722 Мобильный Интернет Исправлено переключение YouTube с мобильного интернета на Wi-Fi.
A-65113738 Мобильный Интернет Внесены исправления в настройки мобильного Интернета для сети Three (оператор связи в Великобритании).
A-37187694 Стабильность Повышена стабильность приложений.
A-67959484 Стабильность Улучшено качество звонков.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 ноября 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-11-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 6 ноября 2017 г. Бюллетень опубликован.
1.1 8 ноября 2017 г. Добавлены ссылки на AOSP и дополнительная информация об улучшениях функциональных возможностей.