Бюллетень по безопасности Pixel и Nexus – ноябрь 2017 г.

Опубликовано 6 ноября 2017 г. | Обновлено 8 ноября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь, устранены в исправлении от 5 ноября 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Поддерживаемые устройства Google получат обновление системы безопасности 2017-11-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Примечание. Образы встроенного ПО для устройств Google находятся на сайте для разработчиков.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за ноябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведено описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0845 A-35028827 ОО Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0838 A-63522818 ПП Высокий 7.0, 7.1.1, 7.1.2
CVE-2017-0852 A-62815506 ОО Высокий 5.0.2, 5.1.1, 6.0
CVE-2017-0847 A-65540999 ПП Средний 8.0
CVE-2017-0848 A-64477217 РИ Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0849 A-62688399 РИ Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0850 A-64836941* РИ Средний 7.0, 7.1.1, 7.1.2
CVE-2017-0851 A-35430570 РИ Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0853 A-63121644 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0854 A-63873837 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0857 A-65122447 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0858 A-64836894 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0859 A-36075131* NSI NSI 7.0, 7.1.1, 7.1.2
ОО Высокий 6.0, 6.0.1

Runtime

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2016-2105 A-63710022* УВК Средний 5.0.2, 5.1.1
CVE-2016-2106 A-63709511* УВК Средний 5.0.2, 5.1.1
CVE-2017-3731 A-63710076* РИ Средний 5.0.2, 5.1.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0860 A-31097064 ПП Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6001 A-37901413
Upstream kernel
ПП Средний Основное ядро
CVE-2017-0861 A-36006981* ПП Средний Аудиодрайвер
CVE-2017-0862 A-36006779* ПП Средний Ядро
CVE-2017-11600 A-64257838
Upstream kernel
ПП Средний Сетевая подсистема
CVE-2017-0863 A-37950620* ПП Средний Видеодрайвер

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0864 A-37277147*
M-ALPS03394571
ПП Средний IoCtl (вспышка)
CVE-2017-0865 A-65025090*
M-ALPS02973195
ПП Средний Драйвер процессора

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0866 A-38415808*
N-CVE-2017-0866
ПП Средний Инфраструктура прямой визуализации
CVE-2017-6274 A-34705801*
N-CVE-2017-6274
ПП Средний Драйвер температурного датчика
CVE-2017-6275 A-34702397*
N-CVE-2017-6275
РИ Средний Драйвер температурного датчика

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11073 A-62084791*
QC-CR#2064767
ПП Средний Сетевая подсистема
CVE-2017-11035 A-64431968
QC-CR#2055659 [2]
ПП Средний WLAN
CVE-2017-11012 A-64455446
QC-CR#2054760
ПП Средний WLAN
CVE-2017-11085 A-62952032*
QC-CR#2077909
ПП Средний Аудио
CVE-2017-11091 A-37478866*
QC-CR#2064235
ПП Средний Видеодрайвер
CVE-2017-11026 A-64453104
QC-CR#1021460
ПП Средний Загрузчик Linux
CVE-2017-11038 A-35888677*
QC-CR#2034087
ПП Средний Подсистема памяти
CVE-2017-11032 A-64431966
QC-CR#1051435
ПП Средний Ядро Linux
CVE-2017-9719 A-64438726
QC-CR#2042697 [2]
ПП Средний Экран
CVE-2017-11024 A-64441352
QC-CR#2031178
ПП Средний Проводное подключение
CVE-2017-11025 A-64440043
QC-CR#2013494
ПП Средний Аудио
CVE-2017-11023 A-64434485
QC-CR#2029216
ПП Средний Сервисы
CVE-2017-11029 A-64433362
QC-CR#2025367 [2]
ПП Средний Камера
CVE-2017-11018 A-64441628
QC-CR#897844
ПП Средний Камера
CVE-2017-9721 A-64441353
QC-CR#2039552
ПП Средний Экран
CVE-2017-9702 A-36492827*
QC-CR#2037398
ПП Средний Камера
CVE-2017-11089 A-36819059*
QC-CR#2055013
РИ Средний WLAN
CVE-2017-8239 A-36251230*
QC-CR#1091603
РИ Средний Камера
CVE-2017-11090 A-36818836*
QC-CR#2061676
РИ Средний WLAN
CVE-2017-11093 A-37625232*
QC-CR#2077623
РИ Средний HDMI
CVE-2017-8279 A-62378962
QC-CR#2015227
РИ Средний Сервисы
CVE-2017-9696 A-36232584*
QC-CR#2029867
РИ Средний Ядро
CVE-2017-11058 A-37718081
QC-CR#2061251
РИ Средний WLAN
CVE-2017-11022 A-64440918
QC-CR#1086582 [2]
РИ Средний WLAN
CVE-2017-9701 A-63868730
QC-CR#2038992
РИ Средний Загрузчик Linux
CVE-2017-11027 A-64453534
QC-CR#2055630
РИ Средний Загрузчик Linux

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения.

Ссылки Категория Описание
A-65225835 Аудио Изменен порог предупреждения о высокой громкости для некоторых регионов.
A-37943083 Bluetooth Внесены улучшения, касающиеся только устройств Bluetooth с поддержкой AVRCP 1.3.
A-63790458 Bluetooth Улучшена связь при подключении гарнитуры.
A-64142363 Bluetooth Улучшен показ сведений о треке на некоторых Bluetooth-комплектах громкой связи для автомобилей.
A-64991621 Bluetooth Улучшены метаданные на некоторых комплектах громкой связи для автомобилей.
A-65223508 Bluetooth Улучшено Bluetooth-подключение в некоторых комплектах громкой связи для автомобилей.
A-65463237 Bluetooth Улучшена функция "Мгновенная точка доступа" при применении технологии BLE.
A-64977836 Камера Улучшен автофокус при записи видео.
A-65099590 Камера Повышена скорость реакции фронтальной камеры.
A-68159303 Экран Внесены изменения в настройки цветового режима экрана.
A-68254840 Экран Внесены изменения в настройки яркости экрана.
A-68279369 Экран Внесены изменения в яркость панели навигации.
A-64103722 Мобильный Интернет Исправлено переключение YouTube с мобильного Интернета на Wi-Fi.
A-65113738 Мобильный Интернет Внесены исправления в настройки мобильного Интернета для сети Three (оператор связи в Великобритании).
A-37187694 Стабильность Повышена стабильность приложений.
A-67959484 Стабильность Улучшено качество звонков.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 ноября 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-11-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

3. На что указывают записи в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает значок * рядом с идентификатором ошибки Android в столбце Ссылки?

Значок * говорит о том, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 6 ноября 2017 г. Бюллетень опубликован.
1.1 8 ноября 2017 г. Добавлены ссылки на AOSP и дополнительная информация об обновлениях функциональных возможностей.