Опубликовано 2 января 2018 г. | Обновлено 29 января 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за январь 2018 года, устранены в исправлении от 5 января 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Поддерживаемые устройства Google получат обновление системы безопасности 2018-01-05. Мы настоятельно рекомендуем пользователям установить это обновление.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за январь 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также версии AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Дополнительные ссылки перечислены в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0846 | A-64934810 [2] | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13201 | A-63982768 | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13202 | A-67647856 | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13206 | A-65025048 | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13207 | A-37564426 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13185 | A-65123471 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13187 | A-65034175 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13188 | A-65280786 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13203 | A-63122634 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13204 | A-64380237 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13205 | A-64550583 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13200 | A-63100526 | РИ | Низкий | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| РИ | Средний | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13186 | A-65735716 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13189 | A-68300072 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0.1 | ||
| CVE-2017-13190 | A-68299873 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0.1 | ||
| CVE-2017-13194 | A-64710201 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13198 | A-68399117 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13212 | A-62187985 | ПП | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Компоненты Broadcom
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13213 | A-63374465* B-V2017081501 |
ПП | Средний | Драйвер bcmdhd |
Компоненты HTC
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-11072 | A-65468991* | ПП | Средний | Программа обновления таблицы разделов |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13219 | A-62800865* | ОО | Средний | Контроллер сенсорного экрана Synaptics |
| CVE-2017-13220 | A-63527053* | ПП | Средний | BlueZ |
| CVE-2017-13221 | A-64709938* | ПП | Средний | Драйвер Wi-Fi |
| CVE-2017-11473 | A-64253928 Upstream kernel |
ПП | Средний | Ядро |
| CVE-2017-13222 | A-38159576* | РИ | Средний | Ядро |
| CVE-2017-14140 | A-65468230 Upstream kernel |
РИ | Средний | Ядро |
| CVE-2017-15537 | A-68805943 Upstream kernel |
РИ | Средний | Ядро |
Компоненты MediaTek
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13225 | A-38308024* M-ALPS03495789 |
ПП | Высокий | MTK Media |
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13226 | A-32591194* M-ALPS03149184 |
ПП | Средний | MTK |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9705 | A-67713091 QC-CR#2059828 |
ПП | Средний | Драйвер процессора |
| CVE-2017-15847 | A-67713087 QC-CR#2070309 |
ПП | Средний | Драйвер процессора |
| CVE-2017-15848 | A-67713083 QC-CR#2073777 |
ПП | Средний | Драйвер |
| CVE-2017-11081 | A-67713113 QC-CR#2077622 |
ПП | Средний | WLAN |
| CVE-2017-15845 | A-67713111 QC-CR#2072966 |
ПП | Средний | WLAN |
| CVE-2017-14873 | A-67713104 QC-CR#2057144 [2] |
ПП | Средний | Драйвер графической системы |
| CVE-2017-11035 | A-67713108 QC-CR#2070583 |
ПП | Средний | Драйвер адаптера беспроводной сети |
| CVE-2017-11003 | A-64439673 QC-CR#2026193 |
ПП | Средний | Загрузчик |
| CVE-2017-9689 | A-62828527 QC-CR#2037019 |
ПП | Средний | Драйвер HDMI |
| CVE-2017-14879 | A-63890276* QC-CR#2056307 |
ПП | Средний | Драйвер IPA |
| CVE-2017-11080 | A-66937382 QC-CR#2078272 |
ПП | Средний | Загрузчик |
| CVE-2017-14869 | A-67713093 QC-CR#2061498 |
РИ | Средний | Загрузчик |
| CVE-2017-11066 | A-65468971 QC-CR#2068506 |
РИ | Средний | Загрузчик |
| CVE-2017-15850 | A-62464339* QC-CR#2113240 |
РИ | Средний | Драйвер микрофона |
| CVE-2017-9712 | A-63868883 QC-CR#2033195 |
РИ | Средний | Драйвер адаптера беспроводной сети |
| CVE-2017-11079 | A-67713100 QC-CR#2078342 |
РИ | Средний | Загрузчик |
| CVE-2017-14870 | A-67713096 QC-CR#2061506 |
РИ | Средний | Загрузчик |
| CVE-2017-11079 | A-66937383 QC-CR#2078342 |
РИ | Средний | Загрузчик |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения.
| Ссылки | Категория | Описание |
|---|---|---|
| A-68810306 | Хранилище ключей | Внесены изменения в обработку обновлений ключей. |
| A-70213235 | Стабильность | Повышены стабильность и производительность после установки автоматического обновления (OTA). |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении от 5 января 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-01-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 января 2018 г. | Бюллетень опубликован. |
| 1.1 | 5 января 2018 г. | Добавлены ссылки на AOSP. |
| 1.2 | 29 января 2018 г. | Добавлена информация об уязвимости CVE-2017-13225. |