Pixel / بولتن امنیتی Nexus—ژانویه ۲۰۱۸

منتشر شده 2 ژانویه 2018 | به روز شده در 29 ژانویه 2018

بولتن امنیتی Pixel / Nexus حاوی جزئیات آسیب‌پذیری‌های امنیتی و بهبودهای عملکردی است که بر دستگاه‌های Google Pixel و Nexus پشتیبانی‌شده (دستگاه‌های Google) تأثیر می‌گذارند. برای دستگاه‌های Google، سطوح وصله امنیتی 2018-01-05 یا جدیدتر به همه مشکلات موجود در این بولتن و همه مشکلات در بولتن امنیتی Android ژانویه 2018 رسیدگی می‌کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

همه دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی به سطح وصله 05/01/2018 دریافت خواهند کرد. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

توجه: تصاویر میان‌افزار دستگاه Google در سایت Google Developer موجود است.

اطلاعیه ها

علاوه بر آسیب‌پذیری‌های امنیتی شرح‌داده‌شده در بولتن امنیتی اندروید ژانویه ۲۰۱۸ ، دستگاه‌های Pixel و Nexus همچنین دارای وصله‌هایی برای آسیب‌پذیری‌های امنیتی شرح داده شده در زیر هستند. شرکا حداقل یک ماه پیش از این مشکلات مطلع شدند و ممکن است انتخاب کنند که آنها را به عنوان بخشی از به‌روزرسانی‌های دستگاه خود بگنجانند.

وصله های امنیتی

آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده پروژه منبع باز Android (AOSP) (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

چارچوب

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0846 A-64934810 [ 2 ] شناسه در حد متوسط 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0

چارچوب رسانه ای

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-13201 الف-63982768 شناسه در حد متوسط 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0، 8.1
CVE-2017-13202 الف-67647856 شناسه در حد متوسط 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0، 8.1
CVE-2017-13206 A-65025048 شناسه در حد متوسط 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0، 8.1
CVE-2017-13207 الف-37564426 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-13185 الف-65123471 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 5.1.1، 6.0، 6.0.1
CVE-2017-13187 الف-65034175 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 5.1.1، 6.0، 6.0.1
CVE-2017-13188 A-65280786 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 5.1.1، 6.0، 6.0.1
CVE-2017-13203 الف-63122634 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 6.0، 6.0.1
CVE-2017-13204 الف-64380237 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 6.0، 6.0.1
CVE-2017-13205 الف-64550583 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 6.0، 6.0.1
CVE-2017-13200 الف-63100526 شناسه کم 7.0، 7.1.1، 7.1.2، 8.0، 8.1
شناسه در حد متوسط 5.1.1، 6.0، 6.0.1
CVE-2017-13186 الف-65735716 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 6.0، 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 6.0.1
CVE-2017-13190 الف-68299873 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 5.1.1، 6.0، 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0، 8.1
DoS بالا 5.1.1، 6.0، 6.0.1

سیستم

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-13212 الف-62187985 EoP در حد متوسط 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0

اجزای Broadcom

CVE منابع تایپ کنید شدت جزء
CVE-2017-13213 A-63374465 *
B-V2017081501
EoP در حد متوسط درایور Bcmdhd

اجزای HTC

CVE منابع تایپ کنید شدت جزء
CVE-2017-11072 A-65468991 * EoP در حد متوسط به روز رسانی جدول پارتیشن

اجزای هسته

CVE منابع تایپ کنید شدت جزء
CVE-2017-13219 A-62800865 * DoS در حد متوسط کنترلر لمسی Synaptics
CVE-2017-13220 A-63527053 * EoP در حد متوسط BlueZ
CVE-2017-13221 A-64709938 * EoP در حد متوسط درایور وای فای
CVE-2017-11473 الف-64253928
هسته بالادست
EoP در حد متوسط هسته
CVE-2017-13222 A-38159576 * شناسه در حد متوسط هسته
CVE-2017-14140 الف-65468230
هسته بالادست
شناسه در حد متوسط هسته
CVE-2017-15537 A-68805943
هسته بالادست
شناسه در حد متوسط هسته

اجزای مدیاتک

CVE منابع تایپ کنید شدت جزء
CVE-2017-13225 A-38308024 *
M-ALPS03495789
EoP بالا رسانه MTK
CVE منابع تایپ کنید شدت جزء
CVE-2017-13226 A-32591194 *
M-ALPS03149184
EoP در حد متوسط MTK

قطعات کوالکام

CVE منابع تایپ کنید شدت جزء
CVE-2017-9705 الف-67713091
QC-CR#2059828
EoP در حد متوسط درایور SOC
CVE-2017-15847 الف-67713087
QC-CR#2070309
EoP در حد متوسط درایور SOC
CVE-2017-15848 الف-67713083
QC-CR#2073777
EoP در حد متوسط راننده
CVE-2017-11081 الف-67713113
QC-CR#2077622
EoP در حد متوسط WLan
CVE-2017-15845 الف-67713111
QC-CR#2072966
EoP در حد متوسط WLan
CVE-2017-14873 الف-67713104
QC-CR#2057144 [ 2 ]
EoP در حد متوسط درایور گرافیک
CVE-2017-11035 الف-67713108
QC-CR#2070583
EoP در حد متوسط درایور بی سیم
CVE-2017-11003 الف-64439673
QC-CR#2026193
EoP در حد متوسط بوت لودر
CVE-2017-9689 الف-62828527
QC-CR#2037019
EoP در حد متوسط درایور HDMI
CVE-2017-14879 A-63890276 *
QC-CR#2056307
EoP در حد متوسط درایور IPA
CVE-2017-11080 الف-66937382
QC-CR#2078272
EoP در حد متوسط بوت لودر
CVE-2017-14869 الف-67713093
QC-CR#2061498
شناسه در حد متوسط بوت لودر
CVE-2017-11066 الف-65468971
QC-CR#2068506
شناسه در حد متوسط بوت لودر
CVE-2017-15850 A-62464339 *
QC-CR#2113240
شناسه در حد متوسط درایور میکروفون
CVE-2017-9712 الف-63868883
QC-CR#2033195
شناسه در حد متوسط درایور بی سیم
CVE-2017-11079 A-67713100
QC-CR#2078342
شناسه در حد متوسط بوت لودر
CVE-2017-14870 الف-67713096
QC-CR#2061506
شناسه در حد متوسط بوت لودر
CVE-2017-11079 الف-66937383
QC-CR#2078342
شناسه در حد متوسط بوت لودر

به روز رسانی های عملکردی

این به‌روزرسانی‌ها برای دستگاه‌های Pixel آسیب‌دیده گنجانده شده‌اند تا به مشکلات عملکردی که به امنیت دستگاه‌های Pixel مربوط نیستند رسیدگی کنند. جدول شامل مراجع مرتبط است. دسته آسیب دیده، مانند بلوتوث یا داده های تلفن همراه؛ و بهبودها

منابع دسته بندی بهبودها
الف-68810306 فروشگاه کلید مدیریت تنظیم شده ارتقاء کلید در فروشگاه کلید.
الف-70213235 ثبات بهبود پایداری و عملکرد پس از نصب OTA.

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 2018-01-05 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2018-01-05 و تمام سطوح وصله قبلی را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

2. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

4. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟

مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. به‌روزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

5. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی اندروید تقسیم شده است؟

آسیب‌پذیری‌های امنیتی که در بولتن‌های امنیتی اندروید مستند شده‌اند، برای اعلام آخرین سطح وصله امنیتی در دستگاه‌های اندرویدی مورد نیاز هستند. آسیب پذیری های امنیتی اضافی، مانند موارد مستند شده در این بولتن، برای اعلام سطح وصله امنیتی مورد نیاز نیست.

نسخه ها

نسخه تاریخ یادداشت
1.0 2 ژانویه 2018 بولتن منتشر شد.
1.1 5 ژانویه 2018 بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.
1.2 29 ژانویه 2018 CVE-2017-13225 اضافه شد.