Опубликован 2 января 2018 г. | Обновлен 29 января 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за январь 2018 года, устранены в исправлении системы безопасности 2018-01-05 и более новых. Подробнее о том, как проверить уровень исправления системы безопасности на устройстве…
Поддерживаемые устройства Google получат исправление системы безопасности 2018-01-05. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за январь 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Исправления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0846 | A-64934810 [2] | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13201 | A-63982768 | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13202 | A-67647856 | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13206 | A-65025048 | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13207 | A-37564426 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13185 | A-65123471 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13187 | A-65034175 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13188 | A-65280786 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13203 | A-63122634 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13204 | A-64380237 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13205 | A-64550583 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13200 | A-63100526 | ID | Низкий | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ID | Средний | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13186 | A-65735716 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13189 | A-68300072 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0.1 | ||
| CVE-2017-13190 | A-68299873 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0.1 | ||
| CVE-2017-13194 | A-64710201 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13198 | A-68399117 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13212 | A-62187985 | EoP | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Компоненты Broadcom
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13213 | A-63374465* B-V2017081501 |
EoP | Средний | Драйвер bcmdhd |
Компоненты HTC
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-11072 | A-65468991* | EoP | Средний | Программа обновления таблицы разделов |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13219 | A-62800865* | DoS | Средний | Контроллер сенсорного экрана Synaptics |
| CVE-2017-13220 | A-63527053* | EoP | Средний | BlueZ |
| CVE-2017-13221 | A-64709938* | EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-11473 | A-64253928 Upstream kernel |
EoP | Средний | Ядро |
| CVE-2017-13222 | A-38159576* | ID | Средний | Ядро |
| CVE-2017-14140 | A-65468230 Upstream kernel |
ID | Средний | Ядро |
| CVE-2017-15537 | A-68805943 Upstream kernel |
ID | Средний | Ядро |
Компоненты MediaTek
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13225 | A-38308024* M-ALPS03495789 |
EoP | Высокий | MTK Media |
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13226 | A-32591194* M-ALPS03149184 |
EoP | Средний | MTK |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9705 | A-67713091 QC-CR#2059828 |
EoP | Средний | Драйвер процессора |
| CVE-2017-15847 | A-67713087 QC-CR#2070309 |
EoP | Средний | Драйвер процессора |
| CVE-2017-15848 | A-67713083 QC-CR#2073777 |
EoP | Средний | Драйвер |
| CVE-2017-11081 | A-67713113 QC-CR#2077622 |
EoP | Средний | WLAN |
| CVE-2017-15845 | A-67713111 QC-CR#2072966 |
EoP | Средний | WLAN |
| CVE-2017-14873 | A-67713104 QC-CR#2057144 [ 2] |
EoP | Средний | Драйвер графической системы |
| CVE-2017-11035 | A-67713108 QC-CR#2070583 |
EoP | Средний | Драйвер адаптера беспроводной сети |
| CVE-2017-11003 | A-64439673 QC-CR#2026193 |
EoP | Средний | Загрузчик |
| CVE-2017-9689 | A-62828527 QC-CR#2037019 |
EoP | Средний | Драйвер HDMI |
| CVE-2017-14879 | A-63890276* QC-CR#2056307 |
EoP | Средний | Драйвер IPA |
| CVE-2017-11080 | A-66937382 QC-CR#2078272 |
EoP | Средний | Загрузчик |
| CVE-2017-14869 | A-67713093 QC-CR#2061498 |
ID | Средний | Загрузчик |
| CVE-2017-11066 | A-65468971 QC-CR#2068506 |
ID | Средний | Загрузчик |
| CVE-2017-15850 | A-62464339* QC-CR#2113240 |
ID | Средний | Драйвер микрофона |
| CVE-2017-9712 | A-63868883 QC-CR#2033195 |
ID | Средний | Драйвер адаптера беспроводной сети |
| CVE-2017-11079 | A-67713100 QC-CR#2078342 |
ID | Средний | Загрузчик |
| CVE-2017-14870 | A-67713096 QC-CR#2061506 |
ID | Средний | Загрузчик |
| CVE-2017-11079 | A-66937383 QC-CR#2078342 |
ID | Средний | Загрузчик |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения.
| Ссылки | Категория | Описание |
|---|---|---|
| A-68810306 | Хранилище ключей | Внесены изменения в обработку обновлений ключей. |
| A-70213235 | Стабильность | Повышены стабильность и производительность после установки автоматического обновления (OTA). |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2018-01-05 и более новых решены все проблемы, соответствующие исправлению системы безопасности 2018-01-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.
5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого другие проблемы, например перечисленные здесь, необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 января 2018 г. | Бюллетень опубликован. |
| 1.1 | 5 января 2018 г. | Добавлены ссылки на AOSP. |
| 1.2 | 29 января 2018 г. | Добавлена информация об уязвимости CVE-2017-13225. |