Бюллетень по безопасности Pixel и Nexus – январь 2018 г.

Опубликован 2 января 2018 г. | Обновлен 29 января 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). На устройствах Google все проблемы, перечисленные здесь и в бюллетене по безопасности Android за январь 2018 года, устранены в исправлении 2018-01-05 или более новом. Подробнее о том, как проверить версию системы безопасности на устройстве

Поддерживаемые устройства Google получат обновление системы безопасности 2018-01-05. Мы настоятельно рекомендуем пользователям установить это обновление.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за январь 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0846 A-64934810 [2] РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13201 A-63982768 РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13202 A-67647856 РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13206 A-65025048 РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13207 A-37564426 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13185 A-65123471 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13187 A-65034175 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13188 A-65280786 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13203 A-63122634 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2017-13204 A-64380237 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2017-13205 A-64550583 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2017-13200 A-63100526 РИ Низкий 7.0, 7.1.1, 7.1.2, 8.0, 8.1
РИ Средний 5.1.1, 6.0, 6.0.1
CVE-2017-13186 A-65735716 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13212 A-62187985 EoP Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Компоненты Broadcom

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13213 A-63374465*
B-V2017081501
EoP Средний Драйвер bcmdhd

Компоненты HTC

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11072 A-65468991* ПП Средний Программа обновления таблицы разделов

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13219 A-62800865* ОО Средний Контроллер сенсорного экрана Synaptics
CVE-2017-13220 A-63527053* ПП Средний BlueZ
CVE-2017-13221 A-64709938* ПП Средний Драйвер Wi-Fi
CVE-2017-11473 A-64253928
Upstream kernel
EoP Средний Ядро
CVE-2017-13222 A-38159576* РИ Средний Ядро
CVE-2017-14140 A-65468230
Upstream kernel
ID Средний Ядро
CVE-2017-15537 A-68805943
Upstream kernel
ID Средний Ядро

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13225 A-38308024*
M-ALPS03495789
EoP Высокий MTK Media
CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13226 A-32591194*
M-ALPS03149184
EoP Средний MTK

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP Средний Драйвер процессора
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP Средний Драйвер процессора
CVE-2017-15848 A-67713083
QC-CR#2073777
EoP Средний Драйвер
CVE-2017-11081 A-67713113
QC-CR#2077622
EoP Средний WLAN
CVE-2017-15845 A-67713111
QC-CR#2072966
EoP Средний WLAN
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2]
EoP Средний Драйвер графической системы
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP Средний Драйвер адаптера беспроводной сети
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP Средний Загрузчик
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP Средний Драйвер HDMI
CVE-2017-14879 A-63890276*
QC-CR#2056307
EoP Средний Драйвер IPA
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP Средний Загрузчик
CVE-2017-14869 A-67713093
QC-CR#2061498
ID Средний Загрузчик
CVE-2017-11066 A-65468971
QC-CR#2068506
ID Средний Загрузчик
CVE-2017-15850 A-62464339*
QC-CR#2113240
ID Средний Драйвер микрофона
CVE-2017-9712 A-63868883
QC-CR#2033195
ID Средний Драйвер адаптера беспроводной сети
CVE-2017-11079 A-67713100
QC-CR#2078342
ID Средний Загрузчик
CVE-2017-14870 A-67713096
QC-CR#2061506
ID Средний Загрузчик
CVE-2017-11079 A-66937383
QC-CR#2078342
ID Средний Загрузчик

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения.

Ссылки Категория Описание
A-68810306 Хранилище ключей Внесены изменения в обработку обновлений ключей.
A-70213235 Стабильность Повышены стабильность и производительность после установки автоматического обновления (OTA).

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 января 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-01-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 2 января 2018 г. Бюллетень опубликован.
1.1 5 января 2018 г. Добавлены ссылки на AOSP.
1.2 29 января 2018 г. Добавлена информация об уязвимости CVE-2017-13225.