Бюллетень по безопасности Pixel и Nexus – февраль 2018 г.

Опубликовано 5 февраля 2018 г. | Обновлено 30 апреля 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за февраль 2018 года, устранены в исправлении 2018-02-05 и более новых. Подробнее о том, как проверить версию системы безопасности на устройстве

Поддерживаемые устройства Google получат обновление системы безопасности 2018-02-05. Мы рекомендуем всем пользователям установить эти обновления.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за февраль 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13239 A-66244132* ID Средний 8.0
CVE-2017-13240 A-68694819 ID Средний 8.0, 8.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13241 A-69065651 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13229 A-68160703 RCE Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
RCE Критический 5.1.1, 6.0, 6.0.1
CVE-2017-13235 A-68342866 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13242 A-62672248 [2] ID Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13243 A-38258991* ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13244 A-62678986* EoP Средний Easel
CVE-2017-13245 A-64315347* EoP Средний Аудиодрайвер
CVE-2017-1000405 A-69934280
Upstream kernel
EoP Средний Управление страницами памяти
CVE-2017-13246 A-36279469* ID Средний Сетевой драйвер

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-15817 A-68992394
QC-CR#2076603 [2]
RCE Критический WLAN
CVE-2017-15859 A-65468985
QC-CR#2059715
ID Средний qcacld-2.0
CVE-2017-17769 A-65172622*
QC-CR#2110256
ID Средний qdsp6v2
CVE-2017-9723 A-68992479
QC-CR#2007828
EoP Средний Драйвер сенсорного экрана synaptics_dsx_htc
CVE-2017-14881 A-68992478
QC-CR#2087492 [2]
EoP Средний Драйвер IPA
CVE-2017-14877 A-68992473
QC-CR#2057803 [2]
EoP Средний Драйвер IPA
CVE-2017-15826 A-68992471
QC-CR#2100085 [2]
EoP Средний Ротатор MDSS
CVE-2017-14876 A-68992468
QC-CR#2054041
EoP Средний Драйвер MSM camera_v2
CVE-2017-14892 A-68992455
QC-CR#2096407
EoP Средний qdsp6v2
CVE-2017-17766 A-68992448
QC-CR#2115366
EoP Средний Wi-Fi
CVE-2017-15823 A-68992447
QC-CR#2115365
EoP Средний Wi-Fi
CVE-2017-15852 A-36730614*
QC-CR#2028702
EoP Средний Фреймбуфер
CVE-2017-15846 A-67713103
QC-CR#2083314 [2]
EoP Средний Камера
CVE-2017-14883 A-68992426
QC-CR#2112832
EoP Средний Питание
CVE-2017-11043 A-68992421
QC-CR#2091584
EoP Средний Wi-Fi
CVE-2017-14875 A-68992465
QC-CR#2042147
ID Средний Камера
CVE-2017-14891 A-68992453
QC-CR#2096006
ID Средний KGSL
CVE-2017-17771 A-38196031
QC-CR#2003798
EoP Средний Драйвер камеры
CVE-2017-11087 A-34735194*
QC-CR#2053869
ID Средний Media Framework

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.

Ссылки Категория Описание Устройства
A-68863351 Пользовательский интерфейс Улучшены значки в приложении "Настройки". Все
A-68198663 Bluetooth Повышено качество звонков через Bluetooth на некоторых гарнитурах. Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-68317240 Wi-Fi Повышена производительность восходящего канала Wi-Fi. Pixel 2, Pixel 2XL
A-69263786 Камера Повышена производительность камеры при некоторых условиях освещенности. Pixel 2, Pixel 2 XL
A-67844294 Android Auto Повышена расчетная производительность Android Auto для некоторых автомобилей. Pixel 2, Pixel 2 XL
A-69349260 Совместимость приложений Улучшен синтаксический анализ ключей RSA из байтовых массивов. Все
A-68832228 Питание Улучшена работа батареи на некоторых устройствах Pixel 2XL. Pixel 2XL
A-69797895 Мобильный интернет Повышена эффективность передачи данных в определенных сетевых средах для абонентов компании Telus. Pixel 2
A-68368139 Стабильность Улучшена стабильность работы устройства после загрузки при определенных условиях. Pixel 2, Pixel 2 XL
A-68874871 Аудио Улучшено перенаправление сигнала при переключении аудиовыходов. Pixel 2, Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

В исправлении 2018-02-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-02-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 5 февраля 2018 г. Бюллетень опубликован.
1.1 7 февраля 2018 г. Добавлены ссылки на AOSP.
1.3 2 апреля 2018 г. Сведения об уязвимости CVE-2017-15817 перенесены из бюллетеня по безопасности Android за февраль в этот бюллетень.
1.4 30 апреля 2018 г. Ссылка на исправление для уязвимости CVE-2017-15852 изменена с CR#2046770 на CR#2028702.