Бюллетень по безопасности Pixel и Nexus – март 2018 г.

Опубликован 5 марта 2018 г. | Обновлен 7 марта 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за март 2018 года, устранены в исправлении 2018-03-05 и более новых. Подробнее о том, как проверить версию системы безопасности на устройстве

Поддерживаемые устройства Google получат обновление системы безопасности 2018-03-05. Мы рекомендуем всем пользователям установить его или более новое обновление.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2018 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13263 A-69383160 [2] EoP Средний 8.0, 8.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13264 A-70294343 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 6.0, 6.0.1
CVE-2017-13254 A-70239507 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Высокий 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13265 A-36232423 [2] [3] EoP Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13268 A-67058064 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13269 A-68818034 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-5754 A-69856074* РИ Высокий Отображение файлов в память
CVE-2017-13270 A-69474744* EoP Средний Драйвер Mnh_sm
CVE-2017-13271 A-69006799* EoP Средний Драйвер Mnh_sm
CVE-2017-16527 A-69051382
Upstream kernel
EoP Средний USB-аудиодрайвер
CVE-2017-15649 A-69160446
Upstream kernel [2]
EoP Средний Сетевой драйвер
CVE-2017-1000111 A-68806121
Upstream kernel
EoP Средний Сетевой драйвер

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6287 A-64893264*
N-CVE-2017-6287
ID Средний Media Framework
CVE-2017-6285 A-64893156*
N-CVE-2017-6285
ID Средний Media Framework
CVE-2017-6288 A-65482562*
N-CVE-2017-6288
ID Средний Media Framework

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-18061 A-70237701
QC-CR#2117246
EoP Средний Wil6210
CVE-2017-18050 A-70237697
QC-CR#2119443
EoP Средний Управление wma
CVE-2017-18054 A-70237694
QC-CR#2119432
EoP Средний wma
CVE-2017-18055 A-70237693
QC-CR#2119430
EoP Средний wma
CVE-2017-18065 A-70237685
QC-CR#2113423
EoP Средний wma
CVE-2017-18066 A-70235107
QC-CR#2107976
EoP Средний Драйвер питания
CVE-2017-18062 A-68992451
QC-CR#2115375
EoP Средний wma
CVE-2018-3561 A-68870904*
QC-CR#2068569
EoP Средний Diagchar
CVE-2018-3560 A-68664502*
QC-CR#2142216
EoP Средний Аудиодрайвер Qdsp6v2
CVE-2017-15834 A-70237704
QC-CR#2111858
EoP Средний Diagchar
CVE-2017-15833 A-70237702
QC-CR#2059835
EoP Средний Драйвер питания
CVE-2017-15831 A-70237687
QC-CR#2114255
EoP Средний wma
CVE-2017-15830 A-70237719
QC-CR#2120725
EoP Средний Драйвер sme
CVE-2017-14889 A-70237700
QC-CR#2119803
EoP Средний WMA
CVE-2017-14887 A-70237715
QC-CR#2119673
EoP Средний WLAN
CVE-2017-14879 A-63851638*
QC-CR#2056307
EoP Средний IPA
CVE-2017-11082 A-66937387
QC-CR#2071560
EoP Средний WLAN
CVE-2017-11074 A-68940798
QC-CR#2049138
EoP Средний WLAN
CVE-2017-18052 A-70237712
QC-CR#2119439
ID Средний WLAN
CVE-2017-18057 A-70237709
QC-CR#2119403
ID Средний WLAN
CVE-2017-18059 A-70237708
QC-CR#2119399
ID Средний WLAN
CVE-2017-18060 A-70237707
QC-CR#2119394
ID Средний WLAN
CVE-2017-18051 A-70237696
QC-CR#2119442
ID Средний WLAN
CVE-2017-18053 A-70237695
QC-CR#2119434
ID Средний WLAN
CVE-2017-18058 A-70237690
QC-CR#2119401
ID Средний WLAN
CVE-2017-15855 A-38232131*
QC-CR#2025367
ID Средний Драйвер Camera_v2
CVE-2017-15814 A-64836865*
QC-CR#2092793
ID Средний Драйвер Camera_v2

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.

Ссылки Категория Описание Устройства
A-70491468 Производительность Улучшено включение экрана при разблокировке с помощью отпечатка пальца. Pixel 2, Pixel 2 XL
A-69307875 Аудио Улучшено качество аудиозаписи при видеосъемке. Pixel 2 XL
A-70641186 Отчеты Улучшены отчеты о сбоях. Pixel 2, Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2018-03-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-03-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 5 марта 2018 г. Бюллетень опубликован.
1.1 7 марта 2018 г. Добавлены ссылки на AOSP, и обновлен ссылочный номер для уязвимости CVE-2017-15855.