Opublikowano 5 marca 2018 | Zaktualizowano 7 marca 2018 r
Biuletyn Bezpieczeństwa Pixel / Nexus zawiera szczegółowe informacje na temat luk w zabezpieczeniach i ulepszeń funkcjonalnych wpływających na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poprawki zabezpieczeń z wersji 2018-03-05 lub nowszej dotyczą wszystkich problemów opisanych w tym biuletynie oraz wszystkich problemów opisanych w Biuletynie zabezpieczeń Androida z marca 2018 r . Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .
Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki 2018-03-05. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .
Ogłoszenia
Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń Androida z marca 2018 r . urządzenia Google zawierają także poprawki usuwające luki w zabezpieczeniach opisane poniżej. Partnerzy zostali powiadomieni o tych problemach co najmniej miesiąc temu i mogą zdecydować się na uwzględnienie ich w ramach aktualizacji swoich urządzeń.
Poprawki bezpieczeństwa
Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu i tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje Android Open Source Project (AOSP) (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Struktura
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13263 | A-69383160 [ 2 ] | EoP | Umiarkowany | 8.0, 8.1 |
Ramy medialne
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13264 | A-70294343 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Wysoki | 6.0, 6.0.1 | ||
| CVE-2017-13254 | A-70239507 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Wysoki | 5.1.1, 6.0, 6.0.1 |
System
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13265 | A-36232423 [ 2 ] [ 3 ] | EoP | Umiarkowany | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13268 | A-67058064 | ID | Umiarkowany | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13269 | A-68818034 | ID | Umiarkowany | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Składniki jądra
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-5754 | A-69856074 * | ID | Wysoki | Mapowanie pamięci |
| CVE-2017-13270 | A-69474744 * | EoP | Umiarkowany | Kierowca Mnh_sm |
| CVE-2017-13271 | A-69006799 * | EoP | Umiarkowany | Kierowca Mnh_sm |
| CVE-2017-16527 | A-69051382 Jądro nadrzędne | EoP | Umiarkowany | Sterownik dźwięku USB |
| CVE-2017-15649 | A-69160446 Jądro nadrzędne [ 2 ] | EoP | Umiarkowany | Sterownik sieciowy |
| CVE-2017-1000111 | A-68806121 Jądro nadrzędne | EoP | Umiarkowany | Sterownik sieciowy |
Komponenty NVIDIA
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-6287 | A-64893264 * N-CVE-2017-6287 | ID | Umiarkowany | Ramy medialne |
| CVE-2017-6285 | A-64893156 * N-CVE-2017-6285 | ID | Umiarkowany | Ramy medialne |
| CVE-2017-6288 | A-65482562 * N-CVE-2017-6288 | ID | Umiarkowany | Ramy medialne |
Komponenty Qualcomma
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-18061 | A-70237701 QC-CR#2117246 | EoP | Umiarkowany | Wil6210 |
| CVE-2017-18050 | A-70237697 QC-CR#2119443 | EoP | Umiarkowany | Zarządzanie WMA |
| CVE-2017-18054 | A-70237694 QC-CR#2119432 | EoP | Umiarkowany | Wma |
| CVE-2017-18055 | A-70237693 QC-CR#2119430 | EoP | Umiarkowany | Wma |
| CVE-2017-18065 | A-70237685 QC-CR#2113423 | EoP | Umiarkowany | Wma |
| CVE-2017-18066 | A-70235107 QC-CR#2107976 | EoP | Umiarkowany | Sterownik mocy |
| CVE-2017-18062 | A-68992451 QC-CR#2115375 | EoP | Umiarkowany | Wma |
| CVE-2018-3561 | A-68870904 * QC-CR#2068569 | EoP | Umiarkowany | Diagchar |
| CVE-2018-3560 | A-68664502 * QC-CR#2142216 | EoP | Umiarkowany | Sterownik dźwięku Qdsp6v2 |
| CVE-2017-15834 | A-70237704 QC-CR#2111858 | EoP | Umiarkowany | Diagchar |
| CVE-2017-15833 | A-70237702 QC-CR#2059835 | EoP | Umiarkowany | Sterownik mocy |
| CVE-2017-15831 | A-70237687 QC-CR#2114255 | EoP | Umiarkowany | Wma |
| CVE-2017-15830 | A-70237719 QC-CR#2120725 | EoP | Umiarkowany | mały kierowca |
| CVE-2017-14889 | A-70237700 QC-CR#2119803 | EoP | Umiarkowany | Wma |
| CVE-2017-14887 | A-70237715 QC-CR#2119673 | EoP | Umiarkowany | WLAN |
| CVE-2017-14879 | A-63851638 * QC-CR#2056307 | EoP | Umiarkowany | IPA |
| CVE-2017-11082 | A-66937387 QC-CR#2071560 | EoP | Umiarkowany | WLAN |
| CVE-2017-11074 | A-68940798 QC-CR#2049138 | EoP | Umiarkowany | WLAN |
| CVE-2017-18052 | A-70237712 QC-CR#2119439 | ID | Umiarkowany | WLAN |
| CVE-2017-18057 | A-70237709 QC-CR#2119403 | ID | Umiarkowany | WLAN |
| CVE-2017-18059 | A-70237708 QC-CR#2119399 | ID | Umiarkowany | WLAN |
| CVE-2017-18060 | A-70237707 QC-CR#2119394 | ID | Umiarkowany | WLAN |
| CVE-2017-18051 | A-70237696 QC-CR#2119442 | ID | Umiarkowany | WLAN |
| CVE-2017-18053 | A-70237695 QC-CR#2119434 | ID | Umiarkowany | WLAN |
| CVE-2017-18058 | A-70237690 QC-CR#2119401 | ID | Umiarkowany | WLAN |
| CVE-2017-15855 | A-38232131 * QC-CR#2025367 | ID | Umiarkowany | Sterownik Camera_v2 |
| CVE-2017-15814 | A-64836865 * QC-CR#2092793 | ID | Umiarkowany | Sterownik Camera_v2 |
Aktualizacje funkcjonalne
Te aktualizacje są dostępne dla urządzeń Pixel, których dotyczy problem, i rozwiązują problemy z funkcjonalnością niezwiązane z bezpieczeństwem urządzeń Pixel. Tabela zawiera powiązane odniesienia; kategoria, której to dotyczy, np. Bluetooth lub mobilna transmisja danych; ulepszenia; i dotkniętych urządzeń.
| Bibliografia | Kategoria | Ulepszenia | Urządzenia |
|---|---|---|---|
| A-70491468 | Wydajność | Popraw wydajność wybudzania ekranu dzięki odblokowaniu odciskiem palca | Piksel 2, Piksel 2 XL |
| A-69307875 | Audio | Popraw jakość dźwięku podczas nagrywania wideo | Piksel 2XL |
| A-70641186 | Raportowanie | Ulepsz raportowanie awarii | Piksel 2, Piksel 2 XL |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Poziomy poprawek zabezpieczeń z dnia 2018-03-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2018-03-05 i wszystkimi poprzednimi poziomami poprawek. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .
2. Co oznaczają wpisy w kolumnie Typ ?
Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie przywilejów |
| ID | Ujawnianie informacji |
| DoS | Odmowa usługi |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Referencje ?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny firmy Broadcom |
4. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?
Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
5. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i Biuletyny bezpieczeństwa Androida?
Aby móc zadeklarować najnowszy poziom poprawek bezpieczeństwa na urządzeniach z systemem Android, wymagane są luki w zabezpieczeniach udokumentowane w Biuletynach bezpieczeństwa systemu Android. Dodatkowe luki w zabezpieczeniach, takie jak te udokumentowane w tym biuletynie, nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń.
Wersje
| Wersja | Data | Notatki |
|---|---|---|
| 1,0 | 5 marca 2018 r | Biuletyn opublikowany. |
| 1.1 | 7 marca 2018 r | Biuletyn zmieniony w celu uwzględnienia łączy AOSP i aktualizacji numeru referencyjnego dla CVE-2017-15855. |