Бюллетень по безопасности Pixel и Nexus – март 2018 г.

Опубликовано 5 марта 2018 г. | Обновлено 7 марта 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за март 2018 года, устранены в исправлении от 5 марта 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Поддерживаемые устройства Google получат обновление системы безопасности 2018-03-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Примечание. Образы встроенного ПО для устройств Google находятся на сайте для разработчиков.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2018 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13263 A-69383160 [2] ПП Средний 8.0, 8.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13264 A-70294343 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2017-13254 A-70239507 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13265 A-36232423 [2] [3] ПП Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13268 A-67058064 РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13269 A-68818034 РИ Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-5754 A-69856074* РИ Высокий Отображение файлов в память
CVE-2017-13270 A-69474744* ПП Средний Драйвер Mnh_sm
CVE-2017-13271 A-69006799* ПП Средний Драйвер Mnh_sm
CVE-2017-16527 A-69051382
Upstream kernel
ПП Средний USB-аудиодрайвер
CVE-2017-15649 A-69160446
Upstream kernel [2]
ПП Средний Сетевой драйвер
CVE-2017-1000111 A-68806121
Upstream kernel
ПП Средний Сетевой драйвер

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6287 A-64893264*
N-CVE-2017-6287
РИ Средний Media Framework
CVE-2017-6285 A-64893156*
N-CVE-2017-6285
РИ Средний Media Framework
CVE-2017-6288 A-65482562*
N-CVE-2017-6288
РИ Средний Media Framework

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-18061 A-70237701
QC-CR#2117246
ПП Средний Wil6210
CVE-2017-18050 A-70237697
QC-CR#2119443
ПП Средний Управление wma
CVE-2017-18054 A-70237694
QC-CR#2119432
ПП Средний wma
CVE-2017-18055 A-70237693
QC-CR#2119430
ПП Средний wma
CVE-2017-18065 A-70237685
QC-CR#2113423
ПП Средний wma
CVE-2017-18066 A-70235107
QC-CR#2107976
ПП Средний Драйвер питания
CVE-2017-18062 A-68992451
QC-CR#2115375
ПП Средний wma
CVE-2018-3561 A-68870904*
QC-CR#2068569
ПП Средний Diagchar
CVE-2018-3560 A-68664502*
QC-CR#2142216
ПП Средний Аудиодрайвер Qdsp6v2
CVE-2017-15834 A-70237704
QC-CR#2111858
ПП Средний Diagchar
CVE-2017-15833 A-70237702
QC-CR#2059835
ПП Средний Драйвер питания
CVE-2017-15831 A-70237687
QC-CR#2114255
ПП Средний wma
CVE-2017-15830 A-70237719
QC-CR#2120725
ПП Средний Драйвер sme
CVE-2017-14889 A-70237700
QC-CR#2119803
ПП Средний wma
CVE-2017-14887 A-70237715
QC-CR#2119673
ПП Средний WLAN
CVE-2017-14879 A-63851638*
QC-CR#2056307
ПП Средний IPA
CVE-2017-11082 A-66937387
QC-CR#2071560
ПП Средний WLAN
CVE-2017-11074 A-68940798
QC-CR#2049138
ПП Средний WLAN
CVE-2017-18052 A-70237712
QC-CR#2119439
РИ Средний WLAN
CVE-2017-18057 A-70237709
QC-CR#2119403
РИ Средний WLAN
CVE-2017-18059 A-70237708
QC-CR#2119399
РИ Средний WLAN
CVE-2017-18060 A-70237707
QC-CR#2119394
РИ Средний WLAN
CVE-2017-18051 A-70237696
QC-CR#2119442
РИ Средний WLAN
CVE-2017-18053 A-70237695
QC-CR#2119434
РИ Средний WLAN
CVE-2017-18058 A-70237690
QC-CR#2119401
РИ Средний WLAN
CVE-2017-15855 A-38232131*
QC-CR#2025367
РИ Средний Драйвер Camera_v2
CVE-2017-15814 A-64836865*
QC-CR#2092793
РИ Средний Драйвер Camera_v2

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения.

Ссылки Категория Описание Устройства
A-70491468 Производительность Улучшено включение экрана при разблокировке с помощью отпечатка пальца. Pixel 2, Pixel 2 XL
A-69307875 Аудио Улучшено качество аудиозаписи при видеосъемке. Pixel 2 XL
A-70641186 Отчеты Улучшены отчеты о сбоях. Pixel 2, Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 марта 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-03-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

3. На что указывают записи в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 5 марта 2018 г. Бюллетень опубликован.
1.1 7 марта 2018 г. Добавлены ссылки на AOSP и обновлен ссылочный номер для уязвимости CVE-2017-15855.