Бюллетень по безопасности Pixel и Nexus – июнь 2018 г.

Опубликован 4 июня 2018 г. | Обновлен 6 июня 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июнь 2018 года, устранены в исправлении от 5 июня 2018 года или более новом. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Обновление системы безопасности 2018-06-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июнь 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах не менее месяца назад. Они могут включить эти исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, в которой указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9374 A-72710897 ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9375 A-75298708 ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9377 A-64752751* РИ Средний 6.0, 6.0.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9378 A-73126106 РИ Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9379 A-63766886 [2] РИ Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9349 A-72510002 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2018-9350 A-73552574 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2018-9351 A-73625898 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2018-9352 A-73965867 [2] РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2018-9353 A-73965890 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1
CVE-2018-9354 A-74067957 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
ОО Высокий 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9380 A-75298652 ПП Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9381 A-73125709 РИ Средний 8.1
CVE-2018-9382 A-35765136* ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-9383 A-73827422* РИ Средний asn1_decoder
CVE-2018-9384 A-74356909
Upstream kernel
ID Средний Ядро
CVE-2018-9385 A-74128061
Upstream kernel
EoP Средний AMBA
CVE-2018-9386 A-71363680* ПП Средний Драйвер HTC reboot_block
CVE-2018-9387 A-69006385* ПП Средний Драйвер Mnh_sm
CVE-2018-9388 A-68343441* ПП Средний ftm4_touch
CVE-2018-9389 A-65023306* ПП Средний IPv4/IPv6
CVE-2018-7480 A-76106168
Upstream kernel
EoP Средний Обработчик блочных устройств
CVE-2017-18075 A-73237057
Upstream kernel
EoP Средний pcrypt

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-9390 A-76100614*
M-ALPS03849277
EoP Средний Файл wlanThermo в procfs
CVE-2018-9391 A-72313579*
M-ALPS03762614
EoP Средний GPS HAL
CVE-2018-9392 A-72312594*
M-ALPS03762614
EoP Средний GPS HAL
CVE-2018-9393 A-72312577*
M-ALPS03753748
EoP Средний MTK WLAN
CVE-2018-9394 A-72312468*
M-ALPS03753652
EoP Средний Драйвер MTK P2P
CVE-2018-9395 A-72312071*
M-ALPS03753735
EoP Средний MTK cfg80211
CVE-2018-9396 A-71867113*
M-ALPS03740353
EoP Средний MediaTek CCCI
CVE-2018-9397 A-71866634*
M-ALPS03532675
M-ALPS03479586
EoP Средний WMT-устройство MediaTek
CVE-2018-9398 A-71866289*
M-ALPS03740468
EoP Средний Драйвер FM-радио
CVE-2018-9399 A-71866200*
M-ALPS03740489
EoP Средний Драйвер /proc/driver/wmt_dbg
CVE-2018-9400 A-71865884*
M-ALPS03753678
EoP Средний Драйвер сенсорного экрана Goodix
CVE-2017-13308 A-70728757*
M-ALPS03751855
EoP Средний Драйвер температурного датчика
CVE-2018-9401 A-70511226*
M-ALPS03693409
EoP Средний cameraisp
CVE-2018-9402 A-70728072*
M-ALPS03684171
EoP Средний Драйвер WLAN
CVE-2018-9403 A-72313700*
M-ALPS03762413
EoP Средний HAL
CVE-2018-9404 A-72314374*
M-ALPS03773299
EoP Средний Слой радиоинтерфейса
CVE-2018-9405 A-72314804*
M-ALPS03762818
EoP Средний DmAgent
CVE-2018-9406 A-70726950*
M-ALPS03684231
ID Средний NlpService
CVE-2018-9407 A-70728406*
M-ALPS03902529
ID Средний eMMC
CVE-2018-9408 A-70729980*
M-ALPS03693684
ID Средний GPS

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-15824 A-68163089*
QC-CR#2107596
ID Средний Загрузчик EDK2
CVE-2018-5897 A-70528036*
QC-CR#2172685
ID Средний diag
CVE-2018-5895 A-70293535*
QC-CR#2161027
ID Средний qcacld
CVE-2018-5836 A-74237168
QC-CR#2160375
ID Средний WLAN
CVE-2018-3577 A-72957387
QC-CR#2129566
ID Средний WLAN
CVE-2017-15824 A-68992463
QC-CR#2107596
ID Средний Загрузчик
CVE-2017-14893 A-68992461
QC-CR#2104835
ID Средний Загрузчик
CVE-2017-14872 A-68992457
QC-CR#2073366
ID Средний Загрузчик
CVE-2018-5893 A-74237664
QC-CR#2146949
EoP Средний WLAN
CVE-2016-5342, CVE-2016-5080 A-72232294*
QC-CR#1032174
EoP Средний Драйвер WLAN
CVE-2018-5899 A-71638332*
QC-CR#1040612
EoP Средний Драйвер WLAN
CVE-2018-5890 A-71501675
QC-CR#2127348
EoP Средний Загрузчик
CVE-2018-5889 A-71501674
QC-CR#2127341
EoP Средний Загрузчик
CVE-2018-5888 A-71501672
QC-CR#2127312
EoP Средний Загрузчик
CVE-2018-5887 A-71501669
QC-CR#2127305
EoP Средний Загрузчик
CVE-2018-5898 A-71363804*
QC-CR#2173850
EoP Средний Аудиодрайвер QC
CVE-2018-5832 A-69065862*
QC-CR#2149998
EoP Средний Camera_v2
CVE-2018-5857 A-62536960*
QC-CR#2169403
EoP Средний wcd_cpe_core
CVE-2018-3597 A-74237782
QC-CR#2143070
EoP Средний DSP_Services
CVE-2018-3564 A-72957546
QC-CR#2062648
EoP Средний DSP_Services
CVE-2017-15856 A-72957506
QC-CR#2111922
EoP Средний Узел power_stats debugfs

Компоненты Qualcomm с закрытым исходным кодом

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm AMSS или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11088 A-72951251* Н/Д Средний Компонент с закрытым исходным кодом
CVE-2017-11076 A-65049457* Н/Д Средний Компонент с закрытым исходным кодом

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.

Ссылки Категория Описание Устройства
A-74413120 Bluetooth Повышена производительность BLE. Все
A-76022834 Производительность Улучшено переключение между антеннами в зонах со слабым покрытием сети. Pixel 2, Pixel 2 XL
A-77963927 Wi-Fi Улучшено подключение к Wi-Fi через некоторые точки доступа. Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-77458860 Пользовательский интерфейс IMEISV-код теперь отображается корректно (в числовом формате). Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-68114567
A-74058011
Экран Повышена стабильность работы функции "Информация на заблокированном экране". Pixel 2 XL
A-70282393 Производительность Улучшена работа датчика расстояния. Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 июня 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-06-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel и Nexus, которые можно скачать на сайте Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно решать для соответствия уровню исправления.

Версии

Версия Дата Примечания
1.0 4 июня 2018 г. Бюллетень опубликован.
1.1 6 июня 2018 г. Добавлены ссылки на AOSP.