Опубликовано 2 июля 2018 г. | Обновлено 8 ноября 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июль 2018 года, устранены в исправлении от 5 июля 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Поддерживаемые устройства Google получат обновление системы безопасности 2018-07-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июль 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также версии AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Дополнительные ссылки перечислены в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9426 | A-79148652 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9376 | A-69981755 | ПП | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9434 | A-29833520 [2] | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9429 | A-73927042 | РИ | Средний | 8.1 |
| CVE-2018-9423 | A-77599438 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9413 | A-73782082 | УВК | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9418 | A-73824150 | УВК | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9430 | A-73963551 | УВК | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9414 | A-78787521 | ПП | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9431 | A-77600924 | ПП | Средний | 8.0, 8.1 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-9416 | A-75300370* | ПП | Средний | SCSI-драйвер |
| CVE-2018-9415 | A-69129004 Upstream kernel |
ПП | Средний | Драйвер AMBA |
| CVE-2018-7995 | A-77694092 Upstream kernel |
ПП | Средний | mcheck |
| CVE-2018-1065 | A-76206188 Upstream kernel |
ПП | Средний | Система сетевой фильтрации netfilter |
| CVE-2017-1821 | A-76874268 Upstream kernel |
ПП | Средний | Ethernet |
| CVE-2017-1000112 | A-68806309 Upstream kernel |
ПП | Средний | Ядро Linux |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-5865 | A-77528512 QC-CR#2179937 |
РИ | Средний | Программа fwlog |
| CVE-2018-5864 | A-77528805 QC-CR#2170392 |
РИ | Средний | WMA |
| CVE-2018-11304 | A-73242483* QC-CR#2209291 |
ПП | Средний | Аудиодрайвер |
| CVE-2018-5907 | A-72710411* QC-CR#2209291 |
ПП | Средний | Аудиодрайвер |
| CVE-2018-5862 | A-77528300 QC-CR#2153343 |
ПП | Средний | WLAN |
| CVE-2018-5859 | A-77527701 QC-CR#2146486 |
ПП | Средний | Видеодрайвер |
| CVE-2018-5858 | A-77528653 QC-CR#2174725 [2] |
ПП | Средний | Аудио |
| CVE-2018-3570 | A-72956998 QC-CR#2149165 |
ПП | Средний | Драйвер cpuidle |
| CVE-2017-15851 | A-38258851* QC-CR#2078155 |
ПП | Средний | Camera_v2 |
| CVE-2017-0606 | A-34088848* QC-CR#2148210 QC-CR#2022490 |
ПП | Средний | Драйвер /dev/voice_svc |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-73204553 | Подключение | Повышена стабильность подключений к сетям Wi-Fi, создаваемым некоторыми маршрутизаторами. | Pixel 2, Pixel 2 XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении от 5 июля 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-07-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel и Nexus, которые можно скачать на сайте для разработчиков.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 июля 2018 г. | Бюллетень опубликован. |
| 1.1 | 3 июля 2018 г. | Добавлены ссылки на AOSP. |
| 1.2 | 8 ноября 2018 г. | Изменена уязвимость CVE-2017-1000112. |