Бюллетень по безопасности Pixel и Nexus – июль 2018 г.

Опубликовано 2 июля 2018 г. | Обновлено 8 ноября 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июль 2018 года, устранены в исправлении от 5 июля 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

Поддерживаемые устройства Google получат обновление системы безопасности 2018-07-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июль 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также версии AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Дополнительные ссылки перечислены в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9426 A-79148652 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9376 A-69981755 ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9434 A-29833520 [2] РИ Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9429 A-73927042 РИ Средний 8.1
CVE-2018-9423 A-77599438 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9413 A-73782082 УВК Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9418 A-73824150 УВК Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9430 A-73963551 УВК Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9414 A-78787521 ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9431 A-77600924 ПП Средний 8.0, 8.1

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-9416 A-75300370* ПП Средний SCSI-драйвер
CVE-2018-9415 A-69129004
Upstream kernel
ПП Средний Драйвер AMBA
CVE-2018-7995 A-77694092
Upstream kernel
ПП Средний mcheck
CVE-2018-1065 A-76206188
Upstream kernel
ПП Средний Система сетевой фильтрации netfilter
CVE-2017-1821 A-76874268
Upstream kernel
ПП Средний Ethernet
CVE-2017-1000112 A-68806309
Upstream kernel
ПП Средний Ядро Linux

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-5865 A-77528512
QC-CR#2179937
РИ Средний Программа fwlog
CVE-2018-5864 A-77528805
QC-CR#2170392
РИ Средний WMA
CVE-2018-11304 A-73242483*
QC-CR#2209291
ПП Средний Аудиодрайвер
CVE-2018-5907 A-72710411*
QC-CR#2209291
ПП Средний Аудиодрайвер
CVE-2018-5862 A-77528300
QC-CR#2153343
ПП Средний WLAN
CVE-2018-5859 A-77527701
QC-CR#2146486
ПП Средний Видеодрайвер
CVE-2018-5858 A-77528653
QC-CR#2174725 [2]
ПП Средний Аудио
CVE-2018-3570 A-72956998
QC-CR#2149165
ПП Средний Драйвер cpuidle
CVE-2017-15851 A-38258851*
QC-CR#2078155
ПП Средний Camera_v2
CVE-2017-0606 A-34088848*
QC-CR#2148210
QC-CR#2022490
ПП Средний Драйвер /dev/voice_svc

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.

Ссылки Категория Описание Устройства
A-73204553 Подключение Повышена стабильность подключений к сетям Wi-Fi, создаваемым некоторыми маршрутизаторами. Pixel 2, Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 июля 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-07-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel и Nexus, которые можно скачать на сайте для разработчиков.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 2 июля 2018 г. Бюллетень опубликован.
1.1 3 июля 2018 г. Добавлены ссылки на AOSP.
1.2 8 ноября 2018 г. Изменена уязвимость CVE-2017-1000112.