Опубликован 2 июля 2018 г. | Обновлен 8 ноября 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июль 2018 года, устранены в исправлении 2018-07-05 и более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Поддерживаемые устройства Google получат обновление системы безопасности 2018-07-05. Мы рекомендуем всем пользователям установить его или более новое обновление.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июль 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9426 | A-79148652 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9376 | A-69981755 | EoP | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9434 | A-29833520 [2] | ID | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9429 | A-73927042 | ID | Средний | 8.1 |
| CVE-2018-9423 | A-77599438 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9413 | A-73782082 | RCE | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9418 | A-73824150 | RCE | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9430 | A-73963551 | RCE | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9414 | A-78787521 | EoP | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9431 | A-77600924 | EoP | Средний | 8.0, 8.1 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-9416 | A-75300370* | EoP | Средний | SCSI-драйвер |
| CVE-2018-9415 | A-69129004 Upstream kernel |
EoP | Средний | Драйвер AMBA |
| CVE-2018-7995 | A-77694092 Upstream kernel |
EoP | Средний | mcheck |
| CVE-2018-1065 | A-76206188 Upstream kernel |
EoP | Средний | Система сетевой фильтрации netfilter |
| CVE-2017-1821 | A-76874268 Upstream kernel |
EoP | Средний | Ethernet |
| CVE-2017-1000112 | A-68806309 Upstream kernel |
EoP | Средний | Ядро Linux |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-5865 | A-77528512 QC-CR#2179937 |
ID | Средний | Программа fwlog |
| CVE-2018-5864 | A-77528805 QC-CR#2170392 |
ID | Средний | WMA |
| CVE-2018-11304 | A-73242483* QC-CR#2209291 |
EoP | Средний | Аудиодрайвер |
| CVE-2018-5907 | A-72710411* QC-CR#2209291 |
EoP | Средний | Аудиодрайвер |
| CVE-2018-5862 | A-77528300 QC-CR#2153343 |
EoP | Средний | WLAN |
| CVE-2018-5859 | A-77527701 QC-CR#2146486 |
EoP | Средний | Видеодрайвер |
| CVE-2018-5858 | A-77528653 QC-CR#2174725 [2] |
EoP | Средний | Аудио |
| CVE-2018-3570 | A-72956998 QC-CR#2149165 |
EoP | Средний | Драйвер cpuidle |
| CVE-2017-15851 | A-38258851* QC-CR#2078155 |
EoP | Средний | Camera_v2 |
| CVE-2017-0606 | A-34088848* QC-CR#2148210 QC-CR#2022490 |
EoP | Средний | Драйвер /dev/voice_svc |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-73204553 | Подключение | Повышена стабильность подключений к сетям Wi-Fi, создаваемым некоторыми маршрутизаторами. | Pixel 2, Pixel 2 XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2018-07-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-07-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel и Nexus, которые можно скачать на сайте Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, например перечисленные здесь, для достижения уровня исправления необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 июля 2018 г. | Бюллетень опубликован. |
| 1.1 | 3 июля 2018 г. | Добавлены ссылки на AOSP. |
| 1.2 | 8 ноября 2018 г. | Исправлена информация об уязвимости CVE-2017-1000112. |