Бюллетень по безопасности Pixel и Nexus – июль 2018 г.

Опубликован 2 июля 2018 г. | Обновлен 8 ноября 2018 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июль 2018 года, устранены в исправлении от 5 июля 2018 года или более новом. Подробнее о том, как проверить версию системы безопасности на устройстве

Поддерживаемые устройства Google получат обновление системы безопасности 2018-07-05. Мы рекомендуем всем пользователям установить его или более новое обновление.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июль 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, в которой указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9426 A-79148652 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9376 A-69981755 ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9434 A-29833520 [2] РИ Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9429 A-73927042 РИ Средний 8.1
CVE-2018-9423 A-77599438 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2018-9413 A-73782082 УВК Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9418 A-73824150 УВК Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9430 A-73963551 УВК Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9414 A-78787521 ПП Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9431 A-77600924 ПП Средний 8.0, 8.1

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-9416 A-75300370* ПП Средний SCSI-драйвер
CVE-2018-9415 A-69129004
Upstream kernel
EoP Средний Драйвер AMBA
CVE-2018-7995 A-77694092
Upstream kernel
EoP Средний mcheck
CVE-2018-1065 A-76206188
Upstream kernel
EoP Средний Система сетевой фильтрации netfilter
CVE-2017-1821 A-76874268
Upstream kernel
EoP Средний Ethernet
CVE-2017-1000112 A-68806309
Upstream kernel
EoP Средний Ядро Linux

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-5865 A-77528512
QC-CR#2179937
ID Средний Программа fwlog
CVE-2018-5864 A-77528805
QC-CR#2170392
ID Средний WMA
CVE-2018-11304 A-73242483*
QC-CR#2209291
EoP Средний Аудиодрайвер
CVE-2018-5907 A-72710411*
QC-CR#2209291
EoP Средний Аудиодрайвер
CVE-2018-5862 A-77528300
QC-CR#2153343
EoP Средний WLAN
CVE-2018-5859 A-77527701
QC-CR#2146486
EoP Средний Видеодрайвер
CVE-2018-5858 A-77528653
QC-CR#2174725 [2]
EoP Средний Аудио
CVE-2018-3570 A-72956998
QC-CR#2149165
EoP Средний Драйвер cpuidle
CVE-2017-15851 A-38258851*
QC-CR#2078155
EoP Средний Camera_v2
CVE-2017-0606 A-34088848*
QC-CR#2148210
QC-CR#2022490
EoP Средний Драйвер /dev/voice_svc

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.

Ссылки Категория Описание Устройства
A-73204553 Подключение Повышена стабильность подключений к сетям Wi-Fi, создаваемым некоторыми маршрутизаторами. Pixel 2, Pixel 2 XL

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении от 5 июля 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-07-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel и Nexus, которые можно скачать на сайте Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно решать для соответствия уровню исправления.

Версии

Версия Дата Примечания
1.0 2 июля 2018 г. Бюллетень опубликован.
1.1 3 июля 2018 г. Добавлены ссылки на AOSP.
1.2 8 ноября 2018 г. Исправлена информация об уязвимости CVE-2017-1000112.