Бюллетень по обновлениям Pixel – декабрь 2021 г.

Опубликовано 6 декабря 2021 г. | Обновлено 20 января 2021 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Для устройств Google исправления системы безопасности 2021-12-05 или более поздние устраняют все проблемы, указанные в этом бюллетене и в бюллетене по безопасности Android за декабрь 2021 г. Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в этой статье.

Исправление системы безопасности 2021-12-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2021 г., обновления для устройств Google содержат также исправления проблем, перечисленных ниже.

Исправления для системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP) и дополнительные ссылки в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2021-0981 A-191981182 EoP Средний 12
CVE-2021-0984 A-192475653 EoP Средний 12
CVE-2021-0985 A-190403923 EoP Средний 12
CVE-2021-1019 A-195031401 EoP Средний 12
CVE-2021-1024 A-191283525 EoP Средний 12
CVE-2021-0978 A-192587406 ID Средний 12
CVE-2021-0979 A-191772737 ID Средний 12
CVE-2021-0982 A-192368508 ID Средний 12
CVE-2021-0986 A-192247339 ID Средний 12
CVE-2021-0988 A-191954233 [2] ID Средний 12
CVE-2021-1009 A-189858128 ID Средний 12
CVE-2021-1010 A-189857801 ID Средний 12
CVE-2021-1011 A-188219307 ID Средний 12
CVE-2021-1013 A-186404356 ID Средний 12
CVE-2021-1030 A-194697001 ID Средний 12
CVE-2021-1031 A-194697004 ID Средний 12
CVE-2021-1032 A-184745603 ID Средний 12
CVE-2021-0993 A-193849901 DoS Средний 12

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2021-1003 A-189857506 EoP Средний 12
CVE-2021-1027 A-193033243 EoP Средний 12
CVE-2021-1028 A-193034683 EoP Средний 12
CVE-2021-1029 A-193034677 EoP Средний 12
CVE-2021-0976 A-199680600 ID Средний 12
CVE-2021-0998 A-193442575 ID Средний 12
CVE-2021-1001 A-190435883 ID Средний 12
CVE-2021-1002 A-194533433 ID Средний 12
CVE-2021-1018 A-194110891 ID Средний 12

Сообщения

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2021-0973 A-197328178 ID Средний 12

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2021-0769 A-184676316 EoP Средний 12
CVE-2021-0977 A-183487770 EoP Средний 12
CVE-2021-0992 A-180104327 EoP Средний 12
CVE-2021-0999 A-196858999 EoP Средний 12
CVE-2021-1004 A-197749180 EoP Средний 12
CVE-2021-1016 A-183610267 EoP Средний 12
CVE-2021-1017 A-182583850 EoP Средний 12
CVE-2021-1020 A-195111725 EoP Средний 12
CVE-2021-1021 A-195031703 EoP Средний 12
CVE-2021-0987 A-190619791 ID Средний 12
CVE-2021-0989 A-194105812 ID Средний 12
CVE-2021-0990 A-185591180 ID Средний 12
CVE-2021-0991 A-181588752 ID Средний 12
CVE-2021-0994 A-193801134 ID Средний 12
CVE-2021-0995 A-197536547 ID Средний 12
CVE-2021-0996 A-181346545 ID Средний 12
CVE-2021-0997 A-191086488 ID Средний 12
CVE-2021-1005 A-186530889 ID Средний 12
CVE-2021-1006 A-183961974 ID Средний 12
CVE-2021-1007 A-167759047 ID Средний 12
CVE-2021-1012 A-195412179 ID Средний 12
CVE-2021-1014 A-186776740 ID Средний 12
CVE-2021-1015 A-186530496 ID Средний 12
CVE-2021-1023 A-195963373 ID Средний 12
CVE-2021-1025 A-193800652 ID Средний 12
CVE-2021-1026 A-194798757 ID Средний 12
CVE-2021-1034 A-193441322 ID Средний 12
CVE-2021-1008 A-197327688 DoS Средний 12
CVE-2021-1022 A-180420059 DoS Средний 12

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-25668 A-190228658
Upstream kernel
EoP Средний Ядро
CVE-2021-23134 A-188883590
Upstream kernel
EoP Средний NFC
CVE-2021-33200 A-190011721
Upstream kernel [2] [3]
EoP Средний Ядро
CVE-2021-39656 A-174049066
Upstream kernel
EoP Средний Ядро
CVE-2021-39636 A-120612905
Upstream kernel [2] [3] [4] [5]
ID Средний Ядро
CVE-2021-39648 A-160822094
Upstream kernel
ID Средний Ядро
CVE-2021-39657 A-194696049
Upstream kernel
ID Средний Ядро

Pixel

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2021-39639 A-198291476 * EoP Высокий Загрузчик
CVE-2021-39640 A-157294279 * EoP Высокий USB
CVE-2021-39644 A-199809304 * EoP Высокий Загрузчик
CVE-2021-39645 A-199805112 * EoP Высокий Загрузчик
CVE-2021-1047 A-197966306 * ID Высокий Titan M2
CVE-2021-39638 A-195607566 * EoP Средний Камера
CVE-2021-39641 A-126949257 * EoP Средний Загрузчик
CVE-2021-39642 A-195731663 * EoP Средний Камера
CVE-2021-39643 A-195573629 * EoP Средний Titan M2
CVE-2021-39649 A-174049006 * EoP Средний Аудио
CVE-2021-39650 A-169763055 * EoP Средний Ядро
CVE-2021-39651 A-193438173 * EoP Средний Биометрия
CVE-2021-39652 A-194499021 * EoP Средний Сенсор
CVE-2021-39653 A-193443223 * EoP Средний Загрузчик
CVE-2021-39655 A-192641593 * EoP Средний Ядро
CVE-2021-1046 A-195609074 * ID Средний Камера
CVE-2021-39637 A-193579873 * ID Средний Система
CVE-2021-39646 A-201537251 * ID Средний Загрузчик
CVE-2021-39647 A-198713939 * ID Средний Загрузчик

Компоненты Qualcomm

CVE Ссылки Уровень серьезности Компонент
CVE-2021-30298
A-190408641
QC-CR#2873209 [2]
Средний Ядро

Функциональные исправления

Подробную информацию об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, можно найти на справочном форуме Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2021-12-05 и более поздних устранены все проблемы, соответствующие исправлению 2021-12-05 для системы безопасности и всем предыдущим исправлениям. Информацию о том, как проверить версию системы безопасности на устройстве, можно найти в этой статье.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom
U- Ссылочный номер UNISOC

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно устранять для достижения уровня исправления.

Версии

Версия Дата Примечания
1.0 6 декабря 2021 г. Бюллетень выпущен.
1.1 8 декабря 2021 г. Добавлены ссылки на AOSP.
1.2 20 января 2021 г. Обновлен список проблем.