Opublikowano 5 czerwca 2017 | Zaktualizowano 17 sierpnia 2017 r
Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 5 czerwca 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.
Partnerzy zostali powiadomieni o problemach opisanych w biuletynie co najmniej miesiąc temu. Poprawki kodu źródłowego rozwiązujące te problemy zostaną udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdą się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach programu Media Framework, która może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i Google Play Protect , które poprawiają bezpieczeństwo platformy Android , można znaleźć w sekcji Środki zaradcze dotyczące systemów Android i Google Play Protect .
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: informacje o najnowszych aktualizacjach OTA i obrazach oprogramowania sprzętowego dla urządzeń Google są dostępne w sekcji Aktualizacje urządzeń Google .
Ogłoszenia
- Udoskonaliliśmy miesięczny biuletyn bezpieczeństwa, aby ułatwić jego czytanie. W ramach tej aktualizacji informacje o lukach w zabezpieczeniach są kategoryzowane według komponentu, którego dotyczy luka, sortowane według nazwy komponentu w ramach poziomu poprawki zabezpieczeń, a informacje Google dotyczące konkretnych urządzeń są przechowywane w dedykowanej sekcji .
- Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
- 2017-06-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2017-06-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
- 2017-06-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-06-01 i 2017-06-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
Środki zaradcze dla Androida i Google Play Protect
To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami . Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play.
Poziom poprawki zabezpieczeń 2017-06-01 — szczegóły dotyczące luki
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-06-01. Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu oraz tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Bluetooth
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | EoP | Umiarkowany | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | ID | Umiarkowany | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Biblioteki
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie, korzystając ze specjalnie spreparowanego pliku, wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562 * | RCE | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553 * | RCE | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | RCE | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | RCE | Umiarkowany | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | RCE | Umiarkowany | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | ID | Umiarkowany | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | DoS | Umiarkowany | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Ramy medialne
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku spowodowanie uszkodzenia pamięci podczas przetwarzania plików multimedialnych i danych.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | RCE | Krytyczny | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467 * | DoS | Wysoki | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051 * | DoS | Wysoki | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997 * | DoS | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
Interfejs systemu
Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej korzystającej ze specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | RCE | Wysoki | 7.1.1, 7.1.2 |
Poziom poprawki zabezpieczeń z dnia 2017-06-05 — szczegóły dotyczące luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-06-05. Luki są pogrupowane według komponentu, na który wpływają, i zawierają szczegółowe informacje, takie jak CVE, powiązane odniesienia, typ luki , istotność , komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.
Składniki jądra
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220 * | EoP | Wysoki | Debuger FIQ |
| CVE-2017-0651 | A-35644815 * | ID | Niski | Podsystem ION |
Biblioteki
Najpoważniejsza luka w tej sekcji może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku uzyskanie dostępu do poufnych informacji.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065 * | ID | Umiarkowany | 4.4.4 |
Komponenty MediaTeka
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230 * M-ALPS03162263 | EoP | Wysoki | Sterownik kolejki poleceń |
| CVE-2017-0649 | A-34468195 * M-ALPS03162283 | EoP | Umiarkowany | Sterownik dźwięku |
Komponenty NVIDIA
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301 * N-CVE-2017-6247 | EoP | Wysoki | Sterownik dźwięku |
| CVE-2017-6248 | A-34372667 * N-CVE-2017-6248 | EoP | Umiarkowany | Sterownik dźwięku |
| CVE-2017-6249 | A-34373711 * N-CVE-2017-6249 | EoP | Umiarkowany | Sterownik dźwięku |
Komponenty Qualcomma
Najpoważniejsza luka w tej sekcji może umożliwić bezpośredniemu atakującemu wykonanie dowolnego kodu w kontekście jądra.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR#1101054 | RCE | Krytyczny | Sterownik Bluetooth |
| CVE-2017-7365 | A-32449913 QC-CR#1017009 | EoP | Wysoki | Program rozruchowy |
| CVE-2017-7366 | A-36252171 QC-CR#1036161 [ 2 ] | EoP | Wysoki | Sterownik GPU |
| CVE-2017-7367 | A-34514708 QC-CR#1008421 | DoS | Wysoki | Program rozruchowy |
| CVE-2016-5861 | A-36251375 QC-CR#1103510 | EoP | Umiarkowany | Sterownik wideo |
| CVE-2016-5864 | A-36251231 QC-CR#1105441 | EoP | Umiarkowany | Sterownik dźwięku |
| CVE-2017-6421 | A-36251986 QC-CR#1110563 | EoP | Umiarkowany | Sterownik ekranu dotykowego MStar |
| CVE-2017-7364 | A-36252179 QC-CR#1113926 | EoP | Umiarkowany | Sterownik wideo |
| CVE-2017-7368 | A-33452365 QC-CR#1103085 | EoP | Umiarkowany | Sterownik dźwięku |
| CVE-2017-7369 | A-33751424 QC-CR#2009216 [ 2 ] | EoP | Umiarkowany | Sterownik dźwięku |
| CVE-2017-7370 | A-34328139 QC-CR#2006159 | EoP | Umiarkowany | Sterownik wideo |
| CVE-2017-7372 | A-36251497 QC-CR#1110068 | EoP | Umiarkowany | Sterownik wideo |
| CVE-2017-7373 | A-36251984 QC-CR#1090244 | EoP | Umiarkowany | Sterownik wideo |
| CVE-2017-8233 | A-34621613 QC-CR#2004036 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-8234 | A-36252121 QC-CR#832920 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-8235 | A-36252376 QC-CR#1083323 | EoP | Umiarkowany | Sterownik aparatu |
| CVE-2017-8236 | A-35047217 QC-CR#2009606 | EoP | Umiarkowany | Kierowca IPA |
| CVE-2017-8237 | A-36252377 QC-CR#1110522 | EoP | Umiarkowany | Sterownik sieciowy |
| CVE-2017-8242 | A-34327981 QC-CR#2009231 | EoP | Umiarkowany | Sterownik komunikatora bezpiecznego środowiska wykonawczego |
| CVE-2017-8239 | A-36251230 QC-CR#1091603 | ID | Umiarkowany | Sterownik aparatu |
| CVE-2017-8240 | A-36251985 QC-CR#856379 | ID | Umiarkowany | Sterownik kontrolera pinów |
| CVE-2017-8241 | A-34203184 QC-CR#1069175 | ID | Niski | Sterownik Wi-Fi |
Składniki synaptyczne
Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji dostęp do danych poza jej poziomami uprawnień.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278 * | EoP | Niski | Sterownik ekranu dotykowego |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane w biuletynach bezpieczeństwa Qualcomm AMSS z lat 2014–2016. Są one zawarte w tym biuletynie zabezpieczeń systemu Android, aby powiązać ich poprawki z poziomem poprawek zabezpieczeń systemu Android. Poprawki dla tych luk są dostępne bezpośrednio od Qualcomm.
| CVE | Bibliografia | Typ | Powaga | Część |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2014-9961 | A-37279724 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2014-9953 | A-36714770 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2014-9967 | A-37281466 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9026 | A-37277231 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9027 | A-37279124 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9008 | A-36384689 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9009 | A-36393600 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9010 | A-36393101 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9011 | A-36714882 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9024 | A-37265657 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9012 | A-36384691 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9013 | A-36393251 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9014 | A-36393750 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9015 | A-36714120 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2015-9029 | A-37276981 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10338 | A-37277738 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10336 | A-37278436 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10333 | A-37280574 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10341 | A-37281667 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10335 | A-37282802 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10340 | A-37280614 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10334 | A-37280664 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10339 | A-37280575 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10298 | A-36393252 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2016-10299 | A-32577244 * | Nie dotyczy | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2014-9954 | A-36388559 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9955 | A-36384686 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9956 | A-36389611 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9957 | A-36387564 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9958 | A-36384774 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9962 | A-37275888 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9963 | A-37276741 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9959 | A-36383694 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9964 | A-37280321 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9965 | A-37278233 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2014-9966 | A-37282854 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9023 | A-37276138 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9020 | A-37276742 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9021 | A-37276743 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9025 | A-37276744 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9022 | A-37280226 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9028 | A-37277982 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9031 | A-37275889 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9032 | A-37279125 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9033 | A-37276139 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2015-9030 | A-37282907 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2016-10332 | A-37282801 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2016-10337 | A-37280665 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
| CVE-2016-10342 | A-37281763 * | Nie dotyczy | Wysoki | Komponent o zamkniętym źródle |
Aktualizacje urządzeń Google
Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji bezprzewodowej (OTA) i obrazy oprogramowania sprzętowego dla urządzeń Google. Obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .
| Urządzenie Google’a | Poziom poprawki zabezpieczeń |
|---|---|
| Piksel / Piksel XL | 05 czerwca 2017 r |
| Nexusa 5X | 05 czerwca 2017 r |
| Nexusa 6 | 05 czerwca 2017 r |
| Nexusa 6P | 05 czerwca 2017 r |
| Nexusa 9 | 05 czerwca 2017 r |
| Gracz Nexusa | 05 czerwca 2017 r |
| Piksel C | 05 czerwca 2017 r |
Aktualizacje urządzeń Google zawierają także poprawki usuwające te luki w zabezpieczeniach, jeśli mają zastosowanie:
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | ID | Wysoki | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Podziękowanie
Chcielibyśmy podziękować tym badaczom za ich wkład:
| CVE | Naukowcy |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | Ecular Xu (徐健) z Trend Micro |
| CVE-2017-0645, CVE-2017-0639 | En He ( @heeeeen4x ) i Bo Liu z MS509Team |
| CVE-2017-0649 | Gengjia Chen ( @chengjia4574 ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0646 | Godzheng (郑文选 – @VirtualSeekers ) z Tencent PC Manager |
| CVE-2017-0636 | Jake Corina ( @JakeCorina ) z zespołu Shellphish Grill |
| CVE-2017-8233 | Jianqiang Zhao ( @jianqiangzhao ) i plik PJF z IceSword Lab, Qihoo 360 |
| CVE-2017-7368 | Lubo Zhang ( zlbzlb815@163.com ), Yuan-Tsung Lo ( komputernik@gmail.com ) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-8242 | Nathan Crandall ( @natecray ) z zespołu ds. bezpieczeństwa produktów Tesli |
| CVE-2017-0650 | Omer Shwartz, Amir Cohen, dr Asaf Shabtai i dr Yossi Oren z Cyber Lab Uniwersytetu Ben Guriona |
| CVE-2017-0648 | Roee Hay @roeehay z Aleph Research , HCL Technologies |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | Sevenshen ( @lingtongshen ) z TrendMicro |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | Wasilij Wasiliew |
| CVE-2017-0640 | VEO ( @VYSEa ) z zespołu reagowania na zagrożenia mobilne , Trend Micro |
| CVE-2017-8236 | Xiling Gong z działu platformy bezpieczeństwa Tencent |
| CVE-2017-0647 | Yangkang ( @dnpushme ) i Liyadong z zespołu Qex, Qihoo 360 |
| CVE-2017-7370 | Yonggang Guo ( @guoygang ) z IceSword Lab, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0651 | Yuan-Tsung Lo ( komputernik@gmail.com ) i Xuxian Jiang z zespołu C0RE |
| CVE-2017-8241 | Zubin Mitra z Google |
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .
- Poziomy poprawek zabezpieczeń z dnia 2017-06-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-06-01.
- Poziomy poprawek zabezpieczeń z dnia 2017-06-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-06-05 i wszystkimi poprzednimi poziomami poprawek.
Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2017-06-01]
- [ro.build.version.security_patch]:[2017-06-05]
2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?
W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 czerwca 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
- Urządzenia korzystające z poprawki zabezpieczeń z dnia 5 czerwca 2017 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.
Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ ?
Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie przywilejów |
| ID | Ujawnianie informacji |
| DoS | Odmowa usługi |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Referencje ?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| Kontrola jakości- | Numer referencyjny Qualcomma |
| M- | Numer referencyjny MediaTeka |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny firmy Broadcom |
5. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?
Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .
Wersje
| Wersja | Data | Notatki |
|---|---|---|
| 1,0 | 5 czerwca 2017 r | Biuletyn opublikowany. |
| 1.1 | 7 czerwca 2017 r | Biuletyn zmieniony w celu uwzględnienia łączy AOSP. |
| 1.2 | 11 lipca 2017 r | Biuletyn zmieniony w celu uwzględnienia CVE-2017-6249. |
| 1.3 | 17 sierpnia 2017 r | Biuletyn zmieniony w celu aktualizacji numerów referencyjnych. |