Biuletyn dotyczący bezpieczeństwa Androida — lipiec 2017 r

Opublikowano 5 lipca 2017 | Zaktualizowano 26 września 2017 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 5 lipca 2017 r. lub nowsze rozwiązują wszystkie te problemy. Zapoznaj się z harmonogramem aktualizacji Pixela i Nexusa, aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia.

Partnerzy zostali powiadomieni o problemach opisanych w biuletynie co najmniej miesiąc temu. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach środowiska multimedialnego, która może umożliwić zdalnemu atakującemu użycie specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i Google Play Protect , które poprawiają bezpieczeństwo platformy Android , można znaleźć w sekcji Środki zaradcze dotyczące systemów Android i Google Play Protect.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Uwaga: informacje o najnowszych aktualizacjach OTA i obrazach oprogramowania sprzętowego dla urządzeń Google są dostępne w sekcji Aktualizacje urządzeń Google .

Ogłoszenia

  • Ten biuletyn zawiera dwa ciągi poziomów poprawek zabezpieczeń, które zapewniają partnerom systemu Android elastyczność umożliwiającą szybsze naprawianie podzbioru luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Aby uzyskać dodatkowe informacje, zobacz Często zadawane pytania i odpowiedzi :
    • 2017-07-01 : Ciąg znaków dotyczący poziomu częściowej poprawki zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datą 2017-07-01 (i wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).
    • 2017-07-05 : Kompletny ciąg poziomów poprawek zabezpieczeń. Ten ciąg poziomu poprawki zabezpieczeń wskazuje, że rozwiązano wszystkie problemy związane z datami 2017-07-01 i 2017-07-05 (oraz wszystkimi poprzednimi ciągami poziomów poprawek zabezpieczeń).

Środki zaradcze dla Androida i Google Play Protect

To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami . Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play.

Poziom poprawki zabezpieczeń z dnia 2017-07-01 — szczegóły dotyczące luki w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2017-07-01. Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu oraz tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Czas wykonania

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-3544 A-35784677 RCE Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Struktura

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykorzystującej specjalnie spreparowany plik wykonanie dowolnego kodu w kontekście aplikacji korzystającej z biblioteki.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0664 A-36491278 EoP Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0665 A-36991414 EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0666 A-37285689 EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0667 A-37478824 EoP Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0668 A-22011579 ID Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0669 A-34114752 ID Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0670 A-36104177 DoS Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Biblioteki

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście aplikacji korzystającej z biblioteki.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0671 A-34514762 * RCE Wysoki 4.4.4
CVE-2016-2109 A-35443725 DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0672 A-34778578 DoS Wysoki 7.0, 7.1.1, 7.1.2

Ramy medialne

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0540 A-33966031 RCE Krytyczny 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0673 A-33974623 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0674 A-34231163 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0675 A-34779227 [ 2 ] RCE Krytyczny 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0676 A-34896431 RCE Krytyczny 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0677 A-36035074 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0678 A-36576151 RCE Krytyczny 7.0, 7.1.1, 7.1.2
CVE-2017-0679 A-36996978 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0680 A-37008096 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0681 A-37208566 RCE Krytyczny 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0682 A-36588422 * RCE Wysoki 7.0, 7.1.1, 7.1.2
CVE-2017-0683 A-36591008 * RCE Wysoki 7.0, 7.1.1, 7.1.2
CVE-2017-0684 A-35421151 EoP Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0685 A-34203195 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0686 A-34231231 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0688 A-35584425 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0689 A-36215950 DoS Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0690 A-36592202 DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0691 A-36724453 DoS Wysoki 7.0, 7.1.1, 7.1.2
CVE-2017-0692 A-36725407 DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0693 A-36993291 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0694 A-37093318 DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0695 A-37094889 DoS Wysoki 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0696 A-37207120 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0697 A-37239013 DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0698 A-35467458 ID Umiarkowany 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0699 A-36490809 ID Umiarkowany 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Interfejs systemu

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0700 A-35639138 RCE Wysoki 7.1.1, 7.1.2
CVE-2017-0701 A-36385715 [ 2 ] RCE Wysoki 7.1.1, 7.1.2
CVE-2017-0702 A-36621442 RCE Wysoki 7.1.1, 7.1.2
CVE-2017-0703 A-33123882 EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0704 A-33059280 EoP Umiarkowany 7.1.1, 7.1.2

Poziom poprawki zabezpieczeń z dnia 2017-07-05 — szczegóły dotyczące luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2017-07-05. Luki są pogrupowane według komponentu, na który wpływają, i zawierają szczegółowe informacje, takie jak CVE, powiązane odniesienia, typ luki , istotność , komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Komponenty firmy Broadcom

Najpoważniejsza luka w tej sekcji może umożliwić bezpośredniemu atakującemu wykonanie dowolnego kodu w kontekście jądra.

CVE Bibliografia Typ Powaga Część
CVE-2017-9417 A-38041027 *
B-RB#123023
RCE Krytyczny Sterownik Wi-Fi
CVE-2017-0705 A-34973477 *
B-RB#119898
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0706 A-35195787 *
B-RB#120532
EoP Umiarkowany Sterownik Wi-Fi

Komponenty HTC

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-0707 A-36088467 * EoP Umiarkowany Sterownik LED
CVE-2017-0708 A-35384879 * ID Umiarkowany Sterownik dźwięku
CVE-2017-0709 A-35468048 * ID Niski Sterownik koncentratora czujnika

Składniki jądra

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-6074 A-35784697
Jądro nadrzędne
EoP Wysoki Podsystem sieciowy
CVE-2017-5970 A-35805460
Jądro nadrzędne
DoS Wysoki Podsystem sieciowy
CVE-2015-5707 A-35841297
Jądro nadrzędne [ 2 ]
EoP Umiarkowany Sterownik SCSI
CVE-2017-7308 A-36725304
Jądro nadrzędne [ 2 ] [ 3 ]
EoP Umiarkowany Sterownik sieciowy
CVE-2014-9731 A-35841292
Jądro nadrzędne
ID Umiarkowany System plików

Komponenty MediaTeka

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-0711 A-36099953 *
M-ALPS03206781
EoP Wysoki Sterownik sieciowy

Komponenty NVIDIA

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2017-0340 A-33968204 *
N-CVE-2017-0340
EoP Wysoki Libnvparser
CVE-2017-0326 A-33718700 *
N-CVE-2017-0326
ID Umiarkowany Sterownik wideo

Komponenty Qualcomma

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście jądra.

CVE Bibliografia Typ Powaga Część
CVE-2017-8255 A-36251983
QC-CR#985205
EoP Wysoki Program rozruchowy
CVE-2016-10389 A-34500449
QC-CR#1009145
EoP Wysoki Program rozruchowy
CVE-2017-8253 A-35400552
QC-CR#1086764
EoP Wysoki Sterownik aparatu
CVE-2017-8262 A-32938443
QC-CR#2029113
EoP Wysoki Sterownik GPU
CVE-2017-8263 A-34126808 *
QC-CR#1107034
EoP Wysoki Anonimowy podsystem pamięci współdzielonej
CVE-2017-8267 A-34173755 *
QC-CR#2001129
EoP Wysoki Anonimowy podsystem pamięci współdzielonej
CVE-2017-8273 A-35400056
QC-CR#1094372 [ 2 ]
EoP Wysoki Program rozruchowy
CVE-2016-5863 A-36251182
QC-CR#1102936
EoP Umiarkowany Sterownik USB HID
CVE-2017-8243 A-34112490 *
QC-CR#2001803
EoP Umiarkowany Sterownik SoC
CVE-2017-8246 A-37275839
QC-CR#2008031
EoP Umiarkowany Sterownik dźwięku
CVE-2017-8256 A-37286701
QC-CR#1104565
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-8257 A-37282763
QC-CR#2003129
EoP Umiarkowany Sterownik wideo
CVE-2017-8259 A-34359487
QC-CR#2009016
EoP Umiarkowany Sterownik SoC
CVE-2017-8260 A-34624155
QC-CR#2008469
EoP Umiarkowany Sterownik aparatu
CVE-2017-8261 A-35139833 *
QC-CR#2013631
EoP Umiarkowany Sterownik aparatu
CVE-2017-8264 A-33299365 *
QC-CR#1107702
EoP Umiarkowany Sterownik aparatu
CVE-2017-8265 A-32341313
QC-CR#1109755
EoP Umiarkowany Sterownik wideo
CVE-2017-8266 A-33863407
QC-CR#1110924
EoP Umiarkowany Sterownik wideo
CVE-2017-8268 A-34620535 *
QC-CR#2002207
EoP Umiarkowany Sterownik aparatu
CVE-2017-8270 A-35468665 *
QC-CR#2021363
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-8271 A-35950388 *
QC-CR#2028681
EoP Umiarkowany Sterownik wideo
CVE-2017-8272 A-35950805 *
QC-CR#2028702
EoP Umiarkowany Sterownik wideo
CVE-2017-8254 A-36252027
QC-CR#832914
ID Umiarkowany Sterownik dźwięku
CVE-2017-8258 A-37279737
QC-CR#2005647
ID Umiarkowany Sterownik aparatu
CVE-2017-8269 A-33967002 *
QC-CR#2013145
ID Umiarkowany Kierowca IPA

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane w biuletynach bezpieczeństwa Qualcomm AMSS z lat 2014–2016. Zawarto je w tym biuletynie zabezpieczeń systemu Android, aby powiązać ich poprawki z poziomem poprawki zabezpieczeń systemu Android. Poprawki dla tych luk są dostępne bezpośrednio od Qualcomm.

CVE Bibliografia Typ Powaga Część
CVE-2014-9411 A-37473054 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9968 A-37304413 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9973 A-37470982 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9974 A-37471979 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9975 A-37471230 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9977 A-37471087 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9978 A-37468982 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9979 A-37471088 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2014-9980 A-37471029 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-0575 A-37296999 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-8592 A-37470090 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-8595 A-37472411 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-8596 A-37472806 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9034 A-37305706 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9035 A-37303626 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9036 A-37303519 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9037 A-37304366 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9038 A-37303027 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9039 A-37302628 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9040 A-37303625 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9041 A-37303518 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9042 A-37301248 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9043 A-37305954 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9044 A-37303520 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9045 A-37302136 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9046 A-37301486 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9047 A-37304367 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9048 A-37305707 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9049 A-37301488 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9050 A-37302137 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9051 A-37300737 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9052 A-37304217 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9053 A-37301249 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9054 A-37303177 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9055 A-37472412 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9060 A-37472807 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9061 A-37470436 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9062 A-37472808 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9067 A-37474000 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9068 A-37470144 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9069 A-37470777 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9070 A-37474001 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9071 A-37471819 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9072 A-37474002 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2015-9073 A-37473407 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10343 A-32580186 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10344 A-32583954 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10346 A-37473408 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10347 A-37471089 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10382 A-28823584 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10383 A-28822389 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10388 A-32580294 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-10391 A-32583804 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-5871 A-37473055 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2016-5872 A-37472809 * Nie dotyczy Wysoki Komponent o zamkniętym źródle

Aktualizacje urządzeń Google

Ta tabela zawiera poziom poprawek zabezpieczeń w najnowszej aktualizacji bezprzewodowej (OTA) i obrazy oprogramowania sprzętowego dla urządzeń Google. Obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .

Urządzenie Google’a Poziom poprawki zabezpieczeń
Piksel / Piksel XL 05 lipca 2017 r
Nexusa 5X 05 lipca 2017 r
Nexusa 6 05 lipca 2017 r
Nexusa 6P 05 lipca 2017 r
Nexusa 9 05 lipca 2017 r
Gracz Nexusa 05 lipca 2017 r
Piksel C 05 lipca 2017 r

Aktualizacje urządzeń Google zawierają także poprawki usuwające te luki w zabezpieczeniach, jeśli mają zastosowanie:

CVE Bibliografia Typ Powaga Część
CVE-2017-0710 A-34951864 * EoP Umiarkowany TCB

Podziękowanie

Chcielibyśmy podziękować tym badaczom za ich wkład:

CVE Naukowcy
CVE-2017-8263 Billy’ego Lau z Google’a
CVE-2017-0711 Chengming Yang, Baozeng Ding i Yang Song z Alibaba Mobile Security Group
CVE-2017-0681 Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE
CVE-2017-0706 Daxing Guo ( @freener0 ) z Xuanwu Lab, Tencent
CVE-2017-8260 Derrek ( @derrekr6 ) i Scott Bauer
CVE-2017-8265 Di Shen ( @returnsme ) z KeenLab ( @keen_lab ), Tencent
CVE-2017-0703 Dzmitrij Łukjanenka
CVE-2017-0692, CVE-2017-0694 Elphet i Gong Guang z Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 Gengjia Chen ( @chengjia4574 ) i plik pjf z IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0665 Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) i Xuxian Jiang z zespołu C0RE
CVE-2017-8268, CVE-2017-8261 Jianqiang Zhao ( @jianqiangzhao ) i plik PJF z IceSword Lab, Qihoo 360
CVE-2017-0698 Joey Brand z Census Consulting Inc.
CVE-2017-0666, CVE-2017-0684 Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang i Xuxian Jiang z zespołu C0RE
CVE-2017-0697, CVE-2017-0670 Niky1235 ( @jiych_guru )
CVE-2017-9417 Nitay Artenstein z wywiadu Exodus
CVE-2017-0705, CVE-2017-8259 Scotta Bauera
CVE-2017-0667 Timothy Becker z CSS Inc.
CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 Wasilij Wasiliew
CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE- 2017-0674, CVE-2017-0677 VEO ( @VYSEa ) z zespołu reagowania na zagrożenia mobilne , Trend Micro
CVE-2017-0708 Xiling Gong z działu platformy bezpieczeństwa Tencent
CVE-2017-0690 Yangkang ( @dnpushme ) i Liyadong z zespołu Qihoo 360 Qex
CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 Yonggang Guo ( @guoygang ) z IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 Yuan-Tsung Lo ( komputernik@gmail.com ) i Xuxian Jiang z zespołu C0RE
CVE-2017-0704, CVE-2017-0669 Yuxiang Li ( @Xbalien29 ) z działu platformy bezpieczeństwa Tencent
CVE-2017-0710 Zach Riggle ( @ebeip90 ) z zespołu ds. bezpieczeństwa Androida
CVE-2017-0678 Zinuo Han z Centrum reagowania na bezpieczeństwo w Chengdu, Qihoo 360 Technology Co. Ltd.
CVE-2017-0691, CVE-2017-0700 Zinuo Han z Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. i Ao Wang ( @ArayzSegment ) z Pangu Team

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

  • Poziomy poprawek zabezpieczeń z dnia 2017-07-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-07-01.
  • Poziomy poprawek zabezpieczeń z dnia 2017-07-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-07-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń z 1 lipca 2017 r. muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z aktualizacji zabezpieczeń z dnia 5 lipca 2017 r. lub nowszej muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

5. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

Wersje

Wersja Data Notatki
1,0 5 lipca 2017 r Biuletyn opublikowany.
1.1 6 lipca 2017 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP.
1.2 11 lipca 2017 r Biuletyn zmieniony w celu aktualizacji potwierdzeń.
1.3 17 sierpnia 2017 r Biuletyn zmieniony w celu aktualizacji numerów referencyjnych.
1.4 19 września 2017 r Zaktualizowano podziękowania dla CVE-2017-0710.
1,5 26 września 2017 r Zaktualizowano podziękowania dla CVE-2017-0681.