Опубликован 5 сентября 2017 г. | Обновлен 5 октября 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 сентября 2017 года или более новом. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Мы сообщили партнерам о проблемах, описанных в бюллетене, по крайней мере месяц назад. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
У нас нет информации об активном использовании обнаруженных уязвимостей. В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android.
Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.
Примечание. Информация о последних беспроводных обновлениях и образах встроенного ПО для устройств Google содержится в разделе Обновления устройств Google.
Объявления
- Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Дополнительную информацию вы найдете в разделе Часто задаваемые вопросы.
- 2017-09-01: частичное обновление системы безопасности, в котором исправлены все уязвимости уровня 2017-09-01 и более ранние.
- 2017-09-05: полное обновление системы безопасности, в котором исправлены все уязвимости уровней 2017-09-01 и 2017-09-05, а также более ранние.
Предотвращение атак
Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.
Описание уязвимостей (исправление системы безопасности 2017-09-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-09-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Framework
Самая серьезная уязвимость позволяет локальному вредоносному приложению обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [2] | EoP | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Библиотеки
Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0753 | A-62218744 | RCE | Высокий | 7.1.1, 7.1.2, 8.0 |
| CVE-2017-6983 | A-63852675 | RCE | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0755 | A-32178311 | EoP | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Media Framework
Самая серьезная уязвимость в этом разделе позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0756 | A-34621073 | RCE | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0757 | A-36006815 | RCE | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0758 | A-36492741 | RCE | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0759 | A-36715268 | RCE | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0760 | A-37237396 | RCE | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0761 | A-38448381 | RCE | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0762 | A-62214264 | RCE | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0763 | A-62534693 | RCE | Критический | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0764 | A-62872015 | RCE | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0765 | A-62872863 | RCE | Критический | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0766 | A-37776688 | RCE | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0767 | A-37536407 [2] | EoP | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0768 | A-62019992 | EoP | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0769 | A-37662122 | EoP | Высокий | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0770 | A-38234812 | EoP | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0771 | A-37624243 | DoS | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0772 | A-38115076 | DoS | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0773 | A-37615911 | DoS | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0774 | A-62673844 [2] | DoS | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0775 | A-62673179 | DoS | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0776 | A-38496660 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0.1 | ||
| CVE-2017-0777 | A-38342499 | ID | Средний | 7.0, 7.1.1, 7.1.2 |
| DoS | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0778 | A-62133227 | ID | Средний | 7.0, 7.1.1, 7.1.2 |
| DoS | Высокий | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [2] | ID | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Runtime
Самая серьезная уязвимость позволяет злоумышленнику вызывать зависание приложения с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0780 | A-37742976 | DoS | Высокий | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Система
Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [2] | RCE | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0782 | A-63146237 [2] [3] | RCE | Критический | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0783 | A-63145701 | ID | Высокий | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0784 | A-37287958 | EoP | Средний | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0785 | A-63146698 | ID | Средний | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Описание уязвимостей (исправление системы безопасности 2017-09-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-09-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, в которой указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также, если применимо, компонент и версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках.
Компоненты Broadcom
Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409* B-V2017061204 |
RCE | Критический | Драйвер Wi-Fi |
| CVE-2017-11121 | A-62576413* B-V2017061205 |
RCE | Критический | Драйвер Wi-Fi |
| CVE-2017-7065 | A-62575138* B-V2017061202 |
RCE | Критический | Драйвер Wi-Fi |
| CVE-2017-0786 | A-37351060* B-V2017060101 |
EoP | Высокий | Драйвер Wi-Fi |
| CVE-2017-0787 | A-37722970* B-V2017053104 |
EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-0788 | A-37722328* B-V2017053103 |
EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-0789 | A-37685267* B-V2017053102 |
EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-0790 | A-37357704* B-V2017053101 |
EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-0791 | A-37306719* B-V2017052302 |
EoP | Средний | Драйвер Wi-Fi |
| CVE-2017-0792 | A-37305578* B-V2017052301 |
ID | Средний | Драйвер Wi-Fi |
Компоненты Imgtk
Самая серьезная уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946* | ID | Высокий | Подсистема памяти |
Компоненты ядра
Самая серьезная уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-8890 | A-38413975 Upstream kernel |
RCE | Критический | Сетевая подсистема |
| CVE-2017-9076 | A-62299478 Upstream kernel |
EoP | Высокий | Сетевая подсистема |
| CVE-2017-9150 | A-62199770 Upstream kernel |
ID | Высокий | Ядро Linux |
| CVE-2017-7487 | A-62070688 Upstream kernel |
EoP | Высокий | IPX-драйвер |
| CVE-2017-6214 | A-37901268 Upstream kernel |
DoS | Высокий | Сетевая подсистема |
| CVE-2017-6346 | A-37897645 Upstream kernel |
EoP | Высокий | Ядро Linux |
| CVE-2017-5897 | A-37871211 Upstream kernel |
ID | Высокий | Сетевая подсистема |
| CVE-2017-7495 | A-62198330 Upstream kernel |
ID | Высокий | Файловая система |
| CVE-2017-7616 | A-37751399 Upstream kernel |
ID | Средний | Ядро Linux |
| CVE-2017-12146 | A-35676417 Upstream kernel |
EoP | Средний | Ядро Linux |
| CVE-2017-0794 | A-35644812* | EoP | Средний | SCSI-драйвер |
Компоненты MediaTek
Самая серьезная уязвимость позволяет локальному вредоносному приложению выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473* M-ALPS03361480 |
EoP | Высокий | Драйвер Accessory detector |
| CVE-2017-0796 | A-62458865* M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 |
EoP | Высокий | Драйвер AUXADC |
| CVE-2017-0797 | A-62459766* M-ALPS03353854 |
EoP | Высокий | Драйвер Accessory detector |
| CVE-2017-0798 | A-36100671* M-ALPS03365532 |
EoP | Высокий | Ядро |
| CVE-2017-0799 | A-36731602* M-ALPS03342072 |
EoP | Высокий | Lastbus |
| CVE-2017-0800 | A-37683975* M-ALPS03302988 |
EoP | Высокий | TEEI |
| CVE-2017-0801 | A-38447970* M-ALPS03337980 |
EoP | Высокий | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120* M-ALPS03384818 |
EoP | Средний | Ядро |
| CVE-2017-0803 | A-36136137* M-ALPS03361477 |
EoP | Средний | Драйвер Accessory detector |
| CVE-2017-0804 | A-36274676* M-ALPS03361487 |
EoP | Средний | Драйвер MMC |
Компоненты Qualcomm
Самая серьезная уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225* QC-CR#2053101 |
RCE | Критический | LibOmxVenc |
| CVE-2017-10996 | A-38198574 QC-CR#901529 |
ID | Высокий | Ядро Linux |
| CVE-2017-9725 | A-38195738 QC-CR#896659 |
EoP | Высокий | Подсистема памяти |
| CVE-2017-9724 | A-38196929 QC-CR#863303 |
EoP | Высокий | Ядро Linux |
| CVE-2017-8278 | A-62379474 QC-CR#2013236 |
EoP | Высокий | Аудиодрайвер |
| CVE-2017-10999 | A-36490777* QC-CR#2010713 |
EoP | Средний | Драйвер IPA |
| CVE-2017-11001 | A-36815555* QC-CR#2051433 |
ID | Средний | Драйвер Wi-Fi |
| CVE-2017-11002 | A-37712167* QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 |
ID | Средний | Драйвер Wi-Fi |
| CVE-2017-8250 | A-62379051 QC-CR#2003924 |
EoP | Средний | Драйвер графического процессора |
| CVE-2017-9677 | A-62379475 QC-CR#2022953 |
EoP | Средний | Аудиодрайвер |
| CVE-2017-10998 | A-38195131 QC-CR#108461 |
EoP | Средний | Аудиодрайвер |
| CVE-2017-9676 | A-62378596 QC-CR#2016517 |
ID | Средний | Файловая система |
| CVE-2017-8280 | A-62377236 QC-CR#2015858 |
EoP | Средний | Драйвер WLAN |
| CVE-2017-8251 | A-62379525 QC-CR#2006015 |
EoP | Средний | Драйвер камеры |
| CVE-2017-10997 | A-33039685* QC-CR#1103077 |
EoP | Средний | Драйвер PCI |
| CVE-2017-11000 | A-36136563* QC-CR#2031677 |
EoP | Средний | Драйвер камеры |
| CVE-2017-8247 | A-62378684 QC-CR#2023513 |
EoP | Средний | Драйвер камеры |
| CVE-2017-9720 | A-36264696* QC-CR#2041066 |
EoP | Средний | Драйвер камеры |
| CVE-2017-8277 | A-62378788 QC-CR#2009047 |
EoP | Средний | Видеодрайвер |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
ID | Средний | Автомобильная мультимедиасистема |
| CVE-2017-11040 | A-37567102* QC-CR#2038166 |
ID | Средний | Видеодрайвер |
Обновления устройств Google
В таблице указано исправление системы безопасности, которое находится в последнем беспроводном обновлении (OTA) и в образах встроенного ПО для устройств Google. Беспроводные обновления также могут содержать дополнительные обновления.
| Устройство | Исправление системы безопасности |
|---|---|
| Pixel и Pixel XL | 2017-09-05 |
| Nexus 5X | 2017-09-05 |
| Nexus 6 | 2017-09-05 |
| Nexus 6P | 2017-09-05 |
| Nexus 9 | 2017-09-05 |
| Nexus Player | 2017-09-05 |
| Pixel C | 2017-09-05 |
Благодарности
Благодарим всех, кто помог обнаружить уязвимости:
| CVE | Специалисты |
|---|---|
| CVE-2017-11000 | Баоцзэн Дин (@sploving), Чэнмин Ян и Ян Сун из Alibaba Mobile Security Group |
| CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 | Бен Сери и Грегори Вишнепольски из Armis, Inc. (https://armis.com) |
| CVE-2017-0800, CVE-2017-0798 | Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group |
| CVE-2017-0765 | Чи Чжан, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0758 | Чун Ван и 金哲 (Чжэ Цзинь) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | Цун Чжэн (@shellcong), Вэньцзюнь Ху, Сяо Чжан и Чжи Сюй из Palo Alto Networks |
| CVE-2017-0801 | Дачэн Шао, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0755 | Давэй Пэн из Alibaba Mobile Security Team (weibo: Vinc3nt4H) |
| CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 | Elphet и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0784 | Энь Хэ (@heeeeen4x) и Бо Лю из MS509Team |
| CVE-2017-10997 | Гэнцзя Чэнь (@chengjia4574) и pjf из IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 | Хао Чэнь и Гуан Гун из Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0802 | Джейк Корина (@JakeCorina) из команды Shellphish Grill |
| CVE-2017-0780 | Джейсон Гу и Севен Шэнь из Trend Micro |
| CVE-2017-0769 | Минцзянь Чжоу (@Mingjian_Zhou), Дачэн Шао и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 | Пэнфэй Дин (丁鹏飞), Чэньфу Бао (包沉浮) и Ленкс Вэй (韦韬) из Baidu X-Lab (百度安全实验室) |
| CVE-2017-0772 | Севен Шэнь из Trend Micro |
| CVE-2017-0757 | Василий Васильев |
| CVE-2017-0768, CVE-2017-0779 | Вэнькэ Доу, Минцзянь Чжоу (@Mingjian_Zhou) и Сюйсянь Цзян из C0RE Team |
| CVE-2017-0759 | Вэйчао Сунь из Alibaba Inc. |
| CVE-2017-0796 | Сянцянь Чжан, Чэнмин Ян, Баоцзэн Дин и Ян Сун из Alibaba Mobile Security Group |
| CVE-2017-0753 | Янкан (@dnpushme) и hujianfei из Qihoo 360 Qex Team |
| CVE-2017-12146 | Юнган Го (@guoygang) из IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0767 | Юнкэ Ван и Юэбинь Сунь из Tencent's Xuanwu Lab |
| CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 | Юй Пань и Ян Дай из Vulpecker Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0760 | Цзыно Хань и 金哲 (Чжэ Цзинь) из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 | Цзыно Хань из Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2017-09-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-09-01.
- В исправлении 2017-09-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-09-05 и всем предыдущим исправлениям.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением 2017-09-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным обновлением 2017-09-05 или более новым должны быть решены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| – | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 сентября 2017 г. | Бюллетень опубликован. |
| 1.1 | 12 сентября 2017 г. | Добавлены сведения об уязвимостях CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 и CVE-2017-0785 в рамках согласованного раскрытия информации внутри отрасли. |
| 1.2 | 13 сентября 2017 г. | Добавлены ссылки на AOSP. |
| 1.3 | 25 сентября 2017 г. | Добавлены сведения об уязвимостях CVE-2017-11120 и CVE-2017-11121 в рамках согласованного раскрытия информации внутри отрасли. |
| 1.4 | 28 сентября 2017 г. | Обновлена ссылка на поставщика для уязвимости CVE-2017-11001. |