Android 安全性公告 - 2018 年 2 月

發表於 2018 年 2 月 5 日 |更新於 2018 年 4 月 2 日

Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。 2018 年 2 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本

Android 合作夥伴至少會在發布前一個月收到有關所有問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。

其中最嚴重的問題是媒體框架中一個嚴重的安全漏洞,該漏洞可能使遠端攻擊者能夠使用特製檔案在特權進程的上下文中執行任意程式碼。嚴重性評估是基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而關閉或成功繞過。

我們尚未收到有關客戶主動利用或濫用這些新報告問題的報告。有關 Android安全平台保護Google Play Protect 的詳細信息,請參閱 Android 和 Google Play Protect 緩解措施部分,這些保護可提高 Android 平台的安全性。

注意:有關 Google 裝置的最新無線更新 (OTA) 和韌體映像的信息,請參閱2018 年 2 月 Pixel/Nexus 安全公告

Android 和 Google 服務緩解措施

這是Android 安全平台和服務保護(例如Google Play Protect)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。

  • 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
  • Android 安全團隊透過Google Play Protect積極監控濫用行為,並向使用者發出潛在有害應用程式的警告。預設情況下,在具有Google 行動服務的裝置上啟用 Google Play Protect,這對於從 Google Play 外部安裝應用程式的使用者尤其重要。

2018-02-01 安全修補程式等級—漏洞詳情

在下面的部分中,我們提供了適用於 2018-02-01 修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的組件進行分組。有問題的描述和包含 CVE、相關參考文獻、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。

媒體框架

本節中最嚴重的漏洞可能使遠端攻擊者能夠使用特製檔案在特權程序的上下文中執行任意程式碼。

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2017-13228 A-69478425遠端程式碼執行批判的6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13231 A-67962232結束時間高的8.0, 8.1
CVE-2017-13232 A-68953950 ID高的5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13230 A-65483665拒絕服務高的7.0、7.1.1、7.1.2、8.0、8.1
遠端程式碼執行批判的5.1.1、6.0、6.0.1
CVE-2017-13233 A-62851602拒絕服務高的5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13234 A-68159767拒絕服務高的5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1

系統

本節中最嚴重的漏洞可能使本機惡意應用程式能夠執行通常僅限於特權程序的命令。

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2017-13236 A-68217699 [ 2 ]結束時間緩和8.0, 8.1

2018-02-05 安全修補程式等級—漏洞詳情

在下面的部分中,我們提供了適用於 2018-02-05 修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的元件進行分組,包括 CVE、關聯引用、漏洞類型嚴重性、元件(如果適用)和更新的 AOSP 版本(如果適用)等詳細資訊。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。

HTC 元件

此部分中最嚴重的漏洞可能使本機惡意應用程式能夠獲得對資料的未經授權的存取。

CVE參考類型嚴重性成分
CVE-2017-13238 A-64610940 * ID高的引導程式
CVE-2017-13247 A-71486645 *結束時間緩和引導程式

核心元件

本節中最嚴重的漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。

CVE參考類型嚴重性成分
CVE-2017-15265 A-67900971
上游內核
結束時間高的阿薩斯
CVE-2015-9016 A-63083046
上游內核
結束時間高的多隊列塊IO
CVE-2017-13273 A-65853158 *結束時間高的核心

NVIDIA 組件

本節中最嚴重的漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。

CVE參考類型嚴重性成分
CVE-2017-6279 A-65023166 *
N-CVE-2017-6279
結束時間高的媒體框架
CVE-2017-6258 A-38027496 *
N-CVE-2017-6258
結束時間高的媒體框架

高通組件

本節中最嚴重的漏洞可能使遠端攻擊者能夠使用特製檔案在特權程序的上下文中執行任意程式碼。

CVE參考類型嚴重性成分
CVE-2017-15860 A-68992416
QC-CR#2082544 [ 2 ]
遠端程式碼執行批判的無線區域網路
CVE-2017-11041 A-35269676 *
QC-CR#2053101
結束時間高的媒體框架
CVE-2017-17767 A-64750179 *
QC-CR#2115779
結束時間高的媒體框架
CVE-2017-17765 A-68992445
QC-CR#2115112
結束時間高的無線區域網路
CVE-2017-15862 A-68992439
QC-CR#2114426
結束時間高的無線區域網路
CVE-2017-14884 A-68992429
QC-CR#2113052
結束時間高的無線區域網路
CVE-2017-15829 A-68992397
QC-CR#2097917
結束時間高的圖形_Linux
CVE-2017-15820 A-68992396
QC-CR#2093377
結束時間高的圖形_Linux
CVE-2017-17764 A-68992443
QC-CR#2114789
結束時間高的無線區域網路
CVE-2017-15861 A-68992434
QC-CR#2114187
結束時間高的無線區域網路

高通閉源元件

這些漏洞影響 Qualcomm 組件,並在相應的 Qualcomm AMSS 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考類型嚴重性成分
CVE-2017-14910 A-62212114 *不適用高的閉源元件

常見問題及解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的裝置是否已更新以解決這些問題?

若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本

  • 2018-02-01 或更高版本的安全性修補程式等級解決了與 2018-02-01 安全性修補程式等級相關的所有問題。
  • 2018-02-05 或更高版本的安全性修補程式等級解決了與 2018-02-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。

包含這些更新的裝置製造商應將補丁字串層級設定為:

  • [ro.build.version.security_patch]:[2018-02-01]
  • [ro.build.version.security_patch]:[2018-02-05]

2. 為什麼本公告有兩個安全修補程式等級?

此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。

  • 使用 2018-02-01 安全性修補程式等級的裝置必須包含與該安全性修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復程序。
  • 使用 2018-02-05 或更高版本安全性修補程式等級的裝置必須包含本(以及先前)安全性公告中的所有適用修補程式。

我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。

3.類型欄中的條目是什麼意思?

漏洞詳細資料表的「類型」欄位中的條目引用安全漏洞的分類。

縮寫定義
遠端程式碼執行遠端程式碼執行
結束時間特權提升
ID資訊揭露
拒絕服務拒絕服務
不適用分類不可用

4.參考文獻欄中的條目是什麼意思?

漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。

字首參考
A-安卓錯誤 ID
QC-高通參考號
M-聯發科參考號
N- NVIDIA 參考號
B-博通參考號

5.參考資料欄中 Android bug ID 旁邊的 * 是什麼意思?

未公開發布的問題在「參考資料」列中的 Android bug ID 旁邊有一個 *。此問題的更新通常包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

6. 為什麼安全漏洞會分為本公告和設備/合作夥伴安全公告(例如 Pixel / Nexus 公告)?

需要本安全公告中記錄的安全漏洞才能聲明 Android 裝置上的最新安全修補程式等級。聲明安全修補程式等級不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。我們鼓勵 Android 裝置和晶片組製造商透過自己的安全網站(例如SamsungLGEPixel/Nexus安全公告)記錄其裝置上存在的其他修復程式。

版本

版本日期筆記
1.0 2018 年 2 月 5 日公告發布。
1.1 2018 年 2 月 7 日公告修訂為包含 AOSP 連結。
1.2 2018 年 2 月 14 日更正了 CVE-2017-13273、CVE-2017-15860、CVE-2017-15861 和 CVE-2017-15862 的 CVE 編號。
1.3 2018 年 4 月 2 日將 CVE-2017-15817 從二月 Android 公告移至二月 Pixel 公告。