Biuletyn bezpieczeństwa w Androidzie – lipiec 2018 r.

Opublikowano 2 lipca 2018 r. | Zaktualizowano 3 lipca 2018 r.

Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Wszystkie te problemy zostały rozwiązane w poziomach poprawek zabezpieczeń z 5 lipca 2018 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach w ramach frameworku Media, która umożliwia atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub zostały pomyślnie omijane.

Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych Androida i Google Play Protect znajdziesz w sekcji dotyczącej zabezpieczeń platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android.

Uwaga: informacje o najnowszej aktualizacji bezprzewodowej (OTA) i obrazu oprogramowania układowego dla urządzeń Google znajdziesz w Biuletynie bezpieczeństwa Pixel / Nexus z lipca 2018 r..

Środki zaradcze dotyczące usług Google i Androida

Oto podsumowanie działań zapobiegawczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach będą mogły być wykorzystane na urządzeniach z Androidem.

  • Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest to szczególnie ważne dla użytkowników, którzy instalują aplikacje spoza Google Play.

Szczegóły dotyczące luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 2018-07-01

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek z 1 lipca 2018 r. Luki są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z luką w zabezpieczeniach CVE, powiązanymi odniesieniami, typem luki, wagą oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.

Platforma

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku PAC do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2018-9433 A-38196219* RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2018-9410 A-77822336 ID Wysoki 8.0, 8.1

Platforma mediów

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2018-9411 A-79376389 RCE Krytyczny 8.0, 8.1
CVE-2018-9424 A-76221123 EoP Wysoki 8.0, 8.1
CVE-2018-9428 A-74122779 EoP Wysoki 8.1
CVE-2018-9412 A-78029004 DoS Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9421 A-77237570 ID Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2018-9365 A-74121126 RCE Krytyczny 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9432 A-73173182 EoP Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9420 A-77238656 ID Wysoki 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9419 A-74121659 ID Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Szczegóły dotyczące luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2018-07-05

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 lipca 2018 r. Informacje o lukach są pogrupowane według komponentu, którego dotyczą, i zawierają takie szczegóły jak CVE, powiązane odniesienia, typ luki, powagę, komponent (w stosownych przypadkach) oraz zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, na przykład z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.

Komponenty jądra

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.

CVE Pliki referencyjne Typ Poziom Komponent
CVE-2018-5703 A-73543437
Jednostka jądra upstream
EoP Wysoki Stos IPv6
CVE-2018-9422 A-74250718
Jednostka jądra upstream
EoP Wysoki futex
CVE-2018-9417 A-74447444*
Aktualne jądro*
EoP Wysoki Sterownik USB
CVE-2018-6927 A-76106267
Jednostka jądra upstream
EoP Wysoki futex

Komponenty Qualcomm

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić osobie przeprowadzającej atak użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego.

CVE Pliki referencyjne Typ Poziom Komponent
CVE-2018-5872 A-77528138
QC-CR#2183014
RCE Krytyczny WLAN
CVE-2017-13077, CVE-2017-13078 A-78285557
QC-CR#2133114
ID Wysoki WLAN
CVE-2018-5873 A-77528487
QC-CR#2166382
EoP Wysoki nsfs
CVE-2018-5838 A-63146462*
QC-CR#2151011
EoP Wysoki Sterownik OpenGL ES
CVE-2018-3586 A-63165135*
QC-CR#2139538
QC-CR#2073777
RCE Wysoki Menedżer stosu ADSPRPC

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub alertu dotyczącym zabezpieczeń AMSS firmy Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Pliki referencyjne Typ Poziom Komponent
CVE-2017-18171 A-78240792* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2017-18277 A-78240715* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18172 A-78240449* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18170 A-78240612* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-15841 A-78240794* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18173 A-78240199* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18278 A-78240071* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2016-2108 A-78240736* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2017-18275 A-78242049* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18279 A-78241971* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18274 A-78241834* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18276 A-78241375* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2017-18131 A-68989823* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2018-11259 A-72951265* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2018-11257 A-74235874* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2018-5837 A-74236406* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2018-5876 A-77485022* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2018-5875 A-77485183* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2018-5874 A-77485139* Nie dotyczy Krytyczny Komponent zamkniętego źródła
CVE-2018-5882 A-77483830* Nie dotyczy Wysoki Komponent zamkniętego źródła
CVE-2018-5878 A-77484449* Nie dotyczy Wysoki Komponent zamkniętego źródła

Najczęstsze pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy można rozwiązać te problemy?

Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

  • Poziomy aktualizacji zabezpieczeń z 1 lipca 2018 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 lipca 2018 r.
  • Poziomy poprawek zabezpieczeń z 2018-07-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z 2018-07-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawki na:

  • [ro.build.version.security_patch]:[2018-07-01]
  • [ro.build.version.security_patch]:[2018-07-05]

2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?

W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń z 2018-07-01 muszą zawierać wszystkie problemy związane z tym poziomem, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
  • Urządzenia z poziomem poprawki zabezpieczeń z 5 lipca 2018 r. lub nowszym muszą zawierać wszystkie poprawki z tego (i poprzednich) komunikatu(ów) o błędach zabezpieczeń.

Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.

3. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonywanie kodu
EoP Podniesienie uprawnień
ID Ujawnianie informacji
DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Odniesienia?

Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom

5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?

Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel / Nexus, które można pobrać na stronie Google Developer.

6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny dotyczące zabezpieczeń urządzeń lub partnerów, takie jak biuletyn dotyczący Pixela i Nexusa?

Aby zadeklarować najnowszy stan aktualizacji zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach opisane w biuletynach bezpieczeństwa dotyczących urządzenia / partnera nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producentów urządzeń i chipsetów z Androidem zachęcamy do dokumentowania obecności innych poprawek na swoich urządzeniach na własnych stronach internetowych poświęconych bezpieczeństwu, takich jak Samsung, LGE lub Pixel / Nexus.

Wersje

Wersja Data Uwagi
1,0 2 lipca 2018 r. Biuletyn został opublikowany.
1,1 3 lipca 2018 r. Biuletyn został zaktualizowany o linki do AOSP.
1,2 11 lipca 2018 r. CVE-2018-5855 i CVE-2018-11258 zostały usunięte z pakietu SPL z 2018-07-05.