Opublikowano 4 września 2018 r. | Zaktualizowano 5 września 2018 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Wszystkie te problemy zostały rozwiązane w poziomach poprawek zabezpieczeń z 5 września 2018 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.
Najpoważniejszym z tych problemów jest poważna luka w zabezpieczeniach w ramach frameworku Media, która umożliwia atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych Androida i Google Play Protect znajdziesz w sekcji dotyczącej zabezpieczeń platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android.
Uwaga: informacje o najnowszej aktualizacji bezprzewodowej (OTA) i obrazu pamięci ROM urządzeń Google znajdziesz w Biuletynie bezpieczeństwa Pixel / Nexus z września 2018 r..
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie środków zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na urządzeniach z Androidem.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły dotyczące luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 01.09.2018
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 1 września 2018 r. Luki są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z luką w zabezpieczeniach CVE, powiązanymi odniesieniami, typem luki, wagą oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
środowisko wykonawcze Androida
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście aplikacji korzystającej z biblioteki.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9466 | A-62151041 | RCE | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9467 | A-110955991 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do wykonania dowolnego kodu w kontekście procesu bez uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9469 | A-109824443 | EoP | Wysoki | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9470 | A-78290481 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9471 | A-77599679 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Biblioteka
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście aplikacji korzystającej z biblioteki.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9472 | A-79662501 | RCE | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Platforma Media
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji obejście wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9474 | A-77600398 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9440 | A-77823362 [2] | DoS | Umiarkowana | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnemu atakującemu obejście wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9475 | A-79266386 | EoP | Krytyczny | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9478 | A-79217522 | EoP | Krytyczny | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9479 | A-79217770 | EoP | Krytyczny | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9456 | A-78136869 | DoS | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9477 | A-92497653 | EoP | Wysoki | 8.0, 8.1 |
| CVE-2018-9480 | A-109757168 | ID | Wysoki | 8.0, 8.1, 9 |
| CVE-2018-9481 | A-109757435 | ID | Wysoki | 8.0, 8.1, 9 |
| CVE-2018-9482 | A-109757986 | ID | Wysoki | 8.0, 8.1, 9 |
| CVE-2018-9483 | A-110216173 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9484 | A-79488381 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9485 | A-80261585 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9486 | A-80493272 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9487 | A-69873852 | DoS | Wysoki | 8.0, 8.1, 9 |
| CVE-2018-9488 | A-110107376 | EoP | Umiarkowana | 8.0, 8.1, 9 |
Szczegóły dotyczące luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 05.09.2018
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 września 2018 r. Luki w zabezpieczeniach są grupowane według komponentu, którego dotyczą. Zawierają takie informacje jak CVE, powiązane odniesienia, typ luki, powagę, komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, na przykład z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji obejście zabezpieczeń systemu operacyjnego, które izolują dane aplikacji od innych aplikacji.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9468 | A-111084083 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Komponenty jądra
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić osobie przeprowadzającej atak zdalny dostęp do danych, do których normalnie mają dostęp tylko zainstalowane lokalnie aplikacje z odpowiednimi uprawnieniami.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-5754 | A-69856074* Kernel upstream |
ID | Wysoki | Pamięć jądra |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub alertzie zabezpieczeń Qualcomm APSS. Partnerzy Androida mogą sprawdzić, czy ich problemy dotyczą ich urządzeń za pomocą Createpoint. Ocena powagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2018-11816 | A-63527106 QC-CR#2119840* |
Nie dotyczy | Wysoki | Wideo |
| CVE-2018-11261 | A-64340487 QC-CR#2119840* |
Nie dotyczy | Wysoki | Wideo |
| CVE-2018-11836 | A-111128620 QC-CR#2214158 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11842 | A-111124974 QC-CR#2216741 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11898 | A-111128799 QC-CR#2233036 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2017-15825 | A-68992460 QC-CR#2096455 |
Nie dotyczy | Umiarkowana | Rozruch |
| CVE-2018-11270 | A-109741697 QC-CR#2205728 |
Nie dotyczy | Umiarkowana | Łączność przewodowa |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub alertu dotyczącym zabezpieczeń AMSS firmy Qualcomm. Partnerzy Androida mogą sprawdzić, czy ich problemy dotyczą ich urządzeń za pomocą Createpoint. Ocena powagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2016-10394 | A-68326803* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2017-18314 | A-62213176* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2017-18311 | A-73539234* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-11950 | A-72950814* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-5866 | A-77484228* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-11824 | A-111090697* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2016-10408 | A-68326811* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2017-18313 | A-78240387* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2017-18312 | A-78239234* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2017-18124 | A-68326819* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-3588 | A-71501117* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11951 | A-72950958* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11952 | A-74236425* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-5871 | A-77484229* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-5914 | A-79419793* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11288 | A-109677940* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11285 | A-109677982* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11290 | A-109677964* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11292 | A-109678202* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11287 | A-109678380* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11846 | A-111091377* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11855 | A-111090533* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11857 | A-111093202* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11858 | A-111090698* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11866 | A-111093021* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11865 | A-111093167* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 1 września 2018 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 września 2018 r.
- Poziomy aktualizacji zabezpieczeń z 5 września 2018 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 5 września 2018 r. i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2018-09-01]
- [ro.build.version.security_patch]:[2018-09-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu zabezpieczeń z 1 września 2018 r. muszą zawierać wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 września 2018 r. lub nowszego, muszą zawierać wszystkie poprawki z tego (i poprzednich) komunikatu(ów) o polepszeniach bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja rozwiązująca ten problem jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel / Nexus, które można pobrać na stronie dla deweloperów Google.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o bezpieczeństwie urządzeń i partnerów, takie jak biuletyn o Pixelu i Nexusie?
Aby zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach bezpieczeństwa partnera dotyczących urządzenia / , nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producentów urządzeń i chipsetów z Androidem zachęcamy do dokumentowania innych poprawek na swoich stronach internetowych poświęconych bezpieczeństwu, takich jak biuletyny bezpieczeństwa Samsunga, LGE lub Pixela i Nexusa.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 4 września 2018 r. | Biuletyn został opublikowany. |
| 1,1 | 5 września 2018 r. | Biuletyn został zaktualizowany o linki do AOSP. |