Biuletyn zabezpieczeń Pixel / Nexus — październik 2017 r

Opublikowano 2 października 2017 | Zaktualizowano 3 października 2017 r

Biuletyn Bezpieczeństwa Pixel / Nexus zawiera szczegółowe informacje na temat luk w zabezpieczeniach i ulepszeń funkcjonalnych wpływających na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poprawki zabezpieczeń z 5 października 2017 r. lub nowsze dotyczą wszystkich problemów opisanych w tym biuletynie oraz wszystkich problemów opisanych w Biuletynie zabezpieczeń Androida z października 2017 r . Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki 2017-10-05. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Uwaga: obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .

Ogłoszenia

  • Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń Androida z października 2017 r . urządzenia Pixel i Nexus zawierają także poprawki usuwające luki w zabezpieczeniach opisane poniżej. Partnerzy zostali powiadomieni o tych problemach co najmniej miesiąc temu i mogą zdecydować się na uwzględnienie ich w ramach aktualizacji swoich urządzeń.
  • Potwierdzenia biuletynów zabezpieczeń są wymienione bezpośrednio na stronie Potwierdzenia zabezpieczeń systemu Android .

Poprawki bezpieczeństwa

Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu i tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje Android Open Source Project (AOSP) (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Struktura

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0807 A-35056974 * EoP Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0808 A-62301183 [ 2 ] ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0

Ramy medialne

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0813 A-36531046 DoS Umiarkowany 7.0, 7.1.1, 7.1.2
CVE-2017-0814 A-62800140 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0817 A-63522430 ID Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0818 A-63581671 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 6.0, 6.0.1
CVE-2017-0819 A-63045918 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 6.0, 6.0.1
CVE-2017-0820 A-62187433 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

System

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-0822 A-63787722 EoP Umiarkowany 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0823 A-37896655 ID Umiarkowany 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Komponenty firmy Broadcom

CVE Bibliografia Typ Powaga Część
CVE-2017-0824 A-37622847 *
B-V2017063001
EoP Umiarkowany Sterownik Wi-Fi
CVE-2017-0825 A-37305633 *
B-V2017063002
ID Umiarkowany Sterownik Wi-Fi

Komponenty HTC

CVE Bibliografia Typ Powaga Część
CVE-2017-0826 A-34949781 * EoP Umiarkowany Program rozruchowy

Komponenty Huaweia

CVE Bibliografia Typ Powaga Część
CVE-2017-0828 A-34622855 * EoP Umiarkowany Program rozruchowy

Składniki jądra

CVE Bibliografia Typ Powaga Część
CVE-2017-7187 A-63666227
Jądro nadrzędne
EoP Umiarkowany Sterownik SCSI

Komponenty Motoroli

CVE Bibliografia Typ Powaga Część
CVE-2017-0829 A-62345044 * EoP Umiarkowany Program rozruchowy

Komponenty Qualcomma

CVE Bibliografia Typ Powaga Część
CVE-2017-9686 A-62827928
QC-CR#1115359
EoP Umiarkowany Kierowca SPS
CVE-2017-11050 A-62085265
QC-CR#2064785
EoP Umiarkowany WLAN
CVE-2017-11067 A-62058746 *
QC-CR#2062012
EoP Umiarkowany WLAN
CVE-2017-11057 A-37949660 *
QC-CR#2059812
EoP Umiarkowany Kamera
CVE-2017-11056 A-37893116 *
QC-CR#2060504
EoP Umiarkowany Sterownik kryptograficzny
CVE-2017-11046 A-37623773 *
QC-CR#2059656
EoP Umiarkowany Sterownik audio
CVE-2017-11059 A-37284397 *
QC-CR#2057375
EoP Umiarkowany Sterownik kryptograficzny
CVE-2017-9706 A-34170483 *
QC-CR#2030399
EoP Umiarkowany Sterownik wideo
CVE-2017-11048 A-37093119 *
QC-CR#2052691
EoP Umiarkowany Sterownik wideo
CVE-2017-9697 A-63868628
QC-CR#2032672
EoP Umiarkowany Sterownik SoC
CVE-2017-11051 A-62456806
QC-CR#2061755
ID Umiarkowany WLAN
CVE-2017-9715 A-36730104 *
QC-CR#2054958
QC-CR#2057034
ID Umiarkowany WLAN
CVE-2017-11061 A-36816726 *
QC-CR#2054693
QC-CR#2059701
ID Umiarkowany WLAN
CVE-2017-11060 A-36817548 *
QC-CR#2058447
QC-CR#2054770
ID Umiarkowany WLAN
CVE-2017-9717 A-36817053 *
QC-CR#2051450
ID Umiarkowany WLAN
CVE-2017-11052 A-37687303 *
QC-CR#2061688
ID Umiarkowany WLAN
CVE-2017-11054 A-37713609 *
QC-CR#2061251
ID Umiarkowany WLAN
CVE-2017-11062 A-37720349 *
QC-CR#2058448
ID Umiarkowany WLAN
CVE-2017-11055 A-37721426 *
QC-CR#2061241
ID Umiarkowany WLAN
CVE-2017-11064 A-36815952 *
QC-CR#2054770
QC-CR#2058447 QC-CR#2066628
QC-CR#2087785
ID Umiarkowany WLAN
CVE-2017-9687 A-62827190
QC-CR#2016076
EoP Niski Modem
CVE-2017-11063 A-36716469 *
QC-CR#2053027
DoS Niski Sterownik aparatu

Funkcjonalne poprawki

W tym miesiącu nie ma żadnych poprawek funkcjonalnych.

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aktualizacje poprawek zabezpieczeń z dnia 2017-10-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-10-05 i wszystkimi poprzednimi poziomami poprawek. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj instrukcje na Pixelu i Nexusie harmonogram aktualizacji .

2. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

4. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

5. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i Biuletyny bezpieczeństwa Androida?

Aby móc zadeklarować najnowszy poziom poprawek bezpieczeństwa na urządzeniach z systemem Android, wymagane są luki w zabezpieczeniach udokumentowane w Biuletynach bezpieczeństwa systemu Android. Dodatkowe luki w zabezpieczeniach, takie jak te udokumentowane w tym biuletynie, nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń.

Wersje

Wersja Data Notatki
1,0 2 października 2017 r Biuletyn opublikowany.
1.1 3 października 2017 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP.