Бюллетень по безопасности Pixel и Nexus – ноябрь 2017 г.

Опубликован 6 ноября 2017 г. | Обновлен 8 ноября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройств Google). Все проблемы, перечисленные здесь, устранены в исправлении системы безопасности 2017-11-05 или более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Исправление системы безопасности 2017-11-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за ноябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0845 A-35028827 DoS Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0838 A-63522818 EoP Высокий 7.0, 7.1.1, 7.1.2
CVE-2017-0852 A-62815506 DoS Высокий 5.0.2, 5.1.1, 6.0
CVE-2017-0847 A-65540999 EoP Средний 8.0
CVE-2017-0848 A-64477217 ID Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0849 A-62688399 ID Средний 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0850 A-64836941* ID Средний 7.0, 7.1.1, 7.1.2
CVE-2017-0851 A-35430570 ID Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0853 A-63121644 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 6.0, 6.0.1
CVE-2017-0854 A-63873837 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 6.0, 6.0.1
CVE-2017-0857 A-65122447 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 6.0, 6.0.1
CVE-2017-0858 A-64836894 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 6.0, 6.0.1
CVE-2017-0859 A-36075131* NSI NSI 7.0, 7.1.1, 7.1.2
DoS Высокий 6.0, 6.0.1

Runtime

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2016-2105 A-63710022* RCE Средний 5.0.2, 5.1.1
CVE-2016-2106 A-63709511* RCE Средний 5.0.2, 5.1.1
CVE-2017-3731 A-63710076* ID Средний 5.0.2, 5.1.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0860 A-31097064 EoP Средний 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6001 A-37901413
Upstream kernel
EoP Средний Основное ядро
CVE-2017-0861 A-36006981* EoP Средний Аудиодрайвер
CVE-2017-0862 A-36006779* EoP Средний Ядро
CVE-2017-11600 A-64257838
Upstream kernel
EoP Средний Сетевая подсистема
CVE-2017-0863 A-37950620* EoP Средний Видеодрайвер

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0864 A-37277147*
M-ALPS03394571
EoP Средний Вызов ioctl (вспышка)
CVE-2017-0865 A-65025090*
M-ALPS02973195
EoP Средний Драйвер процессора

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0866 A-38415808*
N-CVE-2017-0866
EoP Средний Инфраструктура прямой визуализации
CVE-2017-6274 A-34705801*
N-CVE-2017-6274
EoP Средний Драйвер температурного датчика
CVE-2017-6275 A-34702397*
N-CVE-2017-6275
ID Средний Драйвер температурного датчика

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-11073 A-62084791*
QC-CR#2064767
EoP Средний Сетевая подсистема
CVE-2017-11035 A-64431968
QC-CR#2055659 [2]
EoP Средний WLAN
CVE-2017-11012 A-64455446
QC-CR#2054760
EoP Средний WLAN
CVE-2017-11085 A-62952032*
QC-CR#2077909
EoP Средний Аудио
CVE-2017-11091 A-37478866*
QC-CR#2064235
EoP Средний Видеодрайвер
CVE-2017-11026 A-64453104
QC-CR#1021460
EoP Средний Загрузчик Linux
CVE-2017-11038 A-35888677*
QC-CR#2034087
EoP Средний Подсистема памяти
CVE-2017-11032 A-64431966
QC-CR#1051435
EoP Средний Ядро Linux
CVE-2017-9719 A-64438726
QC-CR#2042697 [2]
EoP Средний Экран
CVE-2017-11024 A-64441352
QC-CR#2031178
EoP Средний Проводное подключение
CVE-2017-11025 A-64440043
QC-CR#2013494
EoP Средний Аудио
CVE-2017-11023 A-64434485
QC-CR#2029216
EoP Средний Сервисы
CVE-2017-11029 A-64433362
QC-CR#2025367 [2]
EoP Средний Камера
CVE-2017-11018 A-64441628
QC-CR#897844
EoP Средний Камера
CVE-2017-9721 A-64441353
QC-CR#2039552
EoP Средний Экран
CVE-2017-9702 A-36492827*
QC-CR#2037398
EoP Средний Камера
CVE-2017-11089 A-36819059*
QC-CR#2055013
ID Средний WLAN
CVE-2017-8239 A-36251230*
QC-CR#1091603
ID Средний Камера
CVE-2017-11090 A-36818836*
QC-CR#2061676
ID Средний WLAN
CVE-2017-11093 A-37625232*
QC-CR#2077623
ID Средний HDMI
CVE-2017-8279 A-62378962
QC-CR#2015227
ID Средний Сервисы
CVE-2017-9696 A-36232584*
QC-CR#2029867
ID Средний Ядро
CVE-2017-11058 A-37718081
QC-CR#2061251
ID Средний WLAN
CVE-2017-11022 A-64440918
QC-CR#1086582 [2]
ID Средний WLAN
CVE-2017-9701 A-63868730
QC-CR#2038992
ID Средний Загрузчик Linux
CVE-2017-11027 A-64453534
QC-CR#2055630
ID Средний Загрузчик Linux

Улучшения функциональных возможностей

В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения.

Ссылки Категория Описание
A-65225835 Аудио Изменен порог предупреждения о высокой громкости для некоторых регионов.
A-37943083 Bluetooth Внесены улучшения, касающиеся только устройств Bluetooth с поддержкой AVRCP 1.3.
A-63790458 Bluetooth Улучшена связь при подключении гарнитуры.
A-64142363 Bluetooth Улучшен показ сведений о треке на некоторых Bluetooth-комплектах громкой связи для автомобилей.
A-64991621 Bluetooth Улучшены метаданные на некоторых комплектах громкой связи для автомобилей.
A-65223508 Bluetooth Улучшено Bluetooth-подключение в некоторых комплектах громкой связи для автомобилей.
A-65463237 Bluetooth Улучшена функция "Мгновенная точка доступа" при применении технологии BLE.
A-64977836 Камера Улучшен автофокус при записи видео.
A-65099590 Камера Повышена скорость реакции фронтальной камеры.
A-68159303 Экран Внесены изменения в настройки цветового режима экрана.
A-68254840 Экран Внесены изменения в настройки яркости экрана.
A-68279369 Экран Внесены изменения в яркость панели навигации.
A-64103722 Мобильный Интернет Исправлено переключение YouTube с мобильного интернета на Wi-Fi.
A-65113738 Мобильный Интернет Внесены исправления в настройки мобильного Интернета для сети Three (оператор связи в Великобритании).
A-37187694 Стабильность Повышена стабильность приложений.
A-67959484 Стабильность Улучшено качество звонков.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

В исправлении 2017-11-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-11-05 и всем предыдущим исправлениям. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 6 ноября 2017 г. Бюллетень опубликован.
1.1 8 ноября 2017 г. Добавлены ссылки на AOSP и дополнительная информация об улучшениях функциональных возможностей.