Pixel / بولتن امنیتی Nexus—نوامبر ۲۰۱۷

منتشر شده در 6 نوامبر 2017 | به روز شده در 8 نوامبر 2017

بولتن امنیتی Pixel / Nexus حاوی جزئیات آسیب‌پذیری‌های امنیتی و بهبودهای عملکردی است که بر دستگاه‌های Google Pixel و Nexus پشتیبانی‌شده (دستگاه‌های Google) تأثیر می‌گذارند. برای دستگاه‌های Google، سطوح وصله امنیتی 2017-11-05 یا جدیدتر نیز به همه مشکلات موجود در این بولتن می‌پردازد. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

همه دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی به سطح وصله ۰۵/۱۱/۲۰۱۷ دریافت خواهند کرد. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

توجه: تصاویر میان‌افزار دستگاه Google در سایت Google Developer موجود است.

اطلاعیه ها

علاوه بر آسیب‌پذیری‌های امنیتی توضیح‌داده‌شده در بولتن امنیتی اندروید نوامبر ۲۰۱۷ ، دستگاه‌های Pixel و Nexus همچنین دارای وصله‌هایی برای آسیب‌پذیری‌های امنیتی شرح داده‌شده در زیر هستند. شرکا حداقل یک ماه پیش از این مشکلات مطلع شدند و ممکن است انتخاب کنند که آنها را به عنوان بخشی از به‌روزرسانی‌های دستگاه خود بگنجانند.

وصله های امنیتی

آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده پروژه منبع باز Android (AOSP) (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

چارچوب

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0845 الف-35028827 DoS در حد متوسط 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

چارچوب رسانه ای

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0838 الف-63522818 EoP بالا 7.0، 7.1.1، 7.1.2
CVE-2017-0852 الف-62815506 DoS بالا 5.0.2، 5.1.1، 6.0
CVE-2017-0847 A-65540999 EoP در حد متوسط 8.0
CVE-2017-0848 الف-64477217 شناسه در حد متوسط 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0849 A-62688399 شناسه در حد متوسط 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0850 A-64836941 * شناسه در حد متوسط 7.0، 7.1.1، 7.1.2
CVE-2017-0851 الف-35430570 شناسه در حد متوسط 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0853 الف-63121644 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 6.0، 6.0.1
CVE-2017-0854 الف-63873837 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 6.0، 6.0.1
CVE-2017-0857 الف-65122447 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 6.0، 6.0.1
CVE-2017-0858 الف-64836894 NSI NSI 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 6.0، 6.0.1
CVE-2017-0859 A-36075131 * NSI NSI 7.0، 7.1.1، 7.1.2
DoS بالا 6.0، 6.0.1

زمان اجرا

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2016-2105 A-63710022 * RCE در حد متوسط 5.0.2، 5.1.1
CVE-2016-2106 A-63709511 * RCE در حد متوسط 5.0.2، 5.1.1
CVE-2017-3731 A-63710076 * شناسه در حد متوسط 5.0.2، 5.1.1

سیستم

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0860 A-31097064 EoP در حد متوسط 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

اجزای هسته

CVE منابع تایپ کنید شدت جزء
CVE-2017-6001 الف-37901413
هسته بالادست
EoP در حد متوسط هسته هسته
CVE-2017-0861 A-36006981 * EoP در حد متوسط درایور صدا
CVE-2017-0862 A-36006779 * EoP در حد متوسط هسته
CVE-2017-11600 الف-64257838
هسته بالادست
EoP در حد متوسط زیر سیستم شبکه
CVE-2017-0863 A-37950620 * EoP در حد متوسط درایور ویدیو

اجزای مدیاتک

CVE منابع تایپ کنید شدت جزء
CVE-2017-0864 A-37277147 *
M-ALPS03394571
EoP در حد متوسط IoCtl (چراغ قوه)
CVE-2017-0865 A-65025090 *
M-ALPS02973195
EoP در حد متوسط درایور SoC

اجزای NVIDIA

CVE منابع تایپ کنید شدت جزء
CVE-2017-0866 A-38415808 *
N-CVE-2017-0866
EoP در حد متوسط زیرساخت رندر مستقیم
CVE-2017-6274 A-34705801 *
N-CVE-2017-6274
EoP در حد متوسط درایور حرارتی
CVE-2017-6275 A-34702397 *
N-CVE-2017-6275
شناسه در حد متوسط درایور حرارتی

قطعات کوالکام

CVE منابع تایپ کنید شدت جزء
CVE-2017-11073 A-62084791 *
QC-CR#2064767
EoP در حد متوسط زیر سیستم شبکه
CVE-2017-11035 الف-64431968
QC-CR#2055659 [ 2 ]
EoP در حد متوسط WLAN
CVE-2017-11012 الف-64455446
QC-CR#2054760
EoP در حد متوسط WLAN
CVE-2017-11085 A-62952032 *
QC-CR#2077909
EoP در حد متوسط سمعی
CVE-2017-11091 A-37478866 *
QC-CR#2064235
EoP در حد متوسط درایور ویدیو
CVE-2017-11026 الف-64453104
QC-CR#1021460
EoP در حد متوسط بوت لینوکس
CVE-2017-11038 A-35888677 *
QC-CR#2034087
EoP در حد متوسط زیرسیستم حافظه
CVE-2017-11032 الف-64431966
QC-CR#1051435
EoP در حد متوسط هسته لینوکس
CVE-2017-9719 الف-64438726
QC-CR#2042697 [ 2 ]
EoP در حد متوسط نمایش دادن
CVE-2017-11024 الف-64441352
QC-CR#2031178
EoP در حد متوسط اتصال سیمی
CVE-2017-11025 الف-64440043
QC-CR#2013494
EoP در حد متوسط سمعی
CVE-2017-11023 الف-64434485
QC-CR#2029216
EoP در حد متوسط خدمات
CVE-2017-11029 الف-64433362
QC-CR#2025367 [ 2 ]
EoP در حد متوسط دوربین
CVE-2017-11018 الف-64441628
QC-CR#897844
EoP در حد متوسط دوربین
CVE-2017-9721 الف-64441353
QC-CR#2039552
EoP در حد متوسط نمایش دادن
CVE-2017-9702 A-36492827 *
QC-CR#2037398
EoP در حد متوسط دوربین
CVE-2017-11089 A-36819059 *
QC-CR#2055013
شناسه در حد متوسط WLAN
CVE-2017-8239 A-36251230 *
QC-CR#1091603
شناسه در حد متوسط دوربین
CVE-2017-11090 A-36818836 *
QC-CR#2061676
شناسه در حد متوسط WLAN
CVE-2017-11093 A-37625232 *
QC-CR#2077623
شناسه در حد متوسط HDMI
CVE-2017-8279 الف-62378962
QC-CR#2015227
شناسه در حد متوسط خدمات
CVE-2017-9696 A-36232584 *
QC-CR#2029867
شناسه در حد متوسط هسته
CVE-2017-11058 الف-37718081
QC-CR#2061251
شناسه در حد متوسط WLAN
CVE-2017-11022 الف-64440918
QC-CR#1086582 [ 2 ]
شناسه در حد متوسط WLAN
CVE-2017-9701 الف-63868730
QC-CR#2038992
شناسه در حد متوسط بوت لینوکس
CVE-2017-11027 الف-64453534
QC-CR#2055630
شناسه در حد متوسط بوت لینوکس

به روز رسانی های عملکردی

این به‌روزرسانی‌ها برای دستگاه‌های Pixel آسیب‌دیده گنجانده شده‌اند تا به مشکلات عملکردی که به امنیت دستگاه‌های Pixel مربوط نیستند رسیدگی کنند. جدول شامل مراجع مرتبط است. دسته آسیب دیده، مانند بلوتوث یا داده های تلفن همراه؛ و خلاصه ای از موضوع

منابع دسته بندی بهبودها
الف-65225835 سمعی آستانه هشدار صدا در برخی مناطق تنظیم شده است.
الف-37943083 بلوتوث بهبودهایی برای دستگاه‌های بلوتوثی که فقط از AVRCP نسخه 1.3 پشتیبانی می‌کنند.
الف-63790458 بلوتوث جفت شدن اتصال هدست بهبود یافته.
الف-64142363 بلوتوث نمایش اطلاعات آهنگ بهبود یافته در برخی از جعبه‌های بلوتوث.
الف-64991621 بلوتوث ابرداده بهبود یافته در برخی از کارکیت ها.
الف-65223508 بلوتوث اتصالات بلوتوث بهبود یافته به برخی از خودروها.
الف-65463237 بلوتوث Magic Tether بهبود یافته در BLE.
الف-64977836 دوربین بهبود فوکوس خودکار در حین ضبط ویدیو.
A-65099590 دوربین سرعت پاسخگویی دوربین جلو بهبود یافته است.
A-68159303 نمایش دادن تنظیمات برای نمایش تنظیمات حالت رنگ.
الف-68254840 نمایش دادن تنظیمات برای نمایش تنظیمات روشنایی.
الف-68279369 نمایش دادن تنظیمات برای روشنایی نوار ناوبری.
الف-64103722 داده های موبایل تغییر YouTube از داده تلفن همراه به Wi-Fi را تنظیم کرد.
الف-65113738 داده های موبایل تنظیمات داده تلفن همراه در شبکه 3.
الف-37187694 ثبات بهبود ثبات برنامه
الف-67959484 ثبات تنظیمات برای کیفیت تماس

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 2017-11-05 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2017-11-05 و تمام سطوح وصله قبلی را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

2. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

4. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟

مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. به‌روزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

5. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی اندروید تقسیم شده است؟

آسیب‌پذیری‌های امنیتی که در بولتن‌های امنیتی اندروید مستند شده‌اند، برای اعلام آخرین سطح وصله امنیتی در دستگاه‌های اندرویدی مورد نیاز هستند. آسیب پذیری های امنیتی اضافی، مانند موارد مستند شده در این بولتن، برای اعلام سطح وصله امنیتی مورد نیاز نیست.

نسخه ها

نسخه تاریخ یادداشت
1.0 6 نوامبر 2017 بولتن منتشر شد.
1.1 8 نوامبر 2017 بولتن با پیوندهای AOSP و جزئیات بیشتر در مورد به روز رسانی های کاربردی به روز شد.