Бюллетень по безопасности Pixel и Nexus – декабрь 2017 г.

Дата публикации: 4 декабря 2017 г. | Дата обновления: 6 декабря 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройств Google). Все проблемы, перечисленные здесь, устранены в исправлении системы безопасности 2017-12-05 или более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Исправление системы безопасности 2017-12-05 получат все поддерживаемые устройства Google. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-13154 A-63666573 EoP Высокий 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0879 A-65025028 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13149 A-65719872 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 5.1.1, 6.0, 6.0.1
CVE-2017-13150 A-38328132 ID Средний 7.0, 7.1.1, 7.1.2, 8.0
DoS Высокий 6.0, 6.0.1
CVE-2017-13152 A-62872384 ID Средний 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Компоненты Broadcom

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13161 A-63930471*
BC-V2017092501
EoP Средний Нет данных

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13167 A-37240993* EoP Высокий Таймер со звуком
CVE-2017-13163 A-37429972* EoP Средний USB-драйвер для протокола MTP
CVE-2017-15868 A-33982955
Upstream kernel
EoP Средний Драйвер для беспроводных сетей
CVE-2017-13165 A-31269937* EoP Средний Файловая система
CVE-2017-13166 A-34624167* EoP Средний Видеодрайвер V4L2
CVE-2017-1000380 A-64217740
Upstream kernel
EoP Средний Драйвер таймера со звуком
CVE-2017-13168 A-65023233* EoP Средний SCSI-драйвер
CVE-2017-13169 A-37512375* ID Средний Camera Server
CVE-2017-13164 A-36007193* ID Средний Драйвер Binder

Компоненты MediaTek

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-13172 A-36493287*
M-ALPS03495791
EoP Средний Драйвер Bluetooth

Компоненты NVIDIA

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-6280 A-63851980*
N-CVE-2017-6280
ID Средний Драйвер NVIDIA
CVE-2017-13175 A-64339309*
N-CVE-2017-13175
ID Средний Libwilhelm

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-9708 A-62674846*
QC-CR#2081806
EoP Средний Ядро
CVE-2017-11042 A-38232268*
QC-CR#2070438
EoP Средний Binder
CVE-2017-11030 A-64431967
QC-CR#2034255 [2]
EoP Средний Экран
CVE-2017-9703 A-34329758*
QC-CR#2038086
EoP Средний Видеодрайвер
CVE-2017-9718 A-36386076*
QC-CR#2045918
EoP Средний Ядро
CVE-2017-8244 A-35138888*
QC-CR#2013361
EoP Средний Драйвер Debugfs
CVE-2017-14901 A-65468984
QC-CR#2059714
EoP Средний WLAN
CVE-2017-9698 A-63868678
QC-CR#2023860
EoP Средний Графика
CVE-2017-9700 A-63868780
QC-CR#2043822
EoP Средний Аудио
CVE-2017-9722 A-64453224
QC-CR#2034239 [2]
EoP Средний Экран
CVE-2017-11049 A-64728945
QC-CR#2034909
EoP Средний Экран
CVE-2017-11047 A-64728948
QC-CR#2057285
EoP Средний Экран
CVE-2017-14898 A-65468978
QC-CR#2054748
EoP Средний WLAN
CVE-2017-14899 A-65468980
QC-CR#2054752
EoP Средний WLAN
CVE-2017-11044 A-65468989
QC-CR#2063166
EoP Средний Графика
CVE-2017-11045 A-65468993
QC-CR#2060377 [2]
EoP Средний Камера
CVE-2017-14900 A-65468983
QC-CR#2058468
EoP Средний WLAN
CVE-2017-9710 A-63868933
QC-CR#2023883
EoP Средний Данные HLOS
CVE-2017-11019 A-64453105
QC-CR#2030638
EoP Средний Экран
CVE-2017-11016 A-64453423
QC-CR#2038685
EoP Средний Аудио
CVE-2017-11033 A-64453422
QC-CR#2031930 [2]
EoP Средний Ядро
CVE-2017-14896 A-65468975
QC-CR#2013716
EoP Средний Драйвер GUD mobicore
CVE-2017-8281 A-62378232
QC-CR#2015892
ID Средний Драйвер DCI
CVE-2017-14903 A-63522505*
QC-CR#2088768
ID Средний WLAN
CVE-2017-11031 A-64442463
QC-CR#2059181
ID Средний Экран
CVE-2017-14905 A-37719782
QC-CR#2061251
ID Средний Беспроводная сеть

Компоненты Qualcomm с закрытым исходным кодом

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-14907 A-62212113* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2016-5341 A-63983006* Н/Д Средний Компонент с закрытым исходным кодом
CVE-2017-9709 A-65944335* Н/Д Средний Компонент с закрытым исходным кодом
CVE-2017-15813 A-63979947* Н/Д Средний Компонент с закрытым исходным кодом

Улучшения функциональных возможностей

Поддерживаемые устройства Google получат обновление системы до Android 8.1 вместе с беспроводным обновлением в декабре. В эту версию входят улучшения функциональных возможностей и исправления различных компонентов платформы Android.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2017-12-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-12-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 4 декабря 2017 г. Бюллетень опубликован.
1.1 5 декабря 2017 г. Добавлена ссылка на образы встроенного ПО и информация об обновлениях функциональных возможностей.
1.2 6 декабря 2017 г. Добавлены ссылки на AOSP.