Pixel / بولتن امنیتی Nexus—دسامبر ۲۰۱۷

منتشر شده در 4 دسامبر 2017 | به روز شده در 6 دسامبر 2017

بولتن امنیتی Pixel / Nexus حاوی جزئیات آسیب‌پذیری‌های امنیتی و بهبودهای عملکردی است که بر دستگاه‌های Google Pixel و Nexus پشتیبانی‌شده (دستگاه‌های Google) تأثیر می‌گذارند. برای دستگاه‌های Google، سطوح وصله امنیتی 2017-12-05 یا جدیدتر به همه مشکلات موجود در این بولتن می‌پردازد. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

همه دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی به سطح وصله 05/12/2017 دریافت خواهند کرد. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

توجه: تصاویر میان‌افزار دستگاه Google در سایت Google Developer موجود است.

اطلاعیه ها

علاوه بر آسیب‌پذیری‌های امنیتی توضیح‌داده‌شده در بولتن امنیتی اندروید دسامبر ۲۰۱۷ ، دستگاه‌های Pixel و Nexus همچنین دارای وصله‌هایی برای آسیب‌پذیری‌های امنیتی شرح داده شده در زیر هستند. شرکا حداقل یک ماه پیش از این مشکلات مطلع شدند و ممکن است انتخاب کنند که آنها را به عنوان بخشی از به‌روزرسانی‌های دستگاه خود بگنجانند.

وصله های امنیتی

آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده پروژه منبع باز Android (AOSP) (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

چارچوب رسانه ای

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-13154 الف-63666573 EoP بالا 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0879 A-65025028 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 5.1.1، 6.0، 6.0.1
CVE-2017-13149 A-65719872 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 5.1.1، 6.0، 6.0.1
CVE-2017-13150 الف-38328132 شناسه در حد متوسط 7.0، 7.1.1، 7.1.2، 8.0
DoS بالا 6.0، 6.0.1
CVE-2017-13152 الف-62872384 شناسه در حد متوسط 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0

اجزای Broadcom

CVE منابع تایپ کنید شدت جزء
CVE-2017-13161 A-63930471 *
BC-V2017092501
EoP در حد متوسط تعریف نشده

اجزای هسته

CVE منابع تایپ کنید شدت جزء
CVE-2017-13167 A-37240993 * EoP بالا تایمر صدا
CVE-2017-13163 A-37429972 * EoP در حد متوسط درایور MTP USB
CVE-2017-15868 الف-33982955
هسته بالادست
EoP در حد متوسط درایور بی سیم
CVE-2017-13165 A-31269937 * EoP در حد متوسط سیستم فایل
CVE-2017-13166 A-34624167 * EoP در حد متوسط درایور ویدئو V4L2
CVE-2017-1000380 الف-64217740
هسته بالادست
EoP در حد متوسط درایور تایمر صدا
CVE-2017-13168 A-65023233 * EoP در حد متوسط درایور SCSI
CVE-2017-13169 A-37512375 * شناسه در حد متوسط سرور دوربین
CVE-2017-13164 A-36007193 * شناسه در حد متوسط راننده کلاسور

اجزای مدیاتک

CVE منابع تایپ کنید شدت جزء
CVE-2017-13172 A-36493287 *
M-ALPS03495791
EoP در حد متوسط درایور بلوتوث

اجزای NVIDIA

CVE منابع تایپ کنید شدت جزء
CVE-2017-6280 A-63851980 *
N-CVE-2017-6280
شناسه در حد متوسط درایور NVIDIA
CVE-2017-13175 A-64339309 *
N-CVE-2017-13175
شناسه در حد متوسط لیبویلهلم

قطعات کوالکام

CVE منابع تایپ کنید شدت جزء
CVE-2017-9708 A-62674846 *
QC-CR#2081806
EoP در حد متوسط هسته
CVE-2017-11042 A-38232268 *
QC-CR#2070438
EoP در حد متوسط کلاسور
CVE-2017-11030 الف-64431967
QC-CR#2034255 [ 2 ]
EoP در حد متوسط نمایش دادن
CVE-2017-9703 A-34329758 *
QC-CR#2038086
EoP در حد متوسط درایور ویدیو
CVE-2017-9718 A-36386076 *
QC-CR#2045918
EoP در حد متوسط هسته
CVE-2017-8244 A-35138888 *
QC-CR#2013361
EoP در حد متوسط درایور اشکال زدایی
CVE-2017-14901 الف-65468984
QC-CR#2059714
EoP در حد متوسط WLAN
CVE-2017-9698 الف-63868678
QC-CR#2023860
EoP در حد متوسط گرافیک
CVE-2017-9700 الف-63868780
QC-CR#2043822
EoP در حد متوسط سمعی
CVE-2017-9722 الف-64453224
QC-CR#2034239 [ 2 ]
EoP در حد متوسط نمایش دادن
CVE-2017-11049 الف-64728945
QC-CR#2034909
EoP در حد متوسط نمایش دادن
CVE-2017-11047 الف-64728948
QC-CR#2057285
EoP در حد متوسط نمایش دادن
CVE-2017-14898 الف-65468978
QC-CR#2054748
EoP در حد متوسط WLAN
CVE-2017-14899 A-65468980
QC-CR#2054752
EoP در حد متوسط WLAN
CVE-2017-11044 A-65468989
QC-CR#2063166
EoP در حد متوسط گرافیک
CVE-2017-11045 الف-65468993
QC-CR#2060377 [ 2 ]
EoP در حد متوسط دوربین
CVE-2017-14900 A-65468983
QC-CR#2058468
EoP در حد متوسط WLAN
CVE-2017-9710 الف-63868933
QC-CR#2023883
EoP در حد متوسط داده HLOS
CVE-2017-11019 الف-64453105
QC-CR#2030638
EoP در حد متوسط نمایش دادن
CVE-2017-11016 الف-64453423
QC-CR#2038685
EoP در حد متوسط سمعی
CVE-2017-11033 الف-64453422
QC-CR#2031930 [ 2 ]
EoP در حد متوسط هسته
CVE-2017-14896 الف-65468975
QC-CR#2013716
EoP در حد متوسط درایور موبایل GUD
CVE-2017-8281 الف-62378232
QC-CR#2015892
شناسه در حد متوسط درایور DCI
CVE-2017-14903 A-63522505 *
QC-CR#2088768
شناسه در حد متوسط WLAN
CVE-2017-11031 الف-64442463
QC-CR#2059181
شناسه در حد متوسط نمایش دادن
CVE-2017-14905 الف-37719782
QC-CR#2061251
شناسه در حد متوسط شبکه بی سیم

اجزای منبع بسته کوالکام

CVE منابع تایپ کنید شدت جزء
CVE-2017-14907 A-62212113 * N/A بحرانی جزء منبع بسته
CVE-2016-5341 A-63983006 * N/A در حد متوسط جزء منبع بسته
CVE-2017-9709 A-65944335 * N/A در حد متوسط جزء منبع بسته
CVE-2017-15813 A-63979947 * N/A در حد متوسط جزء منبع بسته

به روز رسانی های عملکردی

همه دستگاه‌های پشتیبانی‌شده Google به‌عنوان بخشی از OTA دسامبر، به‌روزرسانی Android 8.1 را دریافت خواهند کرد. اندروید 8.1 شامل به‌روزرسانی‌ها و بهبودهای کاربردی بسیاری در بخش‌های مختلف پلتفرم اندروید است.

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 2017-12-05 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2017-12-05 و تمام سطوح وصله قبلی را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

2. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

4. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟

مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. به‌روزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

5. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی اندروید تقسیم شده است؟

آسیب‌پذیری‌های امنیتی که در بولتن‌های امنیتی اندروید مستند شده‌اند، برای اعلام آخرین سطح وصله امنیتی در دستگاه‌های اندرویدی مورد نیاز هستند. آسیب پذیری های امنیتی اضافی، مانند موارد مستند شده در این بولتن، برای اعلام سطح وصله امنیتی مورد نیاز نیست.

نسخه ها

نسخه تاریخ یادداشت
1.0 4 دسامبر 2017 بولتن منتشر شد.
1.1 5 دسامبر 2017 بولتن با پیوند به تصاویر سیستم عامل و جزئیات به روز رسانی عملکردی به روز شد.
1.2 6 دسامبر 2017 بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.