Opublikowano 5 lutego 2018 r. | Zaktualizowano 30 kwietnia 2018 r.
Komunikat o zabezpieczeniach Pixel / Nexus zawiera szczegóły dotyczące luk w zabezpieczeniach i ulepszeń funkcjonalnych, które mają wpływ na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poziomy aktualizacji zabezpieczeń z 2018-02-05 lub nowsze rozwiązują wszystkie problemy w tym biuletynie oraz wszystkie problemy opisane w Biuletynie bezpieczeństwa w Androidzie z lutego 2018 roku. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki 2018-02-05. Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: obrazy oprogramowania układów scalonych urządzeń Google są dostępne na stronie programistów Google.
Ogłoszenia
Oprócz łatwych do wykorzystania luk w zabezpieczeniach opisanych w Biuletynie bezpieczeństwa Androida z lutego 2018 r. urządzenia Pixel i Nexus zawierają też poprawki dotyczące luk w zabezpieczeniach opisanych poniżej. Partnerzy zostali poinformowani o tych problemach co najmniej miesiąc temu i mogą wprowadzić te zmiany w ramach aktualizacji urządzeń.
Poprawki zabezpieczeń
Luki w zabezpieczeniach są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z identyfikatorami CVE, powiązanymi odniesieniami, typami luk, powagą oraz zaktualizowanymi wersjami projektu Android Open Source (AOSP) (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, na przykład z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Platforma
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13239 | A-66244132* | ID | Umiarkowana | z Androidem 8.0 |
| CVE-2017-13240 | A-68694819 | ID | Umiarkowana | 8.0, 8.1 |
Platforma mediów
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13241 | A-69065651 | ID | Umiarkowana | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13229 | A-68160703 | RCE | Umiarkowana | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| RCE | Krytyczny | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13235 | A-68342866 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Wysoki | 5.1.1, 6.0, 6.0.1 |
System
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13242 | A-62672248 [2] | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13243 | A-38258991* | ID | Umiarkowana | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Komponenty jądra
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-13244 | A-62678986* | EoP | Umiarkowana | Sztalugi |
| CVE-2017-13245 | A-64315347* | EoP | Umiarkowana | Sterownik audio |
| CVE-2017-1000405 | A-69934280 Upstream kernel |
EoP | Umiarkowana | Zarządzanie stronami |
| CVE-2017-13246 | A-36279469* | ID | Umiarkowana | Sterownik sieciowy |
Komponenty Qualcomm
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-15817 | A-68992394 QC-CR#2076603 [2] |
RCE | Krytyczny | WLan |
| CVE-2017-15859 | A-65468985 QC-CR#2059715 |
ID | Umiarkowana | qcacld-2.0 |
| CVE-2017-17769 | A-65172622* QC-CR#2110256 |
ID | Umiarkowana | qdsp6v2 |
| CVE-2017-9723 | A-68992479 QC-CR#2007828 |
EoP | Umiarkowana | Sterownik ekranu dotykowego synaptics_dsx_htc |
| CVE-2017-14881 | A-68992478 QC-CR#2087492 [2] |
EoP | Umiarkowana | sterownik ipa |
| CVE-2017-14877 | A-68992473 QC-CR#2057803 [2] |
EoP | Umiarkowana | sterownik ipa |
| CVE-2017-15826 | A-68992471 QC-CR#2100085 [2] |
EoP | Umiarkowana | Rotator MDSS |
| CVE-2017-14876 | A-68992468 QC-CR#2054041 |
EoP | Umiarkowana | Sterownik MSM camera_v2 |
| CVE-2017-14892 | A-68992455 QC-CR#2096407 |
EoP | Umiarkowana | qdsp6v2 |
| CVE-2017-17766 | A-68992448 QC-CR#2115366 |
EoP | Umiarkowana | Wi-Fi |
| CVE-2017-15823 | A-68992447 QC-CR#2115365 |
EoP | Umiarkowana | Wi-Fi |
| CVE-2017-15852 | A-36730614* QC-CR#2028702 |
EoP | Umiarkowana | Bufor ramki |
| CVE-2017-15846 | A-67713103 QC-CR#2083314 [2] |
EoP | Umiarkowana | Aparat |
| CVE-2017-14883 | A-68992426 QC-CR#2112832 |
EoP | Umiarkowana | Moc |
| CVE-2017-11043 | A-68992421 QC-CR#2091584 |
EoP | Umiarkowana | Wi-Fi |
| CVE-2017-14875 | A-68992465 QC-CR#2042147 |
ID | Umiarkowana | Aparat |
| CVE-2017-14891 | A-68992453 QC-CR#2096006 |
ID | Umiarkowana | KGSL |
| CVE-2017-17771 | A-38196031 QC-CR#2003798 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2017-11087 | A-34735194* QC-CR#2053869 |
ID | Umiarkowana | Platforma mediów |
Aktualizacje funkcjonalności
Te aktualizacje są przeznaczone dla urządzeń Pixel, na których występują problemy, i mają na celu rozwiązanie problemów z funkcjonalnością, które nie są związane z bezpieczeństwem tych urządzeń. Tabela zawiera: powiązane odniesienia; kategorię, której dotyczy problem, np. Bluetooth lub mobilna transmisja danych; ulepszenia; urządzenia, których dotyczy problem.
| Pliki referencyjne | Kategoria | Ulepszenia | Urządzenia |
|---|---|---|---|
| A-68863351 | UX | Ulepszenie ikon w aplikacji Ustawienia. | Wszystko |
| A-68198663 | Bluetooth | Poprawiona jakość połączeń Bluetooth w przypadku niektórych zestawów słuchawkowych. | Pixel, Pixel XL, Pixel 2, Pixel 2 XL |
| A-68317240 | Wi-Fi | Zwiększona wydajność łącza w górę w sieci Wi-Fi. | Pixel 2, Pixel 2 XL |
| A-69263786 | Aparat | Ulepszenie działania aparatu w określonych warunkach oświetleniowych. | Pixel 2, Pixel 2 XL |
| A-67844294 | Android Auto | Ulepszenie działania funkcji Android Auto Projected w przypadku niektórych samochodów. | Pixel 2, Pixel 2 XL |
| A-69349260 | Zgodność aplikacji | Ulepszenie analizowania kluczy RSA z tablic bajtów. | Wszystko |
| A-68832228 | Moc | Zwiększona wydajność baterii na niektórych urządzeniach Pixel 2XL. | Pixel 2 XL |
| A-69797895 | Mobilna transmisja danych | Zwiększona wydajność danych użytkowników Telus w niektórych środowiskach sieciowych. | Pixel 2 |
| A-68368139 | Stabilność | Zwiększona stabilność urządzenia po uruchomieniu w określonych sytuacjach. | Pixel 2, Pixel 2 XL |
| A-68874871 | Audio | Ulepszone przekierowywanie podczas przełączania urządzeń wyjściowych audio. | Pixel 2, Pixel 2 XL |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy rozwiązuje te problemy?
Poziomy aktualizacji zabezpieczeń z 2018-02-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2018-02-05 i wszystkimi poprzednimi poziomami. Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, przeczytaj instrukcje dotyczące harmonogramu aktualizacji urządzeń Pixel i Nexus.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
4. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Nexus dostępnych na stronie Google Developer.
5. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a Biuletyny o zabezpieczeniach Androida?
Aby zadeklarować najnowszy stan aktualizacji zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach udokumentowane w biuletynach dotyczących bezpieczeństwa w Androidzie. Dodatkowe luki w zabezpieczeniach, takie jak te opisane w tym biuletynie, nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 lutego 2018 r. | Biuletyn został opublikowany. |
| 1,1 | 7 lutego 2018 r. | Biuletyn został zaktualizowany o linki do AOSP. |
| 1.3 | 2 kwietnia 2018 r. | Przeniesiono CVE-2017-15817 z lutniowego komunikatu dotyczącego Androida do lutniowego komunikatu dotyczącego Pixela. |
| 1,4 | 30 kwietnia 2018 r. | Zmieniono identyfikator CVE-2017-15852 z CR 2046770 na CR 2028702. |