发布时间:2018 年 3 月 5 日 | 更新时间:2018 年 3 月 7 日
本 Pixel/Nexus 安全公告详细介绍了会影响受支持的 Google Pixel 和 Nexus 设备(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁级别是 2018-03-05 或更新,则意味着已解决本公告以及 2018 年 3 月的 Android 安全公告中所述的所有问题。如需了解如何查看设备的安全补丁级别,请参阅查看并更新 Android 版本。
所有受支持的 Google 设备都将会收到 2018-03-05 补丁级别的更新。建议所有用户都在自己的设备上接受这些更新。
注意:Google Developers 网站上提供 Google 设备固件映像。
通告
除了 2018 年 3 月的 Android 安全公告中所述的安全漏洞外,Google 设备中还包含针对下述安全漏洞的补丁程序。合作伙伴在至少一个月前就已收到关于这些问题的通知,并可以选择将针对这些问题的补丁程序纳入到其设备更新中。
安全补丁
漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、漏洞类型、严重程度和已更新的 Android 开源项目 (AOSP) 版本(若有)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 bug 有多条相关的代码更改记录,我们还会通过 bug ID 后面的数字链接到更多参考编号。
框架
CVE | 参考编号 | 类型 | 严重程度 | 已更新的 AOSP 版本 |
---|---|---|---|---|
CVE-2017-13263 | A-69383160 [2] | EoP | 中 | 8.0、8.1 |
媒体框架
CVE | 参考编号 | 类型 | 严重程度 | 已更新的 AOSP 版本 |
---|---|---|---|---|
CVE-2017-13264 | A-70294343 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
DoS | 高 | 6.0、6.0.1 | ||
CVE-2017-13254 | A-70239507 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
DoS | 高 | 5.1.1、6.0、6.0.1 |
系统
CVE | 参考编号 | 类型 | 严重程度 | 已更新的 AOSP 版本 |
---|---|---|---|---|
CVE-2017-13265 | A-36232423 [2] [3] | EoP | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
CVE-2017-13268 | A-67058064 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
CVE-2017-13269 | A-68818034 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
内核组件
CVE | 参考编号 | 类型 | 严重程度 | 组件 |
---|---|---|---|---|
CVE-2017-5754 | A-69856074* | ID | 高 | 内存映射 |
CVE-2017-13270 | A-69474744* | EoP | 中 | Mnh_sm 驱动程序 |
CVE-2017-13271 | A-69006799* | EoP | 中 | Mnh_sm 驱动程序 |
CVE-2017-16527 | A-69051382 上游内核 |
EoP | 中 | USB 声音驱动程序 |
CVE-2017-15649 | A-69160446 上游内核 [2] |
EoP | 中 | 网络驱动程序 |
CVE-2017-1000111 | A-68806121 上游内核 |
EoP | 中 | 网络驱动程序 |
NVIDIA 组件
CVE | 参考编号 | 类型 | 严重程度 | 组件 |
---|---|---|---|---|
CVE-2017-6287 | A-64893264* N-CVE-2017-6287 |
ID | 中 | 媒体框架 |
CVE-2017-6285 | A-64893156* N-CVE-2017-6285 |
ID | 中 | 媒体框架 |
CVE-2017-6288 | A-65482562* N-CVE-2017-6288 |
ID | 中 | 媒体框架 |
Qualcomm 组件
CVE | 参考编号 | 类型 | 严重程度 | 组件 |
---|---|---|---|---|
CVE-2017-18061 | A-70237701 QC-CR#2117246 |
EoP | 中 | Wil6210 |
CVE-2017-18050 | A-70237697 QC-CR#2119443 |
EoP | 中 | Wma 管理 |
CVE-2017-18054 | A-70237694 QC-CR#2119432 |
EoP | 中 | Wma |
CVE-2017-18055 | A-70237693 QC-CR#2119430 |
EoP | 中 | Wma |
CVE-2017-18065 | A-70237685 QC-CR#2113423 |
EoP | 中 | Wma |
CVE-2017-18066 | A-70235107 QC-CR#2107976 |
EoP | 中 | 电源驱动程序 |
CVE-2017-18062 | A-68992451 QC-CR#2115375 |
EoP | 中 | Wma |
CVE-2018-3561 | A-68870904* QC-CR#2068569 |
EoP | 中 | Diagchar |
CVE-2018-3560 | A-68664502* QC-CR#2142216 |
EoP | 中 | Qdsp6v2 声音驱动程序 |
CVE-2017-15834 | A-70237704 QC-CR#2111858 |
EoP | 中 | Diagchar |
CVE-2017-15833 | A-70237702 QC-CR#2059835 |
EoP | 中 | 电源驱动程序 |
CVE-2017-15831 | A-70237687 QC-CR#2114255 |
EoP | 中 | Wma |
CVE-2017-15830 | A-70237719 QC-CR#2120725 |
EoP | 中 | sme 驱动程序 |
CVE-2017-14889 | A-70237700 QC-CR#2119803 |
EoP | 中 | Wma |
CVE-2017-14887 | A-70237715 QC-CR#2119673 |
EoP | 中 | WLAN |
CVE-2017-14879 | A-63851638* QC-CR#2056307 |
EoP | 中 | IPA |
CVE-2017-11082 | A-66937387 QC-CR#2071560 |
EoP | 中 | WLAN |
CVE-2017-11074 | A-68940798 QC-CR#2049138 |
EoP | 中 | WLAN |
CVE-2017-18052 | A-70237712 QC-CR#2119439 |
ID | 中 | WLAN |
CVE-2017-18057 | A-70237709 QC-CR#2119403 |
ID | 中 | WLAN |
CVE-2017-18059 | A-70237708 QC-CR#2119399 |
ID | 中 | WLAN |
CVE-2017-18060 | A-70237707 QC-CR#2119394 |
ID | 中 | WLAN |
CVE-2017-18051 | A-70237696 QC-CR#2119442 |
ID | 中 | WLAN |
CVE-2017-18053 | A-70237695 QC-CR#2119434 |
ID | 中 | WLAN |
CVE-2017-18058 | A-70237690 QC-CR#2119401 |
ID | 中 | WLAN |
CVE-2017-15855 | A-38232131* QC-CR#2025367 |
ID | 中 | Camera_v2 驱动程序 |
CVE-2017-15814 | A-64836865* QC-CR#2092793 |
ID | 中 | Camera_v2 驱动程序 |
功能更新
我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)、改进功能以及受影响设备。
参考编号 | 类别 | 改进 | 设备 |
---|---|---|---|
A-70491468 | 性能 | 改进通过指纹解锁唤醒屏幕时的性能 | Pixel 2、Pixel 2 XL |
A-69307875 | 音频 | 改进录制视频时的音频效果 | Pixel 2 XL |
A-70641186 | 报告 | 改进崩溃报告功能 | Pixel 2、Pixel 2 XL |
常见问题和解答
这一部分解答了用户在阅读本公告后可能会提出的常见问题。
1. 如何确定我的设备是否已通过更新解决了这些问题?
如果安全补丁级别是 2018-03-05 或更新,则意味着已解决 2018-03-05 以及之前的所有安全补丁级别涵盖的所有问题。如需了解如何查看设备的安全补丁级别,请参阅 Pixel 和 Nexus 更新时间表中的说明。
2. “类型”列中的条目表示什么意思?
在漏洞详情表内,“类型”列中的条目是安全漏洞的分类。
缩写词 | 定义 |
---|---|
RCE | 远程代码执行 |
EoP | 提权 |
ID | 信息披露 |
DoS | 拒绝服务攻击 |
N/A | 没有分类 |
3. “参考编号”列中的条目表示什么意思?
在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考编号值所属组织的前缀。
前缀 | 参考编号 |
---|---|
A- | Android bug ID |
QC- | Qualcomm 参考编号 |
M- | MediaTek 参考编号 |
N- | NVIDIA 参考编号 |
B- | Broadcom 参考编号 |
4. 在“参考编号”列中,Android bug ID 旁边的 * 表示什么意思?
如果问题尚未公开发布,在“参考编号”列中,相应 Android bug ID 旁边会显示 *。Google Developers 网站上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。
5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?
如需声明 Android 设备的最新安全补丁级别,必须修复 Android 安全公告中记录的安全漏洞,但在声明安全补丁级别时,并不是必须要修复其他安全漏洞(如本公告中记录的漏洞)。
版本
版本 | 日期 | 备注 |
---|---|---|
1.0 | 2018 年 3 月 5 日 | 发布了本公告。 |
1.1 | 2018 年 3 月 7 日 | 在本公告中添加了 AOSP 链接,并更新了 CVE-2017-15855 的参考编号。 |