發布日期:2018 年 3 月 5 日 | 更新日期:2018 年 3 月 7 日
Pixel/Nexus 安全性公告列舉對支援的 Google Pixel 和 Nexus 裝置 (Google 裝置) 造成影響的安全漏洞和功能改善項目,並說明各項相關細節。2018-03-05 之後的安全性修補程式等級也已針對 Google 裝置解決了這個公告和 2018 年 3 月 Android 安全性公告列出的所有問題。請參閱「檢查及更新 Android 版本」一文的資訊,瞭解如何查看裝置的安全性修補程式等級。
所有支援的 Google 裝置都會收到 2018-03-05 修補程式等級更新。我們建議所有客戶接受這些裝置更新。
附註:您可以前往 Google Developers 網站取得 Google 裝置韌體映像檔。
公告事項
我們除了修補 2018 年 3 月 Android 安全性公告中所列出的安全漏洞,也針對下文列出的 Google 裝置的安全漏洞提供修補程式。我們的合作夥伴至少會提前一個月收到這些問題的相關通知,方便他們將相關內容納入其裝置更新中。
安全性修補程式
我們依照資安問題影響的元件將各項漏洞分門別類,並附上問題說明和表格,表中包括 CVE、相關參考資料、安全漏洞類型、嚴重程度。在適用情況下,我們也會附上更新的 Android 開放原始碼計畫 (AOSP) 版本。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
架構
| CVE | 參考資料 | 類型 | 嚴重程度 | 更新的 Android 開放原始碼計劃版本 |
|---|---|---|---|---|
| CVE-2017-13263 | A-69383160 [2] | EoP | 中 | 8.0、8.1 |
媒體架構
| CVE | 參考資料 | 類型 | 嚴重程度 | 更新的 Android 開放原始碼計劃版本 |
|---|---|---|---|---|
| CVE-2017-13264 | A-70294343 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-13254 | A-70239507 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 5.1.1、6.0、6.0.1 |
系統
| CVE | 參考資料 | 類型 | 嚴重程度 | 更新的 Android 開放原始碼計劃版本 |
|---|---|---|---|---|
| CVE-2017-13265 | A-36232423 [2] [3] | EoP | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2017-13268 | A-67058064 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2017-13269 | A-68818034 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
核心元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2017-5754 | A-69856074* | ID | 高 | 記憶體對應檔案 |
| CVE-2017-13270 | A-69474744* | EoP | 中 | Mnh_sm 驅動程式 |
| CVE-2017-13271 | A-69006799* | EoP | 中 | Mnh_sm 驅動程式 |
| CVE-2017-16527 | A-69051382 上游程式庫核心 |
EoP | 中 | USB 音效驅動程式 |
| CVE-2017-15649 | A-69160446 上游程式庫核心 [2] |
EoP | 中 | 網路驅動程式 |
| CVE-2017-1000111 | A-68806121 上游程式庫核心 |
EoP | 中 | 網路驅動程式 |
NVIDIA 元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2017-6287 | A-64893264* N-CVE-2017-6287 |
ID | 中 | 媒體架構 |
| CVE-2017-6285 | A-64893156* N-CVE-2017-6285 |
ID | 中 | 媒體架構 |
| CVE-2017-6288 | A-65482562* N-CVE-2017-6288 |
ID | 中 | 媒體架構 |
Qualcomm 元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2017-18061 | A-70237701 QC-CR#2117246 |
EoP | 中 | Wil6210 |
| CVE-2017-18050 | A-70237697 QC-CR#2119443 |
EoP | 中 | Wma 管理 |
| CVE-2017-18054 | A-70237694 QC-CR#2119432 |
EoP | 中 | Wma |
| CVE-2017-18055 | A-70237693 QC-CR#2119430 |
EoP | 中 | Wma |
| CVE-2017-18065 | A-70237685 QC-CR#2113423 |
EoP | 中 | Wma |
| CVE-2017-18066 | A-70235107 QC-CR#2107976 |
EoP | 中 | 電源驅動程式 |
| CVE-2017-18062 | A-68992451 QC-CR#2115375 |
EoP | 中 | Wma |
| CVE-2018-3561 | A-68870904* QC-CR#2068569 |
EoP | 中 | Diagchar |
| CVE-2018-3560 | A-68664502* QC-CR#2142216 |
EoP | 中 | Qdsp6v2 音效驅動程式 |
| CVE-2017-15834 | A-70237704 QC-CR#2111858 |
EoP | 中 | Diagchar |
| CVE-2017-15833 | A-70237702 QC-CR#2059835 |
EoP | 中 | 電源驅動程式 |
| CVE-2017-15831 | A-70237687 QC-CR#2114255 |
EoP | 中 | Wma |
| CVE-2017-15830 | A-70237719 QC-CR#2120725 |
EoP | 中 | sme 驅動程式 |
| CVE-2017-14889 | A-70237700 QC-CR#2119803 |
EoP | 中 | Wma |
| CVE-2017-14887 | A-70237715 QC-CR#2119673 |
EoP | 中 | WLAN |
| CVE-2017-14879 | A-63851638* QC-CR#2056307 |
EoP | 中 | IPA |
| CVE-2017-11082 | A-66937387 QC-CR#2071560 |
EoP | 中 | WLAN |
| CVE-2017-11074 | A-68940798 QC-CR#2049138 |
EoP | 中 | WLAN |
| CVE-2017-18052 | A-70237712 QC-CR#2119439 |
ID | 中 | WLAN |
| CVE-2017-18057 | A-70237709 QC-CR#2119403 |
ID | 中 | WLAN |
| CVE-2017-18059 | A-70237708 QC-CR#2119399 |
ID | 中 | WLAN |
| CVE-2017-18060 | A-70237707 QC-CR#2119394 |
ID | 中 | WLAN |
| CVE-2017-18051 | A-70237696 QC-CR#2119442 |
ID | 中 | WLAN |
| CVE-2017-18053 | A-70237695 QC-CR#2119434 |
ID | 中 | WLAN |
| CVE-2017-18058 | A-70237690 QC-CR#2119401 |
ID | 中 | WLAN |
| CVE-2017-15855 | A-38232131* QC-CR#2025367 |
ID | 中 | Camera_v2 驅動程式 |
| CVE-2017-15814 | A-64836865* QC-CR#2092793 |
ID | 中 | Camera_v2 驅動程式 |
功能更新
這些更新的目的在於解決受影響 Pixel 裝置的功能問題,與 Pixel 裝置的安全性無關。下表列出相關參考資料、受影響的類別 (例如藍牙或行動數據)、改善項目,以及受影響的裝置。
| 參考資料 | 類別 | 改善項目 | 裝置 |
|---|---|---|---|
| A-70491468 | 效能 | 改善指紋解鎖的螢幕喚醒效能 | Pixel 2、Pixel 2 XL |
| A-69307875 | 音訊 | 改善錄製影片時的音訊效能 | Pixel 2 XL |
| A-70641186 | 回報 | 改善當機回報功能 | Pixel 2、Pixel 2 XL |
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
如果是 2018-03-05 之後的安全性修補程式等級,代表 2018-03-05 安全性修補程式等級以前的所有問題都已解決。請參閱 Pixel 與 Nexus 更新時間表中的說明,瞭解如何查看裝置的安全性修補程式等級。
2. 「類型」欄中的項目代表什麼?
在安全漏洞詳情表格中,「類型」欄中的項目代表安全漏洞類別。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠端程式碼執行 |
| EoP | 權限升級 |
| ID | 資訊外洩 |
| DoS | 阻斷服務 |
| 無 | 未分類 |
3.「參考資料」欄底下列出的識別碼代表什麼?
在安全漏洞詳情表格中,「參考資料」欄底下的項目可能會包含一個前置字串,表示該參考資料值所屬的機構。
| 前置字串 | 參考資料 |
|---|---|
| A- | Android 錯誤 ID |
| QC- | Qualcomm 參考編號 |
| M- | MediaTek 參考編號 |
| N- | NVIDIA 參考編號 |
| B- | Broadcom 參考編號 |
4.「參考資料」欄中,Android 錯誤 ID 旁的星號 (*) 代表什麼?
在「參考資料」欄中的 Android 錯誤 ID 旁邊標上星號 (*) 代表該問題並未公開,Nexus 裝置的最新二進位驅動程式通常已納入相關更新。您可以前往 Google Developers 網站下載這些驅動程式。
5. 為什麼安全漏洞會分別刊載在這份安全性公告和 Android 安全性公告?
Android 安全性公告在刊載安全漏洞時,一定會同時宣告 Android 裝置最新的安全性修補程式等級,但其他安全漏洞 (例如本安全性公告刊載的項目) 就不一定會宣告安全性修補程式等級。
版本
| 版本 | 日期 | 附註 |
|---|---|---|
| 1.0 | 2018 年 3 月 5 日 | 發布公告。 |
| 1.1 | 2018 年 3 月 7 日 | 修訂公告內容 (加入 Android 開放原始碼計劃連結並更新 CVE-2017-15855 的參考編號)。 |