Опубликован 5 марта 2018 г. | Обновлен 7 марта 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за март 2018 года, устранены в исправлении 2018-03-05 или более новых. Подробнее о том, как проверить версию системы безопасности на устройстве…
Поддерживаемые устройства Google получат обновление системы безопасности 2018-03-05. Мы рекомендуем всем пользователям установить его или более новое обновление.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2018 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13263 | A-69383160 [2] | EoP | Средний | 8.0, 8.1 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13264 | A-70294343 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13254 | A-70239507 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 5.1.1, 6.0, 6.0.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13265 | A-36232423 [2] [3] | EoP | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13268 | A-67058064 | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13269 | A-68818034 | ID | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-5754 | A-69856074* | РИ | Высокий | Отображение файлов в память |
| CVE-2017-13270 | A-69474744* | EoP | Средний | Драйвер Mnh_sm |
| CVE-2017-13271 | A-69006799* | EoP | Средний | Драйвер Mnh_sm |
| CVE-2017-16527 | A-69051382 Upstream kernel |
EoP | Средний | USB-аудиодрайвер |
| CVE-2017-15649 | A-69160446 Upstream kernel [2] |
EoP | Средний | Сетевой драйвер |
| CVE-2017-1000111 | A-68806121 Upstream kernel |
EoP | Средний | Сетевой драйвер |
Компоненты NVIDIA
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6287 | A-64893264* N-CVE-2017-6287 |
ID | Средний | Media Framework |
| CVE-2017-6285 | A-64893156* N-CVE-2017-6285 |
ID | Средний | Media Framework |
| CVE-2017-6288 | A-65482562* N-CVE-2017-6288 |
ID | Средний | Media Framework |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-18061 | A-70237701 QC-CR#2117246 |
EoP | Средний | Wil6210 |
| CVE-2017-18050 | A-70237697 QC-CR#2119443 |
EoP | Средний | Управление wma |
| CVE-2017-18054 | A-70237694 QC-CR#2119432 |
EoP | Средний | wma |
| CVE-2017-18055 | A-70237693 QC-CR#2119430 |
EoP | Средний | wma |
| CVE-2017-18065 | A-70237685 QC-CR#2113423 |
EoP | Средний | wma |
| CVE-2017-18066 | A-70235107 QC-CR#2107976 |
EoP | Средний | Драйвер питания |
| CVE-2017-18062 | A-68992451 QC-CR#2115375 |
EoP | Средний | wma |
| CVE-2018-3561 | A-68870904* QC-CR#2068569 |
EoP | Средний | Diagchar |
| CVE-2018-3560 | A-68664502* QC-CR#2142216 |
EoP | Средний | Аудиодрайвер Qdsp6v2 |
| CVE-2017-15834 | A-70237704 QC-CR#2111858 |
EoP | Средний | Diagchar |
| CVE-2017-15833 | A-70237702 QC-CR#2059835 |
EoP | Средний | Драйвер питания |
| CVE-2017-15831 | A-70237687 QC-CR#2114255 |
EoP | Средний | wma |
| CVE-2017-15830 | A-70237719 QC-CR#2120725 |
EoP | Средний | Драйвер sme |
| CVE-2017-14889 | A-70237700 QC-CR#2119803 |
EoP | Средний | WMA |
| CVE-2017-14887 | A-70237715 QC-CR#2119673 |
EoP | Средний | WLAN |
| CVE-2017-14879 | A-63851638* QC-CR#2056307 |
EoP | Средний | IPA |
| CVE-2017-11082 | A-66937387 QC-CR#2071560 |
EoP | Средний | WLAN |
| CVE-2017-11074 | A-68940798 QC-CR#2049138 |
EoP | Средний | WLAN |
| CVE-2017-18052 | A-70237712 QC-CR#2119439 |
ID | Средний | WLAN |
| CVE-2017-18057 | A-70237709 QC-CR#2119403 |
ID | Средний | WLAN |
| CVE-2017-18059 | A-70237708 QC-CR#2119399 |
ID | Средний | WLAN |
| CVE-2017-18060 | A-70237707 QC-CR#2119394 |
ID | Средний | WLAN |
| CVE-2017-18051 | A-70237696 QC-CR#2119442 |
ID | Средний | WLAN |
| CVE-2017-18053 | A-70237695 QC-CR#2119434 |
ID | Средний | WLAN |
| CVE-2017-18058 | A-70237690 QC-CR#2119401 |
ID | Средний | WLAN |
| CVE-2017-15855 | A-38232131* QC-CR#2025367 |
ID | Средний | Драйвер Camera_v2 |
| CVE-2017-15814 | A-64836865* QC-CR#2092793 |
ID | Средний | Драйвер Camera_v2 |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-70491468 | Производительность | Улучшено включение экрана при разблокировке с помощью отпечатка пальца. | Pixel 2, Pixel 2 XL |
| A-69307875 | Аудио | Улучшено качество аудиозаписи при видеосъемке. | Pixel 2 XL |
| A-70641186 | Отчеты | Улучшены отчеты о сбоях. | Pixel 2, Pixel 2 XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2018-03-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-03-05 и всем предыдущим исправлениям. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| – | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать с сайта Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, например перечисленные здесь, для достижения уровня исправления необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 марта 2018 г. | Бюллетень опубликован. |
| 1.1 | 7 марта 2018 г. | Добавлены ссылки на AOSP, и обновлен ссылочный номер для уязвимости CVE-2017-15855. |