Опубликован 4 июня 2018 г. | Обновлен 6 июня 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройств Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июнь 2018 года, устранены в исправлении 2018-06-05 и более новых. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Обновление системы безопасности 2018-06-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июнь 2018 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9374 | A-72710897 | EoP | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9375 | A-75298708 | EoP | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9377 | A-64752751* | РИ | Средний | 6.0, 6.0.1 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9378 | A-73126106 | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9379 | A-63766886 [2] | РИ | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9349 | A-72510002 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2018-9350 | A-73552574 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2018-9351 | A-73625898 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2018-9352 | A-73965867 [2] | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2018-9353 | A-73965890 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2018-9354 | A-74067957 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | Высокий | 6.0, 6.0.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2018-9380 | A-75298652 | EoP | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9381 | A-73125709 | РИ | Средний | 8.1 |
| CVE-2018-9382 | A-35765136* | EoP | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-9383 | A-73827422* | РИ | Средний | asn1_decoder |
| CVE-2018-9384 | A-74356909 Upstream kernel |
ID | Средний | Ядро |
| CVE-2018-9385 | A-74128061 Upstream kernel |
EoP | Средний | AMBA |
| CVE-2018-9386 | A-71363680* | EoP | Средний | Драйвер HTC reboot_block |
| CVE-2018-9387 | A-69006385* | EoP | Средний | Драйвер Mnh_sm |
| CVE-2018-9388 | A-68343441* | EoP | Средний | ftm4_touch |
| CVE-2018-9389 | A-65023306* | EoP | Средний | IPv4/IPv6 |
| CVE-2018-7480 | A-76106168 Upstream kernel |
EoP | Средний | Обработчик блочных устройств |
| CVE-2017-18075 | A-73237057 Upstream kernel |
EoP | Средний | pcrypt |
Компоненты MediaTek
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-9390 | A-76100614* M-ALPS03849277 |
EoP | Средний | Файл wlanThermo в procfs |
| CVE-2018-9391 | A-72313579* M-ALPS03762614 |
EoP | Средний | GPS HAL |
| CVE-2018-9392 | A-72312594* M-ALPS03762614 |
EoP | Средний | GPS HAL |
| CVE-2018-9393 | A-72312577* M-ALPS03753748 |
EoP | Средний | MTK WLAN |
| CVE-2018-9394 | A-72312468* M-ALPS03753652 |
EoP | Средний | Драйвер MTK P2P |
| CVE-2018-9395 | A-72312071* M-ALPS03753735 |
EoP | Средний | MTK cfg80211 |
| CVE-2018-9396 | A-71867113* M-ALPS03740353 |
EoP | Средний | MediaTek CCCI |
| CVE-2018-9397 | A-71866634* M-ALPS03532675 M-ALPS03479586 |
EoP | Средний | WMT-устройство MediaTek |
| CVE-2018-9398 | A-71866289* M-ALPS03740468 |
EoP | Средний | Драйвер FM-радио |
| CVE-2018-9399 | A-71866200* M-ALPS03740489 |
EoP | Средний | Драйвер /proc/driver/wmt_dbg |
| CVE-2018-9400 | A-71865884* M-ALPS03753678 |
EoP | Средний | Драйвер сенсорного экрана Goodix |
| CVE-2017-13308 | A-70728757* M-ALPS03751855 |
EoP | Средний | Драйвер температурного датчика |
| CVE-2018-9401 | A-70511226* M-ALPS03693409 |
EoP | Средний | cameraisp |
| CVE-2018-9402 | A-70728072* M-ALPS03684171 |
EoP | Средний | Драйвер WLAN |
| CVE-2018-9403 | A-72313700* M-ALPS03762413 |
EoP | Средний | HAL |
| CVE-2018-9404 | A-72314374* M-ALPS03773299 |
EoP | Средний | Слой радиоинтерфейса |
| CVE-2018-9405 | A-72314804* M-ALPS03762818 |
EoP | Средний | DmAgent |
| CVE-2018-9406 | A-70726950* M-ALPS03684231 |
ID | Средний | NlpService |
| CVE-2018-9407 | A-70728406* M-ALPS03902529 |
ID | Средний | eMMC |
| CVE-2018-9408 | A-70729980* M-ALPS03693684 |
ID | Средний | GPS |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-15824 | A-68163089* QC-CR#2107596 |
ID | Средний | Загрузчик EDK2 |
| CVE-2018-5897 | A-70528036* QC-CR#2172685 |
ID | Средний | diag |
| CVE-2018-5895 | A-70293535* QC-CR#2161027 |
ID | Средний | qcacld |
| CVE-2018-5836 | A-74237168 QC-CR#2160375 |
ID | Средний | WLAN |
| CVE-2018-3577 | A-72957387 QC-CR#2129566 |
ID | Средний | WLAN |
| CVE-2017-15824 | A-68992463 QC-CR#2107596 |
ID | Средний | Загрузчик |
| CVE-2017-14893 | A-68992461 QC-CR#2104835 |
ID | Средний | Загрузчик |
| CVE-2017-14872 | A-68992457 QC-CR#2073366 |
ID | Средний | Загрузчик |
| CVE-2018-5893 | A-74237664 QC-CR#2146949 |
EoP | Средний | WLAN |
| CVE-2016-5342, CVE-2016-5080 | A-72232294* QC-CR#1032174 |
EoP | Средний | Драйвер WLAN |
| CVE-2018-5899 | A-71638332* QC-CR#1040612 |
EoP | Средний | Драйвер WLAN |
| CVE-2018-5890 | A-71501675 QC-CR#2127348 |
EoP | Средний | Загрузчик |
| CVE-2018-5889 | A-71501674 QC-CR#2127341 |
EoP | Средний | Загрузчик |
| CVE-2018-5888 | A-71501672 QC-CR#2127312 |
EoP | Средний | Загрузчик |
| CVE-2018-5887 | A-71501669 QC-CR#2127305 |
EoP | Средний | Загрузчик |
| CVE-2018-5898 | A-71363804* QC-CR#2173850 |
EoP | Средний | Аудиодрайвер QC |
| CVE-2018-5832 | A-69065862* QC-CR#2149998 |
EoP | Средний | Camera_v2 |
| CVE-2018-5857 | A-62536960* QC-CR#2169403 |
EoP | Средний | wcd_cpe_core |
| CVE-2018-3597 | A-74237782 QC-CR#2143070 |
EoP | Средний | DSP_Services |
| CVE-2018-3564 | A-72957546 QC-CR#2062648 |
EoP | Средний | DSP_Services |
| CVE-2017-15856 | A-72957506 QC-CR#2111922 |
EoP | Средний | Узел power_stats debugfs |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm AMSS или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-11088 | A-72951251* | Н/Д | Средний | Компонент с закрытым исходным кодом |
| CVE-2017-11076 | A-65049457* | Н/Д | Средний | Компонент с закрытым исходным кодом |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-74413120 | Bluetooth | Повышена производительность BLE. | Все |
| A-76022834 | Производительность | Улучшено переключение между антеннами в зонах со слабым покрытием сети. | Pixel 2, Pixel 2 XL |
| A-77963927 | Wi-Fi | Улучшено подключение к Wi-Fi через некоторые точки доступа. | Pixel, Pixel XL, Pixel 2, Pixel 2 XL |
| A-77458860 | Пользовательский интерфейс | IMEISV-код теперь отображается корректно (в числовом формате). | Pixel, Pixel XL, Pixel 2, Pixel 2 XL |
| A-68114567 A-74058011 |
Экран | Повышена стабильность работы функции "Информация на заблокированном экране". | Pixel 2 XL |
| A-70282393 | Производительность | Улучшена работа датчика расстояния. | Pixel 2 XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2018-06-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2018-06-05 и всем предыдущим исправлениям. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel и Nexus, которые можно скачать на сайте Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, например перечисленные здесь, для достижения уровня исправления необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 4 июня 2018 г. | Бюллетень опубликован. |
| 1.1 | 6 июня 2018 г. | Добавлены ссылки на AOSP. |