Bollettino sulla sicurezza di Pixel / Nexus: giugno 2018

Pubblicato il 4 giugno 2018 | Aggiornato il 6 giugno 2018

Il bollettino sulla sicurezza Pixel/Nexus contiene dettagli sulle vulnerabilità della sicurezza e sui miglioramenti funzionali che interessano i dispositivi Google Pixel e Nexus supportati (dispositivi Google). Per i dispositivi Google, i livelli delle patch di sicurezza del 05-06-2018 o versioni successive risolvono tutti i problemi presenti in questo bollettino e tutti i problemi presenti nel Bollettino sulla sicurezza Android di giugno 2018. Per informazioni su come verificare il livello delle patch di sicurezza di un dispositivo, consulta Controllare e aggiornare la versione di Android .

Tutti i dispositivi Google supportati riceveranno un aggiornamento al livello di patch 2018-06-05. Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Nota: le immagini del firmware del dispositivo Google sono disponibili sul sito degli sviluppatori Google .

Annunci

Oltre alle vulnerabilità di sicurezza descritte nel Bollettino sulla sicurezza Android di giugno 2018, i dispositivi Pixel e Nexus contengono anche patch per le vulnerabilità di sicurezza descritte di seguito. I partner sono stati informati di questi problemi almeno un mese fa e potrebbero scegliere di incorporarli come parte degli aggiornamenti dei loro dispositivi.

Patch di sicurezza

Le vulnerabilità sono raggruppate sotto il componente che interessano. Sono presenti una descrizione del problema e una tabella con CVE, riferimenti associati, tipo di vulnerabilità , gravità e versioni aggiornate di Android Open Source Project (AOSP) (ove applicabile). Quando disponibile, colleghiamo la modifica pubblica che ha risolto il problema all'ID del bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, i riferimenti aggiuntivi sono collegati ai numeri che seguono l'ID del bug.

Struttura

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2018-9374 A-72710897 EoP Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9375 A-75298708 EoP Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9377 A-64752751 * ID Moderare 6.0, 6.0.1

Quadro mediatico

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2018-9378 A-73126106 ID Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9379 A-63766886 [ 2 ] ID Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9349 A-72510002 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9350 A-73552574 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9351 A-73625898 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9352 A-73965867 [ 2 ] ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9353 A-73965890 ID Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1
CVE-2018-9354 A-74067957 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Alto 6.0, 6.0.1

Sistema

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2018-9380 A-75298652 EoP Moderare 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9381 A-73125709 ID Moderare 8.1
CVE-2018-9382 A-35765136 * EoP Moderare 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Componenti del kernel

CVE Riferimenti Tipo Gravità Componente
CVE-2018-9383 A-73827422 * ID Moderare asn1_decodificatore
CVE-2018-9384 A-74356909
Kernel a monte
ID Moderare Nocciolo
CVE-2018-9385 A-74128061
Kernel a monte
EoP Moderare amba
CVE-2018-9386 A-71363680 * EoP Moderare Driver HTC reboot_block
CVE-2018-9387 A-69006385 * EoP Moderare driver mnh_sm
CVE-2018-9388 A-68343441 * EoP Moderare ftm4_touch
CVE-2018-9389 A-65023306 * EoP Moderare ipv4/ipv6
CVE-2018-7480 A-76106168
Kernel a monte
EoP Moderare Gestore del blocco
CVE-2017-18075 A-73237057
Kernel a monte
EoP Moderare pcrypt

Componenti MediaTek

CVE Riferimenti Tipo Gravità Componente
CVE-2018-9390 A-76100614 *
M-ALPS03849277
EoP Moderare voce wlanThermo procfs
CVE-2018-9391 A-72313579 *
M-ALPS03762614
EoP Moderare HAL GPS
CVE-2018-9392 A-72312594 *
M-ALPS03762614
EoP Moderare HAL GPS
CVE-2018-9393 A-72312577 *
M-ALPS03753748
EoP Moderare MTK WLAN
CVE-2018-9394 A-72312468 *
M-ALPS03753652
EoP Moderare Driver MTK P2P
CVE-2018-9395 A-72312071 *
M-ALPS03753735
EoP Moderare MTKcfg80211
CVE-2018-9396 A-71867113 *
M-ALPS03740353
EoP Moderare Mediatek CCCI
CVE-2018-9397 A-71866634 *
M-ALPS03532675
M-ALPS03479586
EoP Moderare Dispositivo Mediatek WMT
CVE-2018-9398 A-71866289 *
M-ALPS03740468
EoP Moderare Driver della radio FM
CVE-2018-9399 A-71866200 *
M-ALPS03740489
EoP Moderare /proc/driver/wmt_dbg driver
CVE-2018-9400 A-71865884 *
M-ALPS03753678
EoP Moderare Driver per touchscreen Goodix
CVE-2017-13308 A-70728757 *
M-ALPS03751855
EoP Moderare termico
CVE-2018-9401 A-70511226 *
M-ALPS03693409
EoP Moderare cameraisp
CVE-2018-9402 A-70728072 *
M-ALPS03684171
EoP Moderare driver Wi-Fi
CVE-2018-9403 A-72313700 *
M-ALPS03762413
EoP Moderare HAL
CVE-2018-9404 A-72314374 *
M-ALPS03773299
EoP Moderare Livello dell'interfaccia radio
CVE-2018-9405 A-72314804 *
M-ALPS03762818
EoP Moderare DmAgent
CVE-2018-9406 A-70726950 *
M-ALPS03684231
ID Moderare NlpService
CVE-2018-9407 A-70728406 *
M-ALPS03902529
ID Moderare emmc
CVE-2018-9408 A-70729980 *
M-ALPS03693684
ID Moderare GPS

Componenti Qualcomm

CVE Riferimenti Tipo Gravità Componente
CVE-2017-15824 A-68163089 *
QC-CR#2107596
ID Moderare Caricatore EDK2
CVE-2018-5897 A-70528036 *
QC-CR#2172685
ID Moderare diag
CVE-2018-5895 A-70293535 *
QC-CR#2161027
ID Moderare qcacld
CVE-2018-5836 A-74237168
QC-CR#2160375
ID Moderare Wi-Fi
CVE-2018-3577 A-72957387
QC-CR#2129566
ID Moderare Wi-Fi
CVE-2017-15824 A-68992463
QC-CR#2107596
ID Moderare boot loader
CVE-2017-14893 A-68992461
QC-CR#2104835
ID Moderare boot loader
CVE-2017-14872 A-68992457
QC-CR#2073366
ID Moderare boot loader
CVE-2018-5893 A-74237664
QC-CR#2146949
EoP Moderare Wi-Fi
CVE-2016-5342, CVE-2016-5080 A-72232294 *
QC-CR#1032174
EoP Moderare Driver Wi-Fi
CVE-2018-5899 A-71638332 *
QC-CR#1040612
EoP Moderare Driver Wi-Fi
CVE-2018-5890 A-71501675
QC-CR#2127348
EoP Moderare Boot loader
CVE-2018-5889 A-71501674
QC-CR#2127341
EoP Moderare Boot loader
CVE-2018-5888 A-71501672
QC-CR#2127312
EoP Moderare Boot loader
CVE-2018-5887 A-71501669
QC-CR#2127305
EoP Moderare Boot loader
CVE-2018-5898 A-71363804 *
QC-CR#2173850
EoP Moderare Driver audio CQ
CVE-2018-5832 A-69065862 *
QC-CR#2149998
EoP Moderare Fotocamerav2
CVE-2018-5857 A-62536960 *
QC-CR#2169403
EoP Moderare wcd_cpe_core
CVE-2018-3597 A-74237782
QC-CR#2143070
EoP Moderare DSP_Servizi
CVE-2018-3564 A-72957546
QC-CR#2062648
EoP Moderare DSP_Servizi
CVE-2017-15856 A-72957506
QC-CR#2111922
EoP Moderare nodo debugfs power_stats

Componenti closed source di Qualcomm

Queste vulnerabilità interessano i componenti Qualcomm e sono descritte in maggiore dettaglio nel bollettino di sicurezza o nell'avviso di sicurezza Qualcomm AMSS appropriato. La valutazione della gravità di questi problemi viene fornita direttamente da Qualcomm.

CVE Riferimenti Tipo Gravità Componente
CVE-2017-11088 A-72951251 * N / A Moderare Componente closed source
CVE-2017-11076 A-65049457 * N / A Moderare Componente closed source

Patch funzionali

Questi aggiornamenti sono inclusi per i dispositivi Pixel interessati per risolvere problemi di funzionalità non correlati alla sicurezza dei dispositivi Pixel. La tabella include i riferimenti associati; la categoria interessata, come Bluetooth o dati mobili; miglioramenti; e i dispositivi interessati.

Riferimenti Categoria Miglioramenti Dispositivi
A-74413120 Bluetooth Migliora le prestazioni BLE Tutto
A-76022834 Prestazione Migliora il comportamento di commutazione dell'antenna nelle aree con copertura debole Pixel 2, Pixel 2XL
A-77963927 Wifi Migliora la connettività Wi-Fi con determinati punti di accesso Wi-Fi Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-77458860 interfaccia utente Il formato IMEI SV viene visualizzato correttamente come numerico Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-68114567
A-74058011
Schermo Migliora la coerenza di Always On Display Pixel2XL
A-70282393 Prestazione Migliora il comportamento del sensore di prossimità Pixel2XL

Domande e risposte comuni

Questa sezione risponde alle domande più comuni che potrebbero sorgere dopo aver letto questo bollettino.

1. Come posso determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

I livelli di patch di sicurezza del 05-06-2018 o successivi risolvono tutti i problemi associati al livello di patch di sicurezza del 05-06-2018 e a tutti i livelli di patch precedenti. Per sapere come verificare il livello delle patch di sicurezza di un dispositivo, leggi le istruzioni sul programma di aggiornamento di Pixel e Nexus .

2. Cosa significano le voci nella colonna Tipo ?

Le voci nella colonna Tipo della tabella dei dettagli della vulnerabilità fanno riferimento alla classificazione della vulnerabilità della sicurezza.

Abbreviazione Definizione
RCE Esecuzione di codice remoto
EoP Elevazione dei privilegi
ID Rivelazione di un 'informazione
DoS Negazione del servizio
N / A Classificazione non disponibile

3. Cosa significano le voci nella colonna Riferimenti ?

Le voci nella colonna Riferimenti della tabella dei dettagli della vulnerabilità possono contenere un prefisso che identifica l'organizzazione a cui appartiene il valore di riferimento.

Prefisso Riferimento
UN- ID bug Android
QC- Numero di riferimento di Qualcomm
M- Numero di riferimento MediaTek
N- Numero di riferimento NVIDIA
B- Numero di riferimento Broadcom

4. Cosa significa un * accanto all'ID del bug Android nella colonna Riferimenti ?

I problemi che non sono disponibili pubblicamente hanno un * accanto all'ID del bug Android nella colonna Riferimenti . L'aggiornamento per questo problema è generalmente contenuto nei driver binari più recenti per i dispositivi Pixel/Nexus disponibili sul sito degli sviluppatori di Google .

5. Perché le vulnerabilità della sicurezza sono suddivise tra questo bollettino e i bollettini sulla sicurezza di Android?

Le vulnerabilità della sicurezza documentate nei bollettini sulla sicurezza di Android sono necessarie per dichiarare il livello di patch di sicurezza più recente sui dispositivi Android. Ulteriori vulnerabilità della sicurezza, come quelle documentate in questo bollettino, non sono necessarie per dichiarare un livello di patch di sicurezza.

Versioni

Versione Data Appunti
1.0 4 giugno 2018 Pubblicato il bollettino.
1.1 6 giugno 2018 Bollettino rivisto per includere collegamenti AOSP.