กระดานข่าวการรักษาความปลอดภัยของ Pixel / Nexus—มิถุนายน 2018

Published มิถุนายน 4, 2018 | อัปเดตเมื่อ 6 มิถุนายน 2018

Pixel / Nexus Security Bulletin มีรายละเอียดของช่องโหว่ด้านความปลอดภัยและการปรับปรุงการทำงานที่ส่งผลต่อ อุปกรณ์ Google Pixel และ Nexus (อุปกรณ์ Google) ที่รองรับ สำหรับอุปกรณ์ Google ระดับแพตช์ความปลอดภัย 2018-06-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และปัญหาทั้งหมดในกระดานข่าวความปลอดภัยของ Android เดือนมิถุนายน 2018 หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็นระดับแพตช์ 2018-06-05 เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

หมายเหตุ: อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

ประกาศ

นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนมิถุนายน 2018 แล้ว อุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่าง พาร์ทเนอร์ได้รับแจ้งปัญหาเหล่านี้อย่างน้อยหนึ่งเดือนก่อน และอาจเลือกที่จะรวมไว้เป็นส่วนหนึ่งของการอัปเดตอุปกรณ์

แพตช์ความปลอดภัย

ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน Android Open Source Project (AOSP) ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

กรอบ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2018-9374 A-72710897 EoP ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9375 A-75298708 EoP ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9377 A-64752751 * ไอดี ปานกลาง 6.0, 6.0.1

กรอบสื่อ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2018-9378 A-73126106 ไอดี ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9379 A-63766886 [ 2 ] ไอดี ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9349 A-72510002 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2018-9350 A-73552574 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2018-9351 A-73625898 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2018-9352 A-73965867 [ 2 ] ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2018-9353 A-73965890 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1
CVE-2018-9354 A-74067957 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS สูง 6.0, 6.0.1

ระบบ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2018-9380 A-75298652 EoP ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9381 A-73125709 ไอดี ปานกลาง 8.1
CVE-2018-9382 A-35765136 * EoP ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ส่วนประกอบเคอร์เนล

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2018-9383 A-73827422 * ไอดี ปานกลาง asn1_decoder
CVE-2018-9384 A-74356909
ต้นน้ำเคอร์เนล
ไอดี ปานกลาง เคอร์เนล
CVE-2018-9385 A-74128061
ต้นน้ำเคอร์เนล
EoP ปานกลาง แอมบา
CVE-2018-9386 A-71363680 * EoP ปานกลาง ไดรเวอร์ HTC reboot_block
CVE-2018-9387 A-69006385 * EoP ปานกลาง ไดรเวอร์ mnh_sm
CVE-2018-9388 A-68343441 * EoP ปานกลาง ftm4_touch
CVE-2018-9389 A-65023306 * EoP ปานกลาง ipv4/ipv6
CVE-2018-7480 A-76106168
ต้นน้ำเคอร์เนล
EoP ปานกลาง ตัวจัดการบล็อก
CVE-2017-18075 A-73237057
ต้นน้ำเคอร์เนล
EoP ปานกลาง pcrypt

ส่วนประกอบ MediaTek

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2018-9390 A-76100614 *
M-ALPS03849277
EoP ปานกลาง รายการ wlanThermo procfs
CVE-2018-9391 A-72313579 *
M-ALPS03762614
EoP ปานกลาง GPS HAL
CVE-2018-9392 A-72312594 *
M-ALPS03762614
EoP ปานกลาง GPS HAL
CVE-2018-9393 A-72312577 *
M-ALPS03753748
EoP ปานกลาง MTK wlan
CVE-2018-9394 A-72312468 *
M-ALPS03753652
EoP ปานกลาง ไดรเวอร์ MTK P2P
CVE-2018-9395 A-72312071 *
M-ALPS03753735
EoP ปานกลาง MTK cfg80211
CVE-2018-9396 A-71867113 *
M-ALPS03740353
EoP ปานกลาง Mediatek CCCI
CVE-2018-9397 A-71866634 *
M-ALPS03532675
M-ALPS03479586
EoP ปานกลาง อุปกรณ์ Mediatek WMT
CVE-2018-9398 A-71866289 *
M-ALPS03740468
EoP ปานกลาง คนขับวิทยุ FM
CVE-2018-9399 A-71866200 *
M-ALPS03740489
EoP ปานกลาง /proc/driver/wmt_dbg ไดรเวอร์
CVE-2018-9400 A-71865884 *
M-ALPS03753678
EoP ปานกลาง Goodix Touchscreen Driver
CVE-2017-13308 A-70728757 *
M-ALPS03751855
EoP ปานกลาง ความร้อน
CVE-2018-9401 A-70511226 *
M-ALPS03693409
EoP ปานกลาง กล้องถ่ายรูป
CVE-2018-9402 A-70728072 *
M-ALPS03684171
EoP ปานกลาง ไดรเวอร์ WLAN
CVE-2018-9403 A-72313700 *
M-ALPS03762413
EoP ปานกลาง ฮาล
CVE-2018-9404 A-72314374 *
M-ALPS03773299
EoP ปานกลาง เลเยอร์อินเทอร์เฟซวิทยุ
CVE-2018-9405 A-72314804 *
M-ALPS03762818
EoP ปานกลาง DmAgent
CVE-2018-9406 A-70726950 *
M-ALPS03684231
ไอดี ปานกลาง NlpService
CVE-2018-9407 A-70728406 *
M-ALPS03902529
ไอดี ปานกลาง emmc
CVE-2018-9408 A-70729980 *
M-ALPS03693684
ไอดี ปานกลาง จีพีเอส

ส่วนประกอบ Qualcomm

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-15824 A-68163089 *
QC-CR#2107596
ไอดี ปานกลาง EDK2 bootloader
CVE-2018-5897 A-70528036 *
QC-CR#2172685
ไอดี ปานกลาง diag
CVE-2018-5895 A-70293535 *
QC-CR#2161027
ไอดี ปานกลาง qcacld
CVE-2018-5836 A-74237168
QC-CR#2160375
ไอดี ปานกลาง WLAN
CVE-2018-3577 A-72957387
QC-CR#2129566
ไอดี ปานกลาง WLAN
CVE-2017-15824 A-68992463
QC-CR#2107596
ไอดี ปานกลาง bootloader
CVE-2017-14893 A-68992461
QC-CR#2104835
ไอดี ปานกลาง bootloader
CVE-2017-14872 A-68992457
QC-CR#2073366
ไอดี ปานกลาง bootloader
CVE-2018-5893 A-74237664
QC-CR#2146949
EoP ปานกลาง WLAN
CVE-2016-5342, CVE-2016-5080 A-72232294 *
QC-CR#1032174
EoP ปานกลาง ไดร์เวอร์ WLAN
CVE-2018-5899 A-71638332 *
QC-CR#1040612
EoP ปานกลาง ไดร์เวอร์ WLAN
CVE-2018-5890 A-71501675
QC-CR#2127348
EoP ปานกลาง Bootloader
CVE-2018-5889 A-71501674
QC-CR#2127341
EoP ปานกลาง Bootloader
CVE-2018-5888 A-71501672
QC-CR#2127312
EoP ปานกลาง Bootloader
CVE-2018-5887 A-71501669
QC-CR#2127305
EoP ปานกลาง Bootloader
CVE-2018-5898 A-71363804 *
QC-CR#2173850
EoP ปานกลาง ไดรเวอร์เสียง QC
CVE-2018-5832 A-69065862 *
QC-CR#2149998
EoP ปานกลาง Camerav2
CVE-2018-5857 A-62536960 *
QC-CR#2169403
EoP ปานกลาง wcd_cpe_core
CVE-2018-3597 A-74237782
QC-CR#2143070
EoP ปานกลาง DSP_Services
CVE-2018-3564 A-72957546
QC-CR#2062648
EoP ปานกลาง DSP_Services
CVE-2017-15856 A-72957506
QC-CR#2111922
EoP ปานกลาง power_stats debugfs โหนด

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-11088 A-72951251 * ไม่มี ปานกลาง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2017-11076 A-65049457 * ไม่มี ปานกลาง ส่วนประกอบที่ปิดแหล่งที่มา

แพทช์การทำงาน

การอัปเดตเหล่านี้รวมอยู่ในอุปกรณ์ Pixel ที่ได้รับผลกระทบเพื่อแก้ไขปัญหาการทำงานที่ไม่เกี่ยวข้องกับความปลอดภัยของอุปกรณ์ Pixel ตารางนี้มีข้อมูลอ้างอิงที่เกี่ยวข้อง หมวดหมู่ที่ได้รับผลกระทบ เช่น Bluetooth หรือข้อมูลมือถือ การปรับปรุง; และอุปกรณ์ที่ได้รับผลกระทบ

อ้างอิง หมวดหมู่ การปรับปรุง อุปกรณ์
A-74413120 บลูทู ธ ปรับปรุงประสิทธิภาพ BLE ทั้งหมด
A-76022834 ประสิทธิภาพ ปรับปรุงพฤติกรรมการสลับเสาอากาศในพื้นที่ที่มีสัญญาณอ่อน Pixel 2, Pixel 2 XL
A-77963927 Wi-Fi ปรับปรุงการเชื่อมต่อ Wi-Fi ด้วยจุดเชื่อมต่อ Wi-Fi บางอย่าง Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-77458860 UI รูปแบบ IMEI SV แสดงเป็นตัวเลขอย่างถูกต้อง Pixel, Pixel XL, Pixel 2, Pixel 2 XL
A-68114567
A-74058011
แสดง ปรับปรุงความสอดคล้องของ Always On Display Pixel 2 XL
A-70282393 ประสิทธิภาพ ปรับปรุงพฤติกรรมเซ็นเซอร์ความใกล้ชิด Pixel 2 XL

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

ระดับแพตช์ความปลอดภัย 2018-06-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2018-06-05 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus

2. รายการในคอลัมน์ Type หมายถึงอะไร

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำนิยาม
RCE การเรียกใช้โค้ดจากระยะไกล
EoP ยกระดับสิทธิพิเศษ
ไอดี การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

3. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร

รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิง Broadcom

4. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel / Nexus ที่มีให้จาก เว็บไซต์ Google Developer

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้กับกระดานข่าวสารความปลอดภัยของ Android

ต้องมีช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยของ Android เพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ที่บันทึกไว้ในกระดานข่าวนี้ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย

รุ่น

เวอร์ชั่น วันที่ หมายเหตุ
1.0 4 มิถุนายน 2018 เผยแพร่แถลงการณ์
1.1 6 มิถุนายน 2018 กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP