Opublikowano 6 sierpnia 2018 r.
Komunikat o zabezpieczeniach Pixel / Nexus zawiera szczegóły dotyczące luk w zabezpieczeniach i ulepszeń funkcjonalnych, które mają wpływ na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poziomy aktualizacji zabezpieczeń z 5 sierpnia 2018 r. lub nowsze rozwiązują wszystkie problemy opisane w tym biuletynie oraz wszystkie problemy opisane w biuletynie bezpieczeństwa Androida z sierpnia 2018 r. Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki z 05.08.2018. Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Uwaga: obrazy oprogramowania układowego urządzeń Google są dostępne na stronie dla deweloperów Google.
Ogłoszenia
Oprócz łatwych zabezpieczeń opisanych w powiadomieniu o lukach w zabezpieczeniach w Androidzie z sierpnia 2018 r. urządzenia Google zawierają też poprawki dotyczące luk w zabezpieczeniach opisanych poniżej. Partnerzy zostali poinformowani o tych problemach co najmniej miesiąc temu i mogą wprowadzić te zmiany w ramach aktualizacji urządzenia.
Poprawki zabezpieczeń
Luki w zabezpieczeniach są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z identyfikatorem CVE, powiązanymi odniesieniami, typem luki, powagą oraz zaktualizowanymi wersjami projektu Android Open Source (AOSP) (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Platforma
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-1000100 | A-64610131 | ID | Umiarkowana | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
System
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2018-9435 | A-79591688 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9461 | A-37629504 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9449 | A-79884292 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9457 | A-72872376 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9441 | A-74075873 [2] | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13322 | A-67862398 | DoS | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9447 | A-79995313 | DoS | Umiarkowana | 6.0, 6.0.1, 8.0, 8.1 |
Komponenty jądra
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2018-9462 | A-78364203* | EoP | Umiarkowana | Ekran dotykowy |
| CVE-2018-9439 | A-79377438* | EoP | Umiarkowana | Stos sieciowy |
| CVE-2018-9463 | A-78362414* | EoP | Umiarkowana | Ekran dotykowy |
| CVE-2018-1068 | A-77902350 Upstream kernel |
EoP | Umiarkowana | Netfilter |
| CVE-2018-9464 | A-68993267* | EoP | Umiarkowana | Program rozruchowy Taimen |
Komponenty Qualcomm
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2018-11263 | A-79422278* QC-CR#2209106 |
EoP | Umiarkowana | WLAN |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
EoP | Umiarkowana | Sterownik kamery |
| CVE-2018-5910 | A-79422277 QC-CR#2175499 [2] |
EoP | Umiarkowana | MDSS |
| CVE-2018-5909 | A-79421262 QC-CR#2174716 |
EoP | Umiarkowana | Rotator |
| CVE-2018-5908 | A-79422409 QC-CR#2171758 [2] |
EoP | Umiarkowana | MDSS |
| CVE-2018-5905 | A-79421261 QC-CR#2169715 |
EoP | Umiarkowana | Diag driver |
| CVE-2018-5904 | A-79421260 QC-CR#2184702 [2] |
EoP | Umiarkowana | Silnik elektryczny |
| CVE-2018-5903 | A-79421737 QC-CR#2185477 |
EoP | Umiarkowana | qcacld 3.0 |
| CVE-2017-18306 | A-73889358* QC-CR#2216399 |
ID | Umiarkowana | v4l2 |
| CVE-2017-18307 | A-73888283* QC-CR#2026045 |
ID | Umiarkowana | qcacld-3.0 |
| CVE-2017-9711 | A-36367253* QC-CR#2046006 |
EoP | Umiarkowana | IPA |
| CVE-2018-3587 | A-65542521* QC-CR#2120605 |
EoP | Umiarkowana | qcacld-2.0 |
Aktualizacja: platforma
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13295 | A-62537081 [2] | DoS | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Aktualizacja: system
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2017-13242 | A-62672248 | ID | Umiarkowana | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Aktualizacja: komponenty Qualcomm
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2017-15817 | A-68992394 QC-CR#2076603 [2] QC-CR#2084599 QC-CR#2096512 |
RCE | Krytyczny | WLAN |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy rozwiązuje te problemy?
Poziomy aktualizacji zabezpieczeń z 2018-08-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2018-08-05 i wszystkimi poprzednimi poziomami. Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, przeczytaj instrukcje w Harmonogramie aktualizacji Pixela i Nexusa.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
4. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel / Nexus dostępnych na stronie Google Developer.
5. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a Biuletyny o zabezpieczeniach Androida?
Aby zadeklarować najnowszy stan aktualizacji zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach udokumentowane w biuletynach dotyczących bezpieczeństwa w Androidzie. Dodatkowe luki w zabezpieczeniach, takie jak te opisane w tym biuletynie, nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 6 sierpnia 2018 r. | Biuletyn został opublikowany. |