Pixel / Nexus 安全公告 - 2018 年 8 月

發表於 2018 年 8 月 6 日

Pixel / Nexus 安全公告包含影響受支援的 Google Pixel 和 Nexus 裝置(Google 裝置)的安全漏洞和功能改進的詳細資訊。對於 Google 設備,2018 年 8 月 5 日或更高版本的安全性修補程式等級可解決本公告中的所有問題以及 2018 年 8 月 Android 安全公告中的所有問題。若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本

所有受支援的 Google 裝置都將收到 2018 年 8 月 5 日修補程式等級的更新。我們鼓勵所有客戶接受對其設備的這些更新。

注意: Google 裝置韌體映像可在Google Developer 網站上取得。

公告

除了 2018 年 8 月 Android 安全公告中所述的安全漏洞外,Google 裝置還包含下述安全漏洞的修補程式。合作夥伴至少在一個月前收到有關這些問題的通知,並可能選擇將其納入設備更新的一部分。

安全補丁

漏洞按其影響的組件進行分組。其中包含問題的描述以及包含 CVE、相關引用、漏洞類型嚴重性和更新的 Android 開源專案 (AOSP) 版本(如果適用)的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。

框架

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2017-1000100 A-64610131 ID緩和7.0、7.1.1、7.1.2、8.0、8.1

系統

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2018-9435 A-79591688 ID緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2018-9461 A-37629504 ID緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2018-9449 A-79884292 ID緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2018-9457 A-72872376 ID緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2018-9441 A-74075873 [ 2 ] ID緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13322 A-67862398拒絕服務緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2018-9447 A-79995313拒絕服務緩和6.0、6.0.1、8.0、8.1

核心元件

CVE參考類型嚴重性成分
CVE-2018-9462 A-78364203 *結束時間緩和觸控螢幕
CVE-2018-9439 A-79377438 *結束時間緩和網路堆疊
CVE-2018-9463 A-78362414 *結束時間緩和觸控螢幕
CVE-2018-1068 A-77902350
上游內核
結束時間緩和網路過濾器
CVE-2018-9464 A-68993267 *結束時間緩和泰門引導程式

高通組件

CVE參考類型嚴重性成分
CVE-2018-11263 A-79422278 *
QC-CR#2209106
結束時間緩和無線區域網路
CVE-2017-8261 A-35139833 *
QC-CR#2013631
結束時間緩和網路攝影機驅動
CVE-2018-5910 A-79422277
QC-CR#2175499 [ 2 ]
結束時間緩和MDSS
CVE-2018-5909 A-79421262
QC-CR#2174716
結束時間緩和旋轉器
CVE-2018-5908 A-79422409
QC-CR#2171758 [ 2 ]
結束時間緩和MDSS
CVE-2018-5905 A-79421261
QC-CR#2169715
結束時間緩和診斷驅動程式
CVE-2018-5904 A-79421260
QC-CR#2184702 [ 2 ]
結束時間緩和電源驅動器
CVE-2018-5903 A-79421737
QC-CR#2185477
結束時間緩和qcacld 3.0
CVE-2017-18306 A-73889358 *
QC-CR#2216399
ID緩和v4l2
CVE-2017-18307 A-73888283 *
QC-CR#2026045
ID緩和qcacld-3.0
CVE-2017-9711 A-36367253 *
QC-CR#2046006
結束時間緩和異丙醇
CVE-2018-3587 A-65542521 *
QC-CR#2120605
結束時間緩和qcacld-2.0

更新:框架

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2017-13295 A-62537081 [ 2 ]拒絕服務緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1

更新:系統

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2017-13242 A-62672248 ID緩和6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1

更新:高通組件

CVE參考類型嚴重性成分
CVE-2017-15817 A-68992394
QC-CR#2076603 [ 2 ]
QC-CR#2084599
QC-CR#2096512
遠端程式碼執行批判的無線區域網路

常見問題及解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的裝置是否已更新以解決這些問題?

2018-08-05 或更高版本的安全性修補程式等級解決了與 2018-08-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。若要了解如何檢查裝置的安全修補程式級別,請閱讀Pixel 和 Nexus 更新計畫上的說明。

2.類型欄中的條目是什麼意思?

漏洞詳細資料表的「類型」欄位中的條目引用安全漏洞的分類。

縮寫定義
遠端程式碼執行遠端程式碼執行
結束時間特權提升
ID資訊揭露
拒絕服務拒絕服務
不適用分類不可用

3.參考文獻欄中的條目是什麼意思?

漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。

字首參考
A-安卓錯誤 ID
QC-高通參考號
M-聯發科參考號
N- NVIDIA 參考號
B-博通參考號

4.參考資料欄中 Android bug ID 旁邊的 * 是什麼意思?

未公開發布的問題在「參考」列中的 Android bug ID 旁邊有一個 *。此問題的更新通常包含在Google 開發者網站上提供的 Pixel/Nexus 裝置的最新二進位驅動程式中。

5. 為什麼本公告和 Android 安全公告中的安全漏洞不同?

為了聲明 Android 裝置上的最新安全修補程式級別,需要 Android 安全公告中記錄的安全漏洞。其他安全漏洞(例如本公告中記錄的漏洞)不需要聲明安全修補程式等級。

版本

版本日期筆記
1.0 2018 年 8 月 6 日公告發布。