Veröffentlicht am 5. Juni 2017 | Aktualisiert am 17. August 2017
Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Sicherheits-Patch-Levels vom 05. Juni 2017 oder höher beheben all diese Probleme. Informationen zum Überprüfen der Sicherheits-Patch-Stufe eines Geräts finden Sie im Update-Zeitplan für Pixel und Nexus .
Die Partner wurden vor mindestens einem Monat über die im Bulletin beschriebenen Probleme informiert. Quellcode-Patches für diese Probleme werden im AOSP-Repository (Android Open Source Project) veröffentlicht und über dieses Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke in Media Framework, die es einem Angreifer aus der Ferne ermöglichen kann, mithilfe einer speziell gestalteten Datei Speicherbeschädigungen während der Verarbeitung von Mediendateien und Daten zu verursachen. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen sind für Entwicklungszwecke deaktiviert oder werden erfolgreich umgangen.
Wir haben keine Berichte über die aktive Ausbeutung oder den Missbrauch dieser neu gemeldeten Probleme durch Kunden erhalten. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zu Google Play Protect , die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt zur Minderung von Android- und Google Play Protect-Maßnahmen .
Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Hinweis: Informationen zu den neuesten drahtlosen Updates (OTA) und Firmware-Images für Google-Geräte finden Sie im Abschnitt Google-Geräteupdates .
Ankündigungen
- Wir haben das monatliche Sicherheitsbulletin optimiert, um das Lesen zu vereinfachen. Im Rahmen dieses Updates werden Schwachstelleninformationen nach betroffenen Komponenten kategorisiert, nach Komponentennamen innerhalb einer Sicherheitspatch-Ebene sortiert und gerätespezifische Google-Informationen in einem speziellen Abschnitt gehostet.
- Dieses Bulletin enthält zwei Sicherheits-Patch-Level-Zeichenfolgen, die Android-Partnern die Flexibilität bieten, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Weitere Informationen finden Sie unter Allgemeine Fragen und Antworten :
- 2017-06-01 : Teilweise Sicherheits-Patch-Level-Zeichenfolge. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle mit dem 01.06.2017 verbundenen Probleme (und alle vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben sind.
- 2017-06-05 : Vollständige Zeichenfolge für die Sicherheits-Patch-Ebene. Diese Sicherheits-Patch-Level-Zeichenfolge gibt an, dass alle mit dem 01.06.2017 und dem 05.06.2017 verbundenen Probleme (und alle vorherigen Sicherheits-Patch-Level-Zeichenfolgen) behoben sind.
Android und Google Play Schützen Sie Schadensbegrenzungen
Dies ist eine Zusammenfassung der von der Android-Sicherheitsplattform bereitgestellten Maßnahmen und des Schutzes von Diensten wie Google Play Protect . Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken unter Android erfolgreich ausgenutzt werden können.
- Das Ausnutzen vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht den Missbrauch über Google Play Protect aktiv und warnt Benutzer vor potenziell schädlichen Anwendungen . Google Play Protect ist standardmäßig auf Geräten mit Google Mobile Services aktiviert und besonders wichtig für Benutzer, die Apps von außerhalb von Google Play installieren.
Sicherheits-Patch-Stufe 2017-06-01 - Details zur Sicherheitsanfälligkeit
In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2017-06-01 gelten. Sicherheitslücken werden unter der Komponente zusammengefasst, auf die sie sich auswirken. Es gibt eine Beschreibung des Problems und eine Tabelle mit dem CVE, den zugehörigen Referenzen, der Art der Sicherheitsanfälligkeit , dem Schweregrad und den aktualisierten AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern verknüpft, die auf die Fehler-ID folgen.
Bluetooth
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen App ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen.
| CVE | Verweise | Art | Schwere | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | EoP | Mäßig | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | ICH WÜRDE | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Bibliotheken
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen.
| CVE | Verweise | Art | Schwere | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562 * | RCE | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553 * | RCE | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | RCE | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | RCE | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | RCE | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | RCE | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | RCE | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | RCE | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | ICH WÜRDE | Mäßig | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | DOS | Mäßig | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Medienrahmen
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Datei Speicherbeschädigungen während der Verarbeitung von Mediendateien und Daten zu verursachen.
| CVE | Verweise | Art | Schwere | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | RCE | Kritisch | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | DOS | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467 * | DOS | Hoch | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | DOS | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | DOS | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051 * | DOS | Hoch | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997 * | DOS | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
System-Benutzeroberfläche
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines nicht privilegierten Prozesses auszuführen.
| CVE | Verweise | Art | Schwere | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | RCE | Hoch | 7.1.1, 7.1.2 |
Sicherheits-Patch-Stufe 2017-06-05 - Details zur Sicherheitsanfälligkeit
In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken, die für die Patch-Version 2017-06-05 gelten. Sicherheitslücken werden unter der Komponente zusammengefasst, die sie betreffen, und enthalten Details wie CVE, zugehörige Referenzen, Art der Sicherheitsanfälligkeit , Schweregrad , Komponente (falls zutreffend) und aktualisierte AOSP-Versionen (sofern zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, mit der das Problem behoben wurde, mit der Fehler-ID, z. B. der AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern verknüpft, die auf die Fehler-ID folgen.
Kernel-Komponenten
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen App ermöglichen, beliebigen Code im Kontext des Kernels auszuführen.
| CVE | Verweise | Art | Schwere | Komponente |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220 * | EoP | Hoch | FIQ-Debugger |
| CVE-2017-0651 | A-35644815 * | ICH WÜRDE | Niedrig | ION-Subsystem |
Bibliotheken
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Datei auf vertrauliche Informationen zuzugreifen.
| CVE | Verweise | Art | Schwere | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065 * | ICH WÜRDE | Mäßig | 4.4.4 |
MediaTek-Komponenten
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen App ermöglichen, beliebigen Code im Kontext des Kernels auszuführen.
| CVE | Verweise | Art | Schwere | Komponente |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230 * M-ALPS03162263 | EoP | Hoch | Befehlswarteschlangentreiber |
| CVE-2017-0649 | A-34468195 * M-ALPS03162283 | EoP | Mäßig | Soundtreiber |
NVIDIA-Komponenten
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen App ermöglichen, beliebigen Code im Kontext des Kernels auszuführen.
| CVE | Verweise | Art | Schwere | Komponente |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301 * N-CVE-2017-6247 | EoP | Hoch | Soundtreiber |
| CVE-2017-6248 | A-34372667 * N-CVE-2017-6248 | EoP | Mäßig | Soundtreiber |
| CVE-2017-6249 | A-34373711 * N-CVE-2017-6249 | EoP | Mäßig | Soundtreiber |
Qualcomm-Komponenten
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Angreifer in der Nähe ermöglichen, beliebigen Code im Kontext des Kernels auszuführen.
| CVE | Verweise | Art | Schwere | Komponente |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR # 1101054 | RCE | Kritisch | Bluetooth-Treiber |
| CVE-2017-7365 | A-32449913 QC-CR # 1017009 | EoP | Hoch | Bootloader |
| CVE-2017-7366 | A-36252171 QC-CR # 1036161 [ 2 ] | EoP | Hoch | GPU-Treiber |
| CVE-2017-7367 | A-34514708 QC-CR # 1008421 | DOS | Hoch | Bootloader |
| CVE-2016-5861 | A-36251375 QC-CR # 1103510 | EoP | Mäßig | Videotreiber |
| CVE-2016-5864 | A-36251231 QC-CR # 1105441 | EoP | Mäßig | Soundtreiber |
| CVE-2017-6421 | A-36251986 QC-CR # 1110563 | EoP | Mäßig | MStar-Touchscreen-Treiber |
| CVE-2017-7364 | A-36252179 QC-CR # 1113926 | EoP | Mäßig | Videotreiber |
| CVE-2017-7368 | A-33452365 QC-CR # 1103085 | EoP | Mäßig | Soundtreiber |
| CVE-2017-7369 | A-33751424 QC-CR # 2009216 [ 2 ] | EoP | Mäßig | Soundtreiber |
| CVE-2017-7370 | A-34328139 QC-CR # 2006159 | EoP | Mäßig | Videotreiber |
| CVE-2017-7372 | A-36251497 QC-CR # 1110068 | EoP | Mäßig | Videotreiber |
| CVE-2017-7373 | A-36251984 QC-CR # 1090244 | EoP | Mäßig | Videotreiber |
| CVE-2017-8233 | A-34621613 QC-CR # 2004036 | EoP | Mäßig | Kameratreiber |
| CVE-2017-8234 | A-36252121 QC-CR # 832920 | EoP | Mäßig | Kameratreiber |
| CVE-2017-8235 | A-36252376 QC-CR # 1083323 | EoP | Mäßig | Kameratreiber |
| CVE-2017-8236 | A-35047217 QC-CR # 2009606 | EoP | Mäßig | IPA-Treiber |
| CVE-2017-8237 | A-36252377 QC-CR # 1110522 | EoP | Mäßig | Netzwerktreiber |
| CVE-2017-8242 | A-34327981 QC-CR # 2009231 | EoP | Mäßig | Secure Execution Environment Communicator-Treiber |
| CVE-2017-8239 | A-36251230 QC-CR # 1091603 | ICH WÜRDE | Mäßig | Kameratreiber |
| CVE-2017-8240 | A-36251985 QC-CR # 856379 | ICH WÜRDE | Mäßig | Pin-Controller-Treiber |
| CVE-2017-8241 | A-34203184 QC-CR # 1069175 | ICH WÜRDE | Niedrig | Wi-Fi-Treiber |
Synaptics-Komponenten
Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen App ermöglichen, auf Daten außerhalb ihrer Berechtigungsstufen zuzugreifen.
| CVE | Verweise | Art | Schwere | Komponente |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278 * | EoP | Niedrig | Touchscreen-Treiber |
Qualcomm Closed-Source-Komponenten
Diese Sicherheitsanfälligkeiten betreffen Qualcomm-Komponenten und werden in den Qualcomm AMSS-Sicherheitsbulletins von 2014–2016 ausführlicher beschrieben. Sie sind in diesem Android-Sicherheitsbulletin enthalten, um ihre Korrekturen mit einem Android-Sicherheitspatch-Level zu verknüpfen. Korrekturen für diese Sicherheitsanfälligkeiten sind direkt bei Qualcomm erhältlich.
| CVE | Verweise | Art | Schwere | Komponente |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2014-9961 | A-37279724 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2014-9953 | A-36714770 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2014-9967 | A-37281466 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9026 | A-37277231 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9027 | A-37279124 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9008 | A-36384689 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9009 | A-36393600 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9010 | A-36393101 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9011 | A-36714882 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9024 | A-37265657 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9012 | A-36384691 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9013 | A-36393251 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9014 | A-36393750 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9015 | A-36714120 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2015-9029 | A-37276981 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10338 | A-37277738 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10336 | A-37278436 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10333 | A-37280574 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10341 | A-37281667 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10335 | A-37282802 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10340 | A-37280614 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10334 | A-37280664 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10339 | A-37280575 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10298 | A-36393252 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2016-10299 | A-32577244 * | N / A | Kritisch | Closed-Source-Komponente |
| CVE-2014-9954 | A-36388559 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9955 | A-36384686 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9956 | A-36389611 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9957 | A-36387564 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9958 | A-36384774 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9962 | A-37275888 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9963 | A-37276741 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9959 | A-36383694 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9964 | A-37280321 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9965 | A-37278233 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2014-9966 | A-37282854 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9023 | A-37276138 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9020 | A-37276742 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9021 | A-37276743 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9025 | A-37276744 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9022 | A-37280226 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9028 | A-37277982 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9031 | A-37275889 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9032 | A-37279125 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9033 | A-37276139 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2015-9030 | A-37282907 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2016-10332 | A-37282801 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2016-10337 | A-37280665 * | N / A | Hoch | Closed-Source-Komponente |
| CVE-2016-10342 | A-37281763 * | N / A | Hoch | Closed-Source-Komponente |
Google-Geräteupdates
Diese Tabelle enthält die Sicherheits-Patch-Stufe des neuesten Over-the-Air-Updates (OTA) und Firmware-Images für Google-Geräte. Die Firmware-Bilder des Google-Geräts sind auf der Google Developer-Website verfügbar.
| Google-Gerät | Sicherheits-Patch-Level |
|---|---|
| Pixel / Pixel XL | 05. Juni 2017 |
| Nexus 5X | 05. Juni 2017 |
| Nexus 6 | 05. Juni 2017 |
| Nexus 6P | 05. Juni 2017 |
| Nexus 9 | 05. Juni 2017 |
| Nexus-Spieler | 05. Juni 2017 |
| Pixel C. | 05. Juni 2017 |
Google-Geräteupdates enthalten gegebenenfalls auch Patches für diese Sicherheitslücken:
| CVE | Verweise | Art | Schwere | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | ICH WÜRDE | Hoch | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Danksagung
Wir möchten diesen Forschern für ihre Beiträge danken:
| CVEs | Forscher |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | Ecular Xu (徐健) von Trend Micro |
| CVE-2017-0645, CVE-2017-0639 | En He ( @ heeeeen4x ) und Bo Liu von MS509Team |
| CVE-2017-0649 | Gengjia Chen ( @ chengjia4574 ) und pjf von IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0646 | Godzheng (郑 文选 - @VirtualSeekers ) von Tencent PC Manager |
| CVE-2017-0636 | Jake Corina ( @JakeCorina ) vom Shellphish Grill Team |
| CVE-2017-8233 | Jianqiang Zhao ( @jianqiangzhao ) und pjf von IceSword Lab, Qihoo 360 |
| CVE-2017-7368 | Lubo Zhang ( zlbzlb815@163.com ), Yuan-Tsung Lo ( computernik@gmail.com ) und Xuxian Jiang vom C0RE-Team |
| CVE-2017-8242 | Nathan Crandall ( @natecray ) vom Tesla-Produktsicherheitsteam |
| CVE-2017-0650 | Omer Shwartz, Amir Cohen, Dr. Asaf Shabtai und Dr. Yossi Oren vom Cyber Lab der Ben Gurion University |
| CVE-2017-0648 | Roee Hay ( @roeehay ) von Aleph Research , HCL Technologies |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | Sevenshen ( @lingtongshen ) von TrendMicro |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | Wassili Wassiljew |
| CVE-2017-0640 | VEO ( @VYSEa ) vom Mobile Threat Response Team , Trend Micro |
| CVE-2017-8236 | Xiling Gong von der Tencent Security Platform Department |
| CVE-2017-0647 | Yangkang ( @dnpushme ) und Liyadong vom Qex Team, Qihoo 360 |
| CVE-2017-7370 | Yonggang Guo ( @guoygang ) von IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0651 | Yuan-Tsung Lo ( computernik@gmail.com ) und Xuxian Jiang vom C0RE-Team |
| CVE-2017-8241 | Zubin Mithra von Google |
Häufige Fragen und Antworten
In diesem Abschnitt werden häufig gestellte Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie stelle ich fest, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Lesen Sie die Anweisungen im Update-Zeitplan für Pixel und Nexus, um zu erfahren, wie Sie die Sicherheits-Patch-Stufe eines Geräts überprüfen.
- Sicherheits-Patch-Levels vom 01.06.2017 oder höher beheben alle Probleme, die mit dem Sicherheits-Patch-Level 2017-06-01 verbunden sind.
- Sicherheits-Patch-Levels vom 05.06.2017 oder höher beheben alle Probleme, die mit dem Sicherheits-Patch-Level 2017-06-05 und allen vorherigen Patch-Levels verbunden sind.
Gerätehersteller, die diese Updates enthalten, sollten die Patch-Zeichenfolge auf Folgendes einstellen:
- [ro.build.version.security_patch]: [2017-06-01]
- [ro.build.version.security_patch]: [2017-06-05]
2. Warum hat dieses Bulletin zwei Sicherheits-Patch-Stufen?
Dieses Bulletin verfügt über zwei Sicherheits-Patch-Ebenen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben. Android-Partner werden aufgefordert, alle Probleme in diesem Bulletin zu beheben und die neueste Sicherheits-Patch-Stufe zu verwenden.
- Geräte, die die Sicherheits-Patch-Stufe vom 01. Juni 2017 verwenden, müssen alle mit dieser Sicherheits-Patch-Stufe verbundenen Probleme sowie Korrekturen für alle in früheren Sicherheitsbulletins gemeldeten Probleme enthalten.
- Geräte, die die Sicherheits-Patch-Stufe vom 05. Juni 2017 oder neuer verwenden, müssen alle zutreffenden Patches in diesem (und früheren) Sicherheitsbulletins enthalten.
Partner werden aufgefordert, die Korrekturen für alle Probleme, die sie beheben, in einem einzigen Update zu bündeln.
3. Was bedeuten die Einträge in der Spalte Typ ?
Einträge in der Spalte Typ der Tabelle mit den Sicherheitsanfälligkeitsdetails verweisen auf die Klassifizierung der Sicherheitsanfälligkeit.
| Abkürzung | Definition |
|---|---|
| RCE | Remote-Codeausführung |
| EoP | Erhöhung des Privilegs |
| ICH WÜRDE | Offenlegung von Informationen |
| DOS | Denial of Service |
| N / A | Klassifizierung nicht verfügbar |
4. Was bedeuten die Einträge in der Spalte Referenzen ?
Einträge in der Spalte " Referenzen" der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört.
| Präfix | Referenz |
|---|---|
| EIN- | Android Bug ID |
| QC- | Qualcomm Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom Referenznummer |
5. Was bedeutet ein * neben der Android-Fehler-ID in der Spalte " Referenzen" ?
Probleme, die nicht öffentlich verfügbar sind, haben ein * neben der Android-Fehler-ID in der Spalte " Referenzen" . Das Update für dieses Problem ist im Allgemeinen in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Versionen
| Ausführung | Datum | Anmerkungen |
|---|---|---|
| 1.0 | 5. Juni 2017 | Bulletin veröffentlicht. |
| 1.1 | 7. Juni 2017 | Bulletin überarbeitet, um AOSP-Links aufzunehmen. |
| 1.2 | 11. Juli 2017 | Bulletin überarbeitet, um CVE-2017-6249 aufzunehmen. |
| 1.3 | 17. August 2017 | Bulletin überarbeitet, um Referenznummern zu aktualisieren. |