Бюллетень по безопасности Pixel и Nexus – октябрь 2017 г.

Опубликован 2 октября 2017 г. | Обновлен 3 октября 2017 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). На устройствах Google все проблемы, перечисленные здесь и в бюллетене по безопасности Android за октябрь 2017 года, устранены в исправлении от 5 октября 2017 года или более новом. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Поддерживаемые устройства Google получат обновление системы безопасности 2017-10-05. Мы рекомендуем всем пользователям установить перечисленные в этом бюллетене обновления.

Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за октябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
  • Благодарности теперь перечисляются на странице Благодарности отдела безопасности Android.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Фреймворк

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0807 A-35056974* ПП Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0808 A-62301183 [2] РИ Средний 7.0, 7.1.1, 7.1.2, 8.0

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0813 A-36531046 ОО Средний 7.0, 7.1.1, 7.1.2
CVE-2017-0814 A-62800140 РИ Средний 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0817 A-63522430 РИ Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0818 A-63581671 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0819 A-63045918 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 6.0, 6.0.1
CVE-2017-0820 A-62187433 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0
ОО Высокий 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2017-0822 A-63787722 ПП Средний 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0823 A-37896655 РИ Средний 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

Компоненты Broadcom

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0824 A-37622847*
B-V2017063001
EoP Средний Драйвер Wi-Fi
CVE-2017-0825 A-37305633*
B-V2017063002
ID Средний Драйвер Wi-Fi

Компоненты HTC

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0826 A-34949781* ПП Средний Загрузчик

Компоненты Huawei

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0828 A-34622855* ПП Средний Загрузчик ОС

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-7187 A-63666227
Upstream kernel
EoP Средний SCSI-драйвер

Компоненты Motorola

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-0829 A-62345044* ПП Средний Загрузчик

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2017-9686 A-62827928
QC-CR#1115359
EoP Средний Драйвер SPS
CVE-2017-11050 A-62085265
QC-CR#2064785
EoP Средний WLAN
CVE-2017-11067 A-62058746*
QC-CR#2062012
EoP Средний WLAN
CVE-2017-11057 A-37949660*
QC-CR#2059812
EoP Средний Камера
CVE-2017-11056 A-37893116*
QC-CR#2060504
EoP Средний Драйвер шифрования
CVE-2017-11046 A-37623773*
QC-CR#2059656
EoP Средний Аудиодрайвер
CVE-2017-11059 A-37284397*
QC-CR#2057375
EoP Средний Драйвер шифрования
CVE-2017-9706 A-34170483*
QC-CR#2030399
EoP Средний Видеодрайвер
CVE-2017-11048 A-37093119*
QC-CR#2052691
EoP Средний Видеодрайвер
CVE-2017-9697 A-63868628
QC-CR#2032672
EoP Средний Драйвер процессора
CVE-2017-11051 A-62456806
QC-CR#2061755
ID Средний WLAN
CVE-2017-9715 A-36730104*
QC-CR#2054958
QC-CR#2057034
ID Средний WLAN
CVE-2017-11061 A-36816726*
QC-CR#2054693
QC-CR#2059701
ID Средний WLAN
CVE-2017-11060 A-36817548*
QC-CR#2058447
QC-CR#2054770
ID Средний WLAN
CVE-2017-9717 A-36817053*
QC-CR#2051450
ID Средний WLAN
CVE-2017-11052 A-37687303*
QC-CR#2061688
ID Средний WLAN
CVE-2017-11054 A-37713609*
QC-CR#2061251
ID Средний WLAN
CVE-2017-11062 A-37720349*
QC-CR#2058448
ID Средний WLAN
CVE-2017-11055 A-37721426*
QC-CR#2061241
ID Средний WLAN
CVE-2017-11064 A-36815952*
QC-CR#2054770
QC-CR#2058447 QC-CR#2066628
QC-CR#2087785
ID Средний WLAN
CVE-2017-9687 A-62827190
QC-CR#2016076
EoP Низкий Модем
CVE-2017-11063 A-36716469*
QC-CR#2053027
DoS Низкий Драйвер камеры

Обновления функциональных возможностей

В этом месяце их нет.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные уязвимости?

В исправлении 2017-10-05 и более поздних устранены все проблемы, соответсвующие исправлению системы безопасности 2017-10-05 и всем предыдущим. Сведения о том, как проверить версию системы безопасности на устройстве, можно найти в статье о сроках обновления ПО для телефонов Pixel и Nexus.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 2 октября 2017 г. Бюллетень опубликован.
1.1 3 октября 2017 г. Добавлены ссылки на AOSP.