Опубликовано 4 декабря 2017 г. | Обновлено 6 декабря 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь, устранены в исправлении от 5 декабря 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Поддерживаемые устройства Google получат обновление системы безопасности 2017-12-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Примечание. Образы встроенного ПО для устройств Google находятся на сайте для разработчиков.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, типом, уровнем серьезности, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13154 | A-63666573 | ПП | Высокий | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0879 | A-65025028 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13149 | A-65719872 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13150 | A-38328132 | РИ | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| ОО | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13152 | A-62872384 | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
Компоненты Broadcom
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13161 | A-63930471* BC-V2017092501 |
ПП | Средний | Нет данных |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13167 | A-37240993* | ПП | Высокий | Таймер со звуком |
| CVE-2017-13163 | A-37429972* | ПП | Средний | USB-драйвер для протокола MTP |
| CVE-2017-15868 | A-33982955 Upstream kernel |
ПП | Средний | Драйвер для беспроводных сетей |
| CVE-2017-13165 | A-31269937* | ПП | Средний | Файловая система |
| CVE-2017-13166 | A-34624167* | ПП | Средний | Видеодрайвер V4L2 |
| CVE-2017-1000380 | A-64217740 Upstream kernel |
ПП | Средний | Драйвер таймера со звуком |
| CVE-2017-13168 | A-65023233* | ПП | Средний | SCSI-драйвер |
| CVE-2017-13169 | A-37512375* | РИ | Средний | CameraServer |
| CVE-2017-13164 | A-36007193* | РИ | Средний | Драйвер Binder |
Компоненты MediaTek
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-13172 | A-36493287* M-ALPS03495791 |
ПП | Средний | Драйвер Bluetooth |
Компоненты NVIDIA
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6280 | A-63851980* N-CVE-2017-6280 |
РИ | Средний | Драйвер NVIDIA |
| CVE-2017-13175 | A-64339309* N-CVE-2017-13175 |
РИ | Средний | Libwilhelm |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-9708 | A-62674846* QC-CR#2081806 |
ПП | Средний | Ядро |
| CVE-2017-11042 | A-38232268* QC-CR#2070438 |
ПП | Средний | Binder |
| CVE-2017-11030 | A-64431967 QC-CR#2034255 [2] |
ПП | Средний | Экран |
| CVE-2017-9703 | A-34329758* QC-CR#2038086 |
ПП | Средний | Видеодрайвер |
| CVE-2017-9718 | A-36386076* QC-CR#2045918 |
ПП | Средний | Ядро |
| CVE-2017-8244 | A-35138888* QC-CR#2013361 |
ПП | Средний | Драйвер Debugfs |
| CVE-2017-14901 | A-65468984 QC-CR#2059714 |
ПП | Средний | WLAN |
| CVE-2017-9698 | A-63868678 QC-CR#2023860 |
ПП | Средний | Графика |
| CVE-2017-9700 | A-63868780 QC-CR#2043822 |
ПП | Средний | Аудио |
| CVE-2017-9722 | A-64453224 QC-CR#2034239 [2] |
ПП | Средний | Экран |
| CVE-2017-11049 | A-64728945 QC-CR#2034909 |
ПП | Средний | Экран |
| CVE-2017-11047 | A-64728948 QC-CR#2057285 |
ПП | Средний | Экран |
| CVE-2017-14898 | A-65468978 QC-CR#2054748 |
ПП | Средний | WLAN |
| CVE-2017-14899 | A-65468980 QC-CR#2054752 |
ПП | Средний | WLAN |
| CVE-2017-11044 | A-65468989 QC-CR#2063166 |
ПП | Средний | Графика |
| CVE-2017-11045 | A-65468993 QC-CR#2060377 [2] |
ПП | Средний | Камера |
| CVE-2017-14900 | A-65468983 QC-CR#2058468 |
ПП | Средний | WLAN |
| CVE-2017-9710 | A-63868933 QC-CR#2023883 |
ПП | Средний | Данные HLOS |
| CVE-2017-11019 | A-64453105 QC-CR#2030638 |
ПП | Средний | Экран |
| CVE-2017-11016 | A-64453423 QC-CR#2038685 |
ПП | Средний | Аудио |
| CVE-2017-11033 | A-64453422 QC-CR#2031930 [2] |
ПП | Средний | Ядро |
| CVE-2017-14896 | A-65468975 QC-CR#2013716 |
ПП | Средний | Драйвер GUD mobicore |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
РИ | Средний | Драйвер DCI |
| CVE-2017-14903 | A-63522505* QC-CR#2088768 |
РИ | Средний | WLAN |
| CVE-2017-11031 | A-64442463 QC-CR#2059181 |
РИ | Средний | Экран |
| CVE-2017-14905 | A-37719782 QC-CR#2061251 |
РИ | Средний | Беспроводная сеть |
Закрытые компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-14907 | A-62212113* | Н/Д | Критический | Закрытый компонент |
| CVE-2016-5341 | A-63983006* | Н/Д | Средний | Компонент с закрытым исходным кодом |
| CVE-2017-9709 | A-65944335* | Н/Д | Средний | Закрытый компонент |
| CVE-2017-15813 | A-63979947* | Н/Д | Средний | Закрытый компонент |
Улучшения функциональных возможностей
Поддерживаемые устройства Google получат обновление системы до Android 8.1 вместе с декабрьским автоматическим обновлением (OTA). В эту версию входят улучшения функциональных возможностей и исправления различных компонентов платформы Android.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении от 5 декабря 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-12-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. На что указывают записи в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 4 декабря 2017 г. | Бюллетень опубликован. |
| 1.1 | 5 декабря 2017 г. | Добавлена ссылка на образы встроенного ПО и информация об обновлениях функциональных возможностей. |
| 1.2 | 6 декабря 2017 г. | Добавлены ссылки на AOSP. |