Biuletyn zabezpieczeń Pixel / Nexus — grudzień 2017 r

Opublikowano 4 grudnia 2017 | Zaktualizowano 6 grudnia 2017 r

Biuletyn Bezpieczeństwa Pixel / Nexus zawiera szczegółowe informacje na temat luk w zabezpieczeniach i ulepszeń funkcjonalnych wpływających na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poprawki zabezpieczeń z wersji 2017-12-05 lub nowszej rozwiązują wszystkie problemy opisane w tym biuletynie. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki 2017-12-05. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Uwaga: obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .

Ogłoszenia

Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń Androida z grudnia 2017 r . urządzenia Pixel i Nexus zawierają także poprawki usuwające luki w zabezpieczeniach opisane poniżej. Partnerzy zostali powiadomieni o tych problemach co najmniej miesiąc temu i mogą zdecydować się na uwzględnienie ich w ramach aktualizacji swoich urządzeń.

Poprawki bezpieczeństwa

Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu i tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje Android Open Source Project (AOSP) (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Ramy medialne

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-13154 A-63666573 EoP Wysoki 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0879 A-65025028 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 5.1.1, 6.0, 6.0.1
CVE-2017-13149 A-65719872 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 5.1.1, 6.0, 6.0.1
CVE-2017-13150 A-38328132 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0
DoS Wysoki 6.0, 6.0.1
CVE-2017-13152 A-62872384 ID Umiarkowany 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

Komponenty firmy Broadcom

CVE Bibliografia Typ Powaga Część
CVE-2017-13161 A-63930471 *
BC-V2017092501
EoP Umiarkowany nieokreślony

Składniki jądra

CVE Bibliografia Typ Powaga Część
CVE-2017-13167 A-37240993 * EoP Wysoki Timer dźwiękowy
CVE-2017-13163 A-37429972 * EoP Umiarkowany Sterownik USB MTP
CVE-2017-15868 A-33982955
Jądro nadrzędne
EoP Umiarkowany Sterownik bezprzewodowy
CVE-2017-13165 A-31269937 * EoP Umiarkowany System plików
CVE-2017-13166 A-34624167 * EoP Umiarkowany Sterownik wideo V4L2
CVE-2017-1000380 A-64217740
Jądro nadrzędne
EoP Umiarkowany Sterownik timera dźwięku
CVE-2017-13168 A-65023233 * EoP Umiarkowany Sterownik SCSI
CVE-2017-13169 A-37512375 * ID Umiarkowany Serwer kamery
CVE-2017-13164 A-36007193 * ID Umiarkowany Sterownik segregatora

Komponenty MediaTeka

CVE Bibliografia Typ Powaga Część
CVE-2017-13172 A-36493287 *
M-ALPS03495791
EoP Umiarkowany Sterownik Bluetooth

Komponenty NVIDIA

CVE Bibliografia Typ Powaga Część
CVE-2017-6280 A-63851980 *
N-CVE-2017-6280
ID Umiarkowany Sterownik NVIDIA
CVE-2017-13175 A-64339309 *
N-CVE-2017-13175
ID Umiarkowany Libwilhelma

Komponenty Qualcomma

CVE Bibliografia Typ Powaga Część
CVE-2017-9708 A-62674846 *
QC-CR#2081806
EoP Umiarkowany Jądro
CVE-2017-11042 A-38232268 *
QC-CR#2070438
EoP Umiarkowany Spoiwo
CVE-2017-11030 A-64431967
QC-CR#2034255 [ 2 ]
EoP Umiarkowany Wyświetlacz
CVE-2017-9703 A-34329758 *
QC-CR#2038086
EoP Umiarkowany Sterownik wideo
CVE-2017-9718 A-36386076 *
QC-CR#2045918
EoP Umiarkowany Jądro
CVE-2017-8244 A-35138888 *
QC-CR#2013361
EoP Umiarkowany Debuguje sterownik
CVE-2017-14901 A-65468984
QC-CR#2059714
EoP Umiarkowany WLAN
CVE-2017-9698 A-63868678
QC-CR#2023860
EoP Umiarkowany Grafika
CVE-2017-9700 A-63868780
QC-CR#2043822
EoP Umiarkowany Audio
CVE-2017-9722 A-64453224
QC-CR#2034239 [ 2 ]
EoP Umiarkowany Wyświetlacz
CVE-2017-11049 A-64728945
QC-CR#2034909
EoP Umiarkowany Wyświetlacz
CVE-2017-11047 A-64728948
QC-CR#2057285
EoP Umiarkowany Wyświetlacz
CVE-2017-14898 A-65468978
QC-CR#2054748
EoP Umiarkowany WLAN
CVE-2017-14899 A-65468980
QC-CR#2054752
EoP Umiarkowany WLAN
CVE-2017-11044 A-65468989
QC-CR#2063166
EoP Umiarkowany Grafika
CVE-2017-11045 A-65468993
QC-CR#2060377 [ 2 ]
EoP Umiarkowany Kamera
CVE-2017-14900 A-65468983
QC-CR#2058468
EoP Umiarkowany WLAN
CVE-2017-9710 A-63868933
QC-CR#2023883
EoP Umiarkowany Dane HLOS
CVE-2017-11019 A-64453105
QC-CR#2030638
EoP Umiarkowany Wyświetlacz
CVE-2017-11016 A-64453423
QC-CR#2038685
EoP Umiarkowany Audio
CVE-2017-11033 A-64453422
QC-CR#2031930 [ 2 ]
EoP Umiarkowany Jądro
CVE-2017-14896 A-65468975
QC-CR#2013716
EoP Umiarkowany Sterownik mobicore GUD
CVE-2017-8281 A-62378232
QC-CR#2015892
ID Umiarkowany Sterownik DCI
CVE-2017-14903 A-63522505 *
QC-CR#2088768
ID Umiarkowany WLAN
CVE-2017-11031 A-64442463
QC-CR#2059181
ID Umiarkowany Wyświetlacz
CVE-2017-14905 A-37719782
QC-CR#2061251
ID Umiarkowany Sieci bezprzewodowe

Komponenty Qualcomm o zamkniętym kodzie źródłowym

CVE Bibliografia Typ Powaga Część
CVE-2017-14907 A-62212113 * Nie dotyczy Krytyczny Komponent o zamkniętym źródle
CVE-2016-5341 A-63983006 * Nie dotyczy Umiarkowany Komponent o zamkniętym źródle
CVE-2017-9709 A-65944335 * Nie dotyczy Umiarkowany Komponent o zamkniętym źródle
CVE-2017-15813 A-63979947 * Nie dotyczy Umiarkowany Komponent o zamkniętym źródle

Aktualizacje funkcjonalne

Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do Androida 8.1 w ramach grudniowej OTA. Android 8.1 zawiera wiele aktualizacji funkcjonalnych i ulepszeń różnych części platformy Android.

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z dnia 2017-12-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2017-12-05 i wszystkimi poprzednimi poziomami poprawek. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

2. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

4. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Nexus dostępnych w witrynie Google Developer .

5. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i Biuletyny bezpieczeństwa Androida?

Aby móc zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z systemem Android, wymagane są luki w zabezpieczeniach udokumentowane w Biuletynach bezpieczeństwa systemu Android. Dodatkowe luki w zabezpieczeniach, takie jak te udokumentowane w tym biuletynie, nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń.

Wersje

Wersja Data Notatki
1,0 4 grudnia 2017 r Biuletyn opublikowany.
1.1 5 grudnia 2017 r Zaktualizowano biuletyn zawierający łącza do obrazów oprogramowania sprzętowego i szczegółowe informacje na temat aktualizacji funkcjonalnych.
1.2 6 grudnia 2017 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP.