עלון אבטחה Pixel / Nexus - ינואר 2018

פורסם ב-2 בינואר 2018 | עודכן ב-29 בינואר 2018

עלון האבטחה של Pixel / Nexus מכיל פרטים על פרצות אבטחה ושיפורים תפקודיים המשפיעים על מכשירי Google Pixel ו-Nexus נתמכים (מכשירי Google). עבור מכשירי Google, רמות תיקון האבטחה של 2018-01-05 ואילך מטפלות בכל הבעיות בעלון זה ובכל הבעיות בעלון האבטחה של Android בינואר 2018 . כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר, ראה בדוק ועדכן את גרסת Android שלך .

כל מכשירי Google הנתמכים יקבלו עדכון לרמת התיקון של 2018-01-05. אנו מעודדים את כל הלקוחות לקבל עדכונים אלה למכשירים שלהם.

הערה: תמונות הקושחה של מכשיר Google זמינות באתר Google Developer .

הכרזות

בנוסף לפרצות האבטחה המתוארות בעלון האבטחה של Android בינואר 2018 , מכשירי Pixel ו-Nexus מכילים גם תיקונים עבור פרצות האבטחה המתוארות להלן. שותפים קיבלו הודעה על בעיות אלו לפחות לפני חודש ועשויים לבחור לשלב אותם כחלק מעדכון המכשירים שלהם.

תיקוני אבטחה

פגיעויות מקובצות תחת הרכיב שעליו הן משפיעות. יש תיאור של הבעיה וטבלה עם ה-CVE, הפניות משויכות, סוג הפגיעות , החומרה וגרסאות מעודכנות של Android Open Source Project (AOSP) (כאשר רלוונטי). כאשר זמין, אנו מקשרים את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג בודד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.

מִסגֶרֶת

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2017-0846 A-64934810 [ 2 ] תְעוּדַת זֶהוּת לְמַתֵן 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

מסגרת מדיה

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2017-13201 A-63982768 תְעוּדַת זֶהוּת לְמַתֵן 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13202 א-67647856 תְעוּדַת זֶהוּת לְמַתֵן 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13206 A-65025048 תְעוּדַת זֶהוּת לְמַתֵן 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13207 א-37564426 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13185 A-65123471 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0
DoS גָבוֹהַ 5.1.1, 6.0, 6.0.1
CVE-2017-13187 A-65034175 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 5.1.1, 6.0, 6.0.1
CVE-2017-13188 A-65280786 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 5.1.1, 6.0, 6.0.1
CVE-2017-13203 A-63122634 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 6.0, 6.0.1
CVE-2017-13204 A-64380237 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 6.0, 6.0.1
CVE-2017-13205 A-64550583 תְעוּדַת זֶהוּת לְמַתֵן 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 6.0, 6.0.1
CVE-2017-13200 A-63100526 תְעוּדַת זֶהוּת נָמוּך 7.0, 7.1.1, 7.1.2, 8.0, 8.1
תְעוּדַת זֶהוּת לְמַתֵן 5.1.1, 6.0, 6.0.1
CVE-2017-13186 א-65735716 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 6.0, 6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 5.1.1, 6.0, 6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS גָבוֹהַ 5.1.1, 6.0, 6.0.1

מערכת

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2017-13212 A-62187985 EoP לְמַתֵן 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

רכיבי ברודקום

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-13213 A-63374465 *
B-V2017081501
EoP לְמַתֵן מנהל התקן Bcmdhd

רכיבי HTC

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-11072 A-65468991 * EoP לְמַתֵן עדכון טבלת מחיצות

רכיבי ליבה

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-13219 A-62800865 * DoS לְמַתֵן בקר מסך מגע Synaptics
CVE-2017-13220 A-63527053 * EoP לְמַתֵן BlueZ
CVE-2017-13221 A-64709938 * EoP לְמַתֵן נהג Wifi
CVE-2017-11473 A-64253928
גרעין במעלה הזרם
EoP לְמַתֵן גַרעִין
CVE-2017-13222 A-38159576 * תְעוּדַת זֶהוּת לְמַתֵן גַרעִין
CVE-2017-14140 A-65468230
גרעין במעלה הזרם
תְעוּדַת זֶהוּת לְמַתֵן גַרעִין
CVE-2017-15537 A-68805943
גרעין במעלה הזרם
תְעוּדַת זֶהוּת לְמַתֵן גַרעִין

רכיבי MediaTek

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-13225 A-38308024 *
M-ALPS03495789
EoP גָבוֹהַ MTK Media
CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-13226 A-32591194 *
M-ALPS03149184
EoP לְמַתֵן MTK

רכיבי קוואלקום

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP לְמַתֵן מנהל התקן SOC
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP לְמַתֵן מנהל התקן SOC
CVE-2017-15848 א-67713083
QC-CR#2073777
EoP לְמַתֵן נהג
CVE-2017-11081 א-67713113
QC-CR#2077622
EoP לְמַתֵן WLan
CVE-2017-15845 א-67713111
QC-CR#2072966
EoP לְמַתֵן WLan
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2 ]
EoP לְמַתֵן מנהל התקן גרפי
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP לְמַתֵן דרייבר אלחוטי
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP לְמַתֵן טוען אתחול
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP לְמַתֵן מנהל התקן HDMI
CVE-2017-14879 A-63890276 *
QC-CR#2056307
EoP לְמַתֵן דרייבר IPA
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP לְמַתֵן טוען אתחול
CVE-2017-14869 A-67713093
QC-CR#2061498
תְעוּדַת זֶהוּת לְמַתֵן טוען אתחול
CVE-2017-11066 A-65468971
QC-CR#2068506
תְעוּדַת זֶהוּת לְמַתֵן טוען אתחול
CVE-2017-15850 A-62464339 *
QC-CR#2113240
תְעוּדַת זֶהוּת לְמַתֵן מנהל התקן מיקרופון
CVE-2017-9712 A-63868883
QC-CR#2033195
תְעוּדַת זֶהוּת לְמַתֵן דרייבר אלחוטי
CVE-2017-11079 A-67713100
QC-CR#2078342
תְעוּדַת זֶהוּת לְמַתֵן טוען אתחול
CVE-2017-14870 A-67713096
QC-CR#2061506
תְעוּדַת זֶהוּת לְמַתֵן טוען אתחול
CVE-2017-11079 A-66937383
QC-CR#2078342
תְעוּדַת זֶהוּת לְמַתֵן טוען אתחול

עדכונים פונקציונליים

עדכונים אלה כלולים עבור מכשירי Pixel מושפעים כדי לטפל בבעיות פונקציונליות שאינן קשורות לאבטחת מכשירי Pixel. הטבלה כוללת הפניות משויכות; הקטגוריה המושפעת, כגון Bluetooth או נתונים ניידים; ושיפורים.

הפניות קטגוריה שיפורים
A-68810306 מאגר מפתחות טיפול מותאם בשדרוגי מפתחות בחנות המפתחות.
A-70213235 יַצִיבוּת שפר את היציבות והביצועים לאחר התקנת OTA.

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

רמות תיקון האבטחה של 2018-01-05 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה של 2018-01-05 ולכל רמות התיקון הקודמות. כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר, קרא את ההוראות בלוח הזמנים של עדכוני Pixel ו-Nexus .

2. מה המשמעות של הערכים בעמודה סוג ?

ערכים בעמודה סוג של טבלת פרטי הפגיעות מתייחסים לסיווג של פגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP העלאת הפריבילגיה
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
לא סיווג אינו זמין

3. מה המשמעות של הערכים בעמודת הפניות ?

ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה.

קידומת התייחסות
א- מזהה באג אנדרואיד
QC- מספר סימוכין של קוואלקום
M- מספר סימוכין של MediaTek
נ- מספר סימוכין של NVIDIA
ב- מספר סימוכין של Broadcom

4. מה המשמעות של * ליד מזהה באג אנדרואיד בעמודה הפניות ?

לבעיות שאינן זמינות לציבור יש * ליד מזהה הבאג של Android בעמודה הפניות . העדכון עבור בעיה זו כלול בדרך כלל במנהלי ההתקן הבינאריים העדכניים ביותר עבור מכשירי Nexus הזמינים מאתר Google Developer .

5. מדוע פרצות אבטחה מתחלקות בין עלון זה לבין עלוני האבטחה של Android?

פרצות אבטחה המתועדות בעלוני האבטחה של אנדרואיד נדרשות כדי להצהיר על רמת תיקון האבטחה העדכנית ביותר במכשירי אנדרואיד. פרצות אבטחה נוספות, כגון אלו המתועדות בעלון זה, אינן נדרשות להכרזה על רמת תיקון אבטחה.

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 2 בינואר 2018 פורסם עלון.
1.1 5 בינואר 2018 העלון תוקן כך שיכלול קישורי AOSP.
1.2 29 בינואר 2018 נוסף CVE-2017-13225.