Опубликовано 5 марта 2018 г. | Обновлено 7 марта 2018 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за март 2018 года, устранены в исправлении от 5 марта 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
Поддерживаемые устройства Google получат обновление системы безопасности 2018-03-05. Мы рекомендуем всем пользователям установить перечисленные здесь обновления.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2018 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также версии AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Дополнительные ссылки перечислены в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13263 | A-69383160 [2] | ПП | Средний | 8.0, 8.1 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13264 | A-70294343 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-13254 | A-70239507 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ОО | Высокий | 5.1.1, 6.0, 6.0.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-13265 | A-36232423 [2] [3] | ПП | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13268 | A-67058064 | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13269 | A-68818034 | РИ | Средний | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-5754 | A-69856074* | РИ | Высокий | Отображение файлов в память |
| CVE-2017-13270 | A-69474744* | ПП | Средний | Драйвер Mnh_sm |
| CVE-2017-13271 | A-69006799* | ПП | Средний | Драйвер Mnh_sm |
| CVE-2017-16527 | A-69051382 Upstream kernel |
ПП | Средний | USB-аудиодрайвер |
| CVE-2017-1564 | A-69160446 Upstream kernel [2] |
ПП | Средний | Сетевой драйвер |
| CVE-2017-1000111 | A-68806121 Upstream kernel |
ПП | Средний | Сетевой драйвер |
Компоненты NVIDIA
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6287 | A-64893264* N-CVE-2017-6287 |
РИ | Средний | Media Framework |
| CVE-2017-6285 | A-64893156* N-CVE-2017-6285 |
РИ | Средний | Media Framework |
| CVE-2017-6288 | A-65482562* N-CVE-2017-6288 |
РИ | Средний | Media Framework |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-18061 | A-70237701 QC-CR#2117246 |
ПП | Средний | Wil6210 |
| CVE-2017-18050 | A-70237697 QC-CR#2119443 |
ПП | Средний | Управление wma |
| CVE-2017-18054 | A-70237694 QC-CR#2119432 |
ПП | Средний | wma |
| CVE-2017-18055 | A-70237693 QC-CR#2119430 |
ПП | Средний | wma |
| CVE-2017-18065 | A-70237685 QC-CR#2113423 |
ПП | Средний | wma |
| CVE-2017-18066 | A-70235107 QC-CR#2107976 |
ПП | Средний | Драйвер питания |
| CVE-2017-18062 | A-68992451 QC-CR#2115375 |
ПП | Средний | wma |
| CVE-2018-3561 | A-68870904* QC-CR#2068569 |
ПП | Средний | Diagchar |
| CVE-2018-3560 | A-68664502* QC-CR#2142216 |
ПП | Средний | Аудиодрайвер Qdsp6v2 |
| CVE-2017-15834 | A-70237704 QC-CR#2111858 |
ПП | Средний | Diagchar |
| CVE-2017-15833 | A-70237702 QC-CR#2059835 |
ПП | Средний | Драйвер питания |
| CVE-2017-15831 | A-70237687 QC-CR#2114255 |
ПП | Средний | wma |
| CVE-2017-15830 | A-70237719 QC-CR#2120725 |
ПП | Средний | Драйвер sme |
| CVE-2017-14889 | A-70237700 QC-CR#2119803 |
ПП | Средний | WMA |
| CVE-2017-14887 | A-70237715 QC-CR#2119673 |
ПП | Средний | WLAN |
| CVE-2017-14879 | A-63851638* QC-CR#2056307 |
ПП | Средний | IPA |
| CVE-2017-11082 | A-66937387 QC-CR#2071560 |
ПП | Средний | WLAN |
| CVE-2017-11074 | A-68940798 QC-CR#2049138 |
ПП | Средний | WLAN |
| CVE-2017-18052 | A-70237712 QC-CR#2119439 |
РИ | Средний | WLAN |
| CVE-2017-18057 | A-70237709 QC-CR#2119403 |
РИ | Средний | WLAN |
| CVE-2017-18059 | A-70237708 QC-CR#2119399 |
РИ | Средний | WLAN |
| CVE-2017-18060 | A-70237707 QC-CR#2119394 |
РИ | Средний | WLAN |
| CVE-2017-18051 | A-70237696 QC-CR#2119442 |
РИ | Средний | WLAN |
| CVE-2017-18053 | A-70237695 QC-CR#2119434 |
РИ | Средний | WLAN |
| CVE-2017-18058 | A-70237690 QC-CR#2119401 |
РИ | Средний | WLAN |
| CVE-2017-15855 | A-38232131* QC-CR#2025367 |
РИ | Средний | Драйвер Camera_v2 |
| CVE-2017-15814 | A-64836865* QC-CR#2092793 |
РИ | Средний | Драйвер Camera_v2 |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный Интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-70491468 | Производительность | Улучшено включение экрана при разблокировке с помощью отпечатка пальца. | Pixel 2, Pixel 2 XL |
| A-69307875 | Аудио | Улучшено качество аудиозаписи при видеосъемке. | Pixel 2 XL |
| A-70641186 | Отчеты | Улучшены отчеты о сбоях. | Pixel 2, Pixel 2 XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении от 5 марта 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-03-05. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 марта 2018 г. | Бюллетень опубликован. |
| 1.1 | 7 марта 2018 г. | Добавлены ссылки на AOSP и обновлен ссылочный номер для уязвимости CVE-2017-15855. |