Biuletyn zabezpieczeń Pixel / Nexus — maj 2018 r

Opublikowano 7 maja 2018 | Zaktualizowano 9 maja 2018 r

Biuletyn Bezpieczeństwa Pixel / Nexus zawiera szczegółowe informacje na temat luk w zabezpieczeniach i ulepszeń funkcjonalnych wpływających na obsługiwane urządzenia Google Pixel i Nexus (urządzenia Google). W przypadku urządzeń Google poprawki zabezpieczeń z dnia 5 maja 2018 r. lub nowsze dotyczą wszystkich problemów opisanych w tym biuletynie oraz wszystkich problemów opisanych w Biuletynie zabezpieczeń Androida z maja 2018 r. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

Wszystkie obsługiwane urządzenia Google otrzymają aktualizację do poziomu poprawki 2018-05-05. Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Uwaga: obrazy oprogramowania sprzętowego urządzeń Google są dostępne w witrynie Google Developer .

Ogłoszenia

Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń Androida z maja 2018 r. urządzenia Pixel i Nexus zawierają także łaty usuwające luki w zabezpieczeniach opisane poniżej. Partnerzy zostali powiadomieni o tych problemach co najmniej miesiąc temu i mogą zdecydować się na uwzględnienie ich w ramach aktualizacji swoich urządzeń.

Poprawki bezpieczeństwa

Luki są pogrupowane według komponentu, na który wpływają. Znajduje się tam opis problemu i tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje Android Open Source Project (AOSP) (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Struktura

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-13316 A-73311729 ID Umiarkowany 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Ramy medialne

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-13317 A-73172046 ID Umiarkowany 8.1
CVE-2017-13318 A-73782357 ID Umiarkowany 8.1
CVE-2017-13319 A-71868329 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0, 6.0.1
CVE-2017-13320 A-72764648 ID Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1
DoS Wysoki 6.0, 6.0.1

System

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2017-13323 A-73826242 EoP Umiarkowany 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13321 A-70986337 ID Umiarkowany 8.0, 8.1
CVE-2017-13322 A-67862398 DoS Umiarkowany 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

Składniki jądra

CVE Bibliografia Typ Powaga Część
CVE-2018-5344 A-72867809
Jądro nadrzędne
EoP Umiarkowany Zablokuj sterownik
CVE-2017-15129 A-72961054
Jądro nadrzędne
EoP Umiarkowany Przestrzeń nazw sieci

Komponenty NVIDIA

CVE Bibliografia Typ Powaga Część
CVE-2018-6254 A-64340684 * ID Umiarkowany Serwer mediów
CVE-2018-6246 A-69383916 * ID Umiarkowany Zaufanie Widevine

Komponenty Qualcomma

CVE Bibliografia Typ Powaga Część
CVE-2018-5849 A-72957611
QC-CR#2131811
EoP Umiarkowany QTEECOM
CVE-2018-5851 A-72957505
QC-CR#2146869 [ 2 ]
EoP Umiarkowany WLAN
CVE-2018-5842 A-72957257
QC-CR#2113219 [ 2 ]
EoP Umiarkowany WLAN
CVE-2018-5848 A-72957178
QC-CR#2126062
EoP Umiarkowany WIGIG
CVE-2018-5853 A-71714212 *
QC-CR#2178082
QC-CR#2043277
EoP Umiarkowany Podsystem sieciowy
CVE-2018-5843 A-71501685
QC-CR#2113385
EoP Umiarkowany Sterownik modemu
CVE-2018-5844 A-71501682
QC-CR#2118860
EoP Umiarkowany Urządzenie wideo
CVE-2018-5847 A-71501681
QC-CR#2120955
EoP Umiarkowany Silnik wyświetlacza Snapdragon
CVE-2018-3582 A-72956801
QC-CR#2149531
EoP Umiarkowany WLAN
CVE-2018-3581 A-72957725
QC-CR#2150359 [ 2 ]
EoP Umiarkowany WLAN
CVE-2018-3576 A-72957337
QC-CR#2128512
EoP Umiarkowany WLAN
CVE-2018-3572 A-72957724
QC-CR#2145996 [ 2 ]
EoP Umiarkowany Audio
CVE-2018-3571 A-72957527
QC-CR#2132332
EoP Umiarkowany Kgsl
CVE-2017-18153 A-35470735 *
QC-CR#2021363
EoP Umiarkowany Qcacld-2.0
CVE-2017-18070 A-72441280
QC-CR#2114348
EoP Umiarkowany WLAN
CVE-2017-15857 A-65122765 *
QC-CR#2111672
QC-CR#2152401
QC-CR#2152399
QC-CR#2153841
EoP Umiarkowany Kamera
CVE-2017-15854 A-71501688
QC-CR#2114396
EoP Umiarkowany WLAN
CVE-2017-15843 A-72956941
QC-CR#2032076 [ 2 ]
EoP Umiarkowany Sterownik Floor_vote
CVE-2017-15842 A-72957040
QC-CR#2123291 [ 2 ]
EoP Umiarkowany Qdsp6v2
CVE-2017-15832 A-70237689
QC-CR#2114756
EoP Umiarkowany WLAN
CVE-2018-5852 A-70242505 *
QC-CR#2169379
ID Umiarkowany Kierowca Ipa
CVE-2018-3579 A-72957564
QC-CR#2149720
ID Umiarkowany WLAN

Funkcjonalne poprawki

Te aktualizacje są dostępne dla urządzeń Pixel, których dotyczy problem, i rozwiązują problemy z funkcjonalnością niezwiązane z bezpieczeństwem urządzeń Pixel. Tabela zawiera powiązane odniesienia; kategoria, której to dotyczy, np. Bluetooth lub mobilna transmisja danych; ulepszenia; i dotkniętych urządzeń.

Bibliografia Kategoria Ulepszenia Urządzenia
A-68840121 Wydajność Ulepsz wykrywanie wielodotyku Wszystko
A-72851087 Moc Dostosuj sposób ładowania Pixela XL Piksel XL

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Poziomy poprawek zabezpieczeń z dnia 2018-05-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2018-05-05 i wszystkimi poprzednimi poziomami poprawek. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zapoznaj się z instrukcjami w harmonogramie aktualizacji Pixela i Nexusa .

2. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

4. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel/Nexus dostępnych w witrynie Google Developer .

5. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i Biuletyny bezpieczeństwa Androida?

Aby móc zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z systemem Android, wymagane są luki w zabezpieczeniach udokumentowane w Biuletynach bezpieczeństwa systemu Android. Dodatkowe luki w zabezpieczeniach, takie jak te udokumentowane w tym biuletynie, nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń.

Wersje

Wersja Data Notatki
1,0 7 maja 2018 r Biuletyn opublikowany.
1.1 9 maja 2018 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP.