Опубликован 6 ноября 2017 г. | Обновлен 8 ноября 2017 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel и Nexus (устройств Google). Все проблемы, перечисленные здесь, устранены в исправлении системы безопасности 2017-11-05 или более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Исправление системы безопасности 2017-11-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Примечание. Образы встроенного ПО для устройств Google можно найти на сайте Google Developers.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за ноябрь 2017 года, обновления для устройств Pixel и Nexus содержат также исправления проблем, перечисленных ниже. Мы сообщили партнерам об этих проблемах по крайней мере месяц назад. Они могут включить их исправления в свои обновления безопасности.
Исправления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0845 | A-35028827 | DoS | Средний | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0838 | A-63522818 | EoP | Высокий | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0852 | A-62815506 | DoS | Высокий | 5.0.2, 5.1.1, 6.0 |
| CVE-2017-0847 | A-65540999 | EoP | Средний | 8.0 |
| CVE-2017-0848 | A-64477217 | ID | Средний | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0849 | A-62688399 | ID | Средний | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0850 | A-64836941* | ID | Средний | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0851 | A-35430570 | ID | Средний | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0853 | A-63121644 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-0854 | A-63873837 | ID | Средний | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-0857 | A-65122447 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-0858 | A-64836894 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | Высокий | 6.0, 6.0.1 | ||
| CVE-2017-0859 | A-36075131* | NSI | NSI | 7.0, 7.1.1, 7.1.2 |
| DoS | Высокий | 6.0, 6.0.1 |
Runtime
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2016-2105 | A-63710022* | RCE | Средний | 5.0.2, 5.1.1 |
| CVE-2016-2106 | A-63709511* | RCE | Средний | 5.0.2, 5.1.1 |
| CVE-2017-3731 | A-63710076* | ID | Средний | 5.0.2, 5.1.1 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2017-0860 | A-31097064 | EoP | Средний | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-6001 | A-37901413 Upstream kernel |
EoP | Средний | Основное ядро |
| CVE-2017-0861 | A-36006981* | EoP | Средний | Аудиодрайвер |
| CVE-2017-0862 | A-36006779* | EoP | Средний | Ядро |
| CVE-2017-11600 | A-64257838 Upstream kernel |
EoP | Средний | Сетевая подсистема |
| CVE-2017-0863 | A-37950620* | EoP | Средний | Видеодрайвер |
Компоненты MediaTek
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0864 | A-37277147* M-ALPS03394571 |
EoP | Средний | Вызов ioctl (вспышка) |
| CVE-2017-0865 | A-65025090* M-ALPS02973195 |
EoP | Средний | Драйвер процессора |
Компоненты NVIDIA
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-0866 | A-38415808* N-CVE-2017-0866 |
EoP | Средний | Инфраструктура прямой визуализации |
| CVE-2017-6274 | A-34705801* N-CVE-2017-6274 |
EoP | Средний | Драйвер температурного датчика |
| CVE-2017-6275 | A-34702397* N-CVE-2017-6275 |
ID | Средний | Драйвер температурного датчика |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-11073 | A-62084791* QC-CR#2064767 |
EoP | Средний | Сетевая подсистема |
| CVE-2017-11035 | A-64431968 QC-CR#2055659 [2] |
EoP | Средний | WLAN |
| CVE-2017-11012 | A-64455446 QC-CR#2054760 |
EoP | Средний | WLAN |
| CVE-2017-11085 | A-62952032* QC-CR#2077909 |
EoP | Средний | Аудио |
| CVE-2017-11091 | A-37478866* QC-CR#2064235 |
EoP | Средний | Видеодрайвер |
| CVE-2017-11026 | A-64453104 QC-CR#1021460 |
EoP | Средний | Загрузчик Linux |
| CVE-2017-11038 | A-35888677* QC-CR#2034087 |
EoP | Средний | Подсистема памяти |
| CVE-2017-11032 | A-64431966 QC-CR#1051435 |
EoP | Средний | Ядро Linux |
| CVE-2017-9719 | A-64438726 QC-CR#2042697 [2] |
EoP | Средний | Экран |
| CVE-2017-11024 | A-64441352 QC-CR#2031178 |
EoP | Средний | Проводное подключение |
| CVE-2017-11025 | A-64440043 QC-CR#2013494 |
EoP | Средний | Аудио |
| CVE-2017-11023 | A-64434485 QC-CR#2029216 |
EoP | Средний | Сервисы |
| CVE-2017-11029 | A-64433362 QC-CR#2025367 [2] |
EoP | Средний | Камера |
| CVE-2017-11018 | A-64441628 QC-CR#897844 |
EoP | Средний | Камера |
| CVE-2017-9721 | A-64441353 QC-CR#2039552 |
EoP | Средний | Экран |
| CVE-2017-9702 | A-36492827* QC-CR#2037398 |
EoP | Средний | Камера |
| CVE-2017-11089 | A-36819059* QC-CR#2055013 |
ID | Средний | WLAN |
| CVE-2017-8239 | A-36251230* QC-CR#1091603 |
ID | Средний | Камера |
| CVE-2017-11090 | A-36818836* QC-CR#2061676 |
ID | Средний | WLAN |
| CVE-2017-11093 | A-37625232* QC-CR#2077623 |
ID | Средний | HDMI |
| CVE-2017-8279 | A-62378962 QC-CR#2015227 |
ID | Средний | Сервисы |
| CVE-2017-9696 | A-36232584* QC-CR#2029867 |
ID | Средний | Ядро |
| CVE-2017-11058 | A-37718081 QC-CR#2061251 |
ID | Средний | WLAN |
| CVE-2017-11022 | A-64440918 QC-CR#1086582 [2] |
ID | Средний | WLAN |
| CVE-2017-9701 | A-63868730 QC-CR#2038992 |
ID | Средний | Загрузчик Linux |
| CVE-2017-11027 | A-64453534 QC-CR#2055630 |
ID | Средний | Загрузчик Linux |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Pixel. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения.
| Ссылки | Категория | Описание |
|---|---|---|
| A-65225835 | Аудио | Изменен порог предупреждения о высокой громкости для некоторых регионов. |
| A-37943083 | Bluetooth | Внесены улучшения, касающиеся только устройств Bluetooth с поддержкой AVRCP 1.3. |
| A-63790458 | Bluetooth | Улучшена связь при подключении гарнитуры. |
| A-64142363 | Bluetooth | Улучшен показ сведений о треке на некоторых Bluetooth-комплектах громкой связи для автомобилей. |
| A-64991621 | Bluetooth | Улучшены метаданные на некоторых комплектах громкой связи для автомобилей. |
| A-65223508 | Bluetooth | Улучшено Bluetooth-подключение в некоторых комплектах громкой связи для автомобилей. |
| A-65463237 | Bluetooth | Улучшена функция "Мгновенная точка доступа" при применении технологии BLE. |
| A-64977836 | Камера | Улучшен автофокус при записи видео. |
| A-65099590 | Камера | Повышена скорость реакции фронтальной камеры. |
| A-68159303 | Экран | Внесены изменения в настройки цветового режима экрана. |
| A-68254840 | Экран | Внесены изменения в настройки яркости экрана. |
| A-68279369 | Экран | Внесены изменения в яркость панели навигации. |
| A-64103722 | Мобильный Интернет | Исправлено переключение YouTube с мобильного интернета на Wi-Fi. |
| A-65113738 | Мобильный Интернет | Внесены исправления в настройки мобильного Интернета для сети Three (оператор связи в Великобритании). |
| A-37187694 | Стабильность | Повышена стабильность приложений. |
| A-67959484 | Стабильность | Улучшено качество звонков. |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
В исправлении 2017-11-05 или более новых устранены все проблемы, соответствующие исправлению системы безопасности 2017-11-05 и всем предыдущим исправлениям. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Nexus, которые можно скачать на сайте Google Developers.
5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 6 ноября 2017 г. | Бюллетень опубликован. |
| 1.1 | 8 ноября 2017 г. | Добавлены ссылки на AOSP и дополнительная информация об улучшениях функциональных возможностей. |