| <html devsite><head> |
| <title>Бюллетень по безопасности Android – сентябрь 2018 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2018 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| //www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>Опубликовано 4 сентября 2018 г. | Обновлено 5 сентября 2018 г.</em></p> |
| |
| <p> |
| В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 сентября 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705" class="external">Справочном центре</a>. |
| </p> |
| <p> |
| Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). |
| В бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| <p> |
| Самая серьезная из проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. |
| </p> |
| <p> |
| У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/">платформа безопасности</a> и Google Play Защита помогают снизить вероятность атак на Android. |
| </p> |
| <p class="note"> |
| <strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google содержится в <a href="/security/bulletin/pixel/2018-09-01">бюллетене по безопасности Pixel и Nexus</a> за сентябрь 2018 года. |
| </p> |
| |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p> |
| Ниже рассказывается, как <a href="/security/enhancements/">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect" class="external">Google Play Защита</a>, позволяют снизить вероятность атак на Android. |
| </p> |
| <ul> |
| <li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, с помощью <a href="https://www.android.com/play-protect" class="external">Google Play Защиты</a> активно отслеживает злоупотребления и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех телефонах и планшетах, использующих <a href="http://www.android.com/gms" class="external">сервисы Google для мобильных устройств</a>. Она особенно важна, если устанавливается ПО из сторонних источников.</li> |
| </ul> |
| <h2 id="2018-09-01-details">Описание уязвимостей (обновление системы безопасности 2018-09-01)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-09-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица, где указаны CVE, ссылки, <a href="#type">тип уязвимости</a>, <a href="/security/overview/updates-resources.html#severity">уровень серьезности</a>, а также версии AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках. |
| </p> |
| |
| <h3 id="android-runtime">Android Runtime</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте приложения, которое использует библиотеку, с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-9466</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/b730f8d3c15da4ac439f1184bf17a13021963ea9" class="external">A-62151041</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9467</td> |
| <td><a href="https://android.googlesource.com/platform/libcore/+/518e8d27de9f32eb86bc3090ee2759ea93b9fb93" class="external">A-110955991</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="framework">Framework</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте непривилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-9469</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/623b2b604c4ffcd48f137379d6934537510665bf" class="external">A-109824443</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.1.1, 7.1.2, 8.0, 8.1, 9</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9470</td> |
| <td><a href="https://android.googlesource.com/platform/external/neven/+/86a561f79f97baa38e240f6296fe1192fa4a5c9c" class="external">A-78290481</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9471</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/eabaff1c7f02906e568997bdd7dc43006655387e" class="external">A-77599679</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="library">Библиотека</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте приложения, которое использует библиотеку, с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-9472</td> |
| <td><a href="https://android.googlesource.com/platform/external/libxml2/+/b730f8d3c15da4ac439f1184bf17a13021963ea9" class="external">A-79662501</a></td> |
| <td>УВК</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-9474</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/586b9102f322731d604e6280143e16cb6f1c9f76" class="external">A-77600398</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9440</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/8033f4a227e03f97a0f1d9975dc24bcb4ca61f74" class="external">A-77823362</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/2870acaa4c58cf59758a74b6390615a421f14268" class="external">2</a>]</td> |
| <td>ОО</td> |
| <td>Средний</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="system">Система</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику, в руки которого попало устройство, обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-9475</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/43cd528a444d0cc5bbf3beb22cd583289bcf7334" class="external">A-79266386</a></td> |
| <td>ПП</td> |
| <td>Критический</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9478</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/68688194eade113ad31687a730e8d4102ada58d5" class="external">A-79217522</a></td> |
| <td>ПП</td> |
| <td>Критический</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9479</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/68688194eade113ad31687a730e8d4102ada58d5" class="external">A-79217770</a></td> |
| <td>ПП</td> |
| <td>Критический</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9456</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/04be7ae5771ee1edc6cbe2af26998755d7be5a68" class="external">A-78136869</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9477</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/3eec10e4a8daf8f07127341fbc45bef539c8d790" class="external">A-92497653</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9480</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/75c22982624fb530bc1d57aba6c1e46e7881d6ba" class="external">A-109757168</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1, 9</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9481</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/75c22982624fb530bc1d57aba6c1e46e7881d6ba" class="external">A-109757435</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1, 9</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9482</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/75c22982624fb530bc1d57aba6c1e46e7881d6ba" class="external">A-109757986</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1, 9</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9483</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/d3689fb0ddcdede16c13250a7a30ca76b113c9c1" class="external">A-110216173</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9484</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/d5b44f6522c3294d6f5fd71bc6670f625f716460" class="external">A-79488381</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9485</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/bdbabb2ca4ebb4dc5971d3d42cb12f8048e23a23" class="external">A-80261585</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9486</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/bc6aef4f29387d07e0c638c9db810c6c1193f75b" class="external">A-80493272</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9487</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/cf6784bfbf713aaa54d8da77e9481b3f02784246" class="external">A-69873852</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1, 9</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-9488</td> |
| <td><a href="https://android.googlesource.com/platform/system/sepolicy/+/d4e094e2b1a47c1fea1799d9fade19e953a7ca1b" class="external">A-110107376</a></td> |
| <td>ПП</td> |
| <td>Средний</td> |
| <td>8.0, 8.1, 9.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2018-09-05-details">Описание уязвимостей (обновление системы безопасности 2018-09-05)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-09-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица, где указаны CVE, ссылки, <a href="#type">тип уязвимости</a>, <a href="/security/overview/updates-resources.html#severity">уровень серьезности</a>, а также версии AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Дополнительные ссылки перечислены в квадратных скобках. |
| </p> |
| |
| <h3 id="framework">Framework</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО обходить защиту ОС, обеспечивающую раздельное хранение данных приложений.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-9468</td> |
| <td><a href="https://android.googlesource.com/platform/packages/providers/DownloadProvider/+/544294737dfc3b585465302f1f784a311659a37c#" class="external">A-111084083</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="kernel-components">Компоненты ядра</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику удаленно получать доступ к данным, открытым только для установленных на устройстве приложений, которые обладают необходимыми разрешениями.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-5754</td> |
| <td>A-69856074<a href="#asterisk">*</a><br /> |
| Upstream kernel</td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Память ядра</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-components">Компоненты Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm APSS или оповещениях системы безопасности. Партнеры Android могут перейти на портал CreatePoint и проверить, присутствуют ли на их устройствах перечисленные проблемы. Уровень серьезности уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2018-11816</td> |
| <td>A-63527106 <br /> |
| QC-CR#2119840<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Видео</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11261</td> |
| <td>A-64340487 <br /> |
| QC-CR#2119840<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Видео</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11836</td> |
| <td>A-111128620 <br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-3.0/commit/?id=9d703c0815b2b260592bc8b91d907aeef7962eb7">QC-CR#2214158</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Хост WLAN</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11842</td> |
| <td>A-111124974 <br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-3.0/commit/?id=5eea70b9d5852e468467c1565927dbe0c76d8674">QC-CR#2216741</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Хост WLAN</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11898</td> |
| <td>A-111128799 <br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-3.0/commit/?id=dc657f502adb3038784b7488d2f183ed31b6aac3">QC-CR#2233036</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Хост WLAN</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-15825</td> |
| <td>A-68992460 <br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=252e22c9adb9b59c36e59e00d8b43013facec4d6">QC-CR#2096455</a></td> |
| <td>Н/Д</td> |
| <td>Средний</td> |
| <td>Загрузчик</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11270</td> |
| <td>A-109741697 <br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=d475e1aba3f8be3b135199014549ff9d5c315e1d">QC-CR#2205728</a></td> |
| <td>Н/Д</td> |
| <td>Средний</td> |
| <td>Проводное подключение</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-closed-source-components">Компоненты Qualcomm с закрытым исходным кодом</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm AMSS или оповещениях системы безопасности. Партнеры Android могут перейти на портал CreatePoint и проверить, присутствуют ли на их устройствах перечисленные проблемы. Уровень серьезности уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <table> |
| <colgroup><col width="21%" /> |
| <col width="21%" /> |
| <col width="14%" /> |
| <col width="14%" /> |
| <col width="30%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2016-10394</td> |
| <td>A-68326803<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-18314</td> |
| <td>A-62213176<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-18311</td> |
| <td>A-73539234<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11950</td> |
| <td>A-72950814<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-5866</td> |
| <td>A-77484228<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11824</td> |
| <td>A-111090697<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-10408</td> |
| <td>A-68326811<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-18313</td> |
| <td>A-78240387<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-18312</td> |
| <td>A-78239234<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-18124</td> |
| <td>A-68326819<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-3588</td> |
| <td>A-71501117<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11951</td> |
| <td>A-72950958<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11952</td> |
| <td>A-74236425<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-5871</td> |
| <td>A-77484229<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-5914</td> |
| <td>A-79419793<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11288</td> |
| <td>A-109677940<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11285</td> |
| <td>A-109677982<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11290</td> |
| <td>A-109677964<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11292</td> |
| <td>A-109678202<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11287</td> |
| <td>A-109678380<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11846</td> |
| <td>A-111091377<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11855</td> |
| <td>A-111090533<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11857</td> |
| <td>A-111093202<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11858</td> |
| <td>A-111090698<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11866</td> |
| <td>A-111093021<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| <tr> |
| <td>CVE-2018-11865</td> |
| <td>A-111093167<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Компонент с закрытым исходным кодом</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> |
| <p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p> |
| <p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices" class="external">Справочном центре</a>.</p> |
| <ul> |
| <li>В исправлении от 1 сентября 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-09-01.</li> |
| <li>В исправлении от 5 сентября 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-09-05.</li> |
| </ul> |
| <p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2018-09-01]</li> |
| <li>[ro.build.version.security_patch]:[2018-09-05]</li> |
| </ul> |
| <p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> |
| <p> |
| Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности. |
| </p> |
| <ul> |
| <li>На устройствах с установленным обновлением 2018-09-01 должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением 2018-09-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p> |
| Рекомендуем партнерам собрать все исправления проблем в одно обновление. |
| </p> |
| <p id="type"> |
| <strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong> |
| </p> |
| <p> |
| В этом столбце указан тип уязвимости по следующей классификации:<em></em> |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Сокращение</th> |
| <th>Описание</th> |
| </tr> |
| <tr> |
| <td>УВК</td> |
| <td>Удаленное выполнение кода</td> |
| </tr> |
| <tr> |
| <td>ПП</td> |
| <td>Повышение привилегий</td> |
| </tr> |
| <tr> |
| <td>РИ</td> |
| <td>Раскрытие информации</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Отказ в обслуживании</td> |
| </tr> |
| <tr> |
| <td>Н/Д</td> |
| <td>Классификация недоступна</td> |
| </tr> |
| </tbody></table> |
| <p> |
| <strong>4. Что означает информация в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно: |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"> |
| <strong>5. Что означает символ * рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| Символ * означает, что исправление для уязвимости не опубликовано.<em></em> Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel и Nexus, которые можно скачать на <a href="https://developers.google.com/android/drivers" class="external">сайте Google Developers</a>. |
| </p> |
| <p> |
| <strong>6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel и Nexus, а также в остальных бюллетенях партнеров?</strong> |
| </p> |
| <p> |
| В этом бюллетене описаны уязвимости, которые были устранены в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах, например <a href="https://security.samsungmobile.com/securityUpdate.smsb" class="external">Samsung</a>, <a href="https://lgsecurity.lge.com/security_updates.html" class="external">LGE</a>, а также <a href="/security/bulletin/pixel/" class="external">Pixel и Nexus</a>. |
| </p> |
| |
| <h2 id="versions">Версии</h2> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="25%" /> |
| <col width="50%" /> |
| </colgroup><tbody><tr> |
| <th>Версия</th> |
| <th>Дата</th> |
| <th>Примечания</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>4 сентября 2018 г.</td> |
| <td>Бюллетень опубликован.</td> |
| </tr> |
| <tr> |
| <td>1.1</td> |
| <td>5 сентября 2018 г.</td> |
| <td>Добавлены ссылки на AOSP.</td> |
| </tr> |
| </tbody></table> |
| |
| </body></html> |