| <html devsite><head> |
| <title>Бюллетень по безопасности Android – январь 2018 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2018 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| //www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>Опубликовано 2 января 2018 г.</em></p> |
| |
| <p> |
| В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 января 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705">Справочном центре</a>. |
| </p> |
| <p> |
| Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. |
| Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже. |
| </p> |
| <p> |
| Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. |
| </p> |
| <p> |
| У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и Google Play Защита помогают снизить вероятность атак на Android. |
| </p> |
| <p> |
| <strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google приведена в бюллетене по безопасности Pixel и Nexus за январь 2018 года. |
| </p> |
| <h2 id="announcements">Объявления</h2> |
| <p> |
| Мы начали выпускать новый <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel и Nexus</a>, в котором содержится информация о дополнительных уязвимостях в защите и улучшениях функциональных возможностей устройств Pixel и Nexus. Производители могут включить их в обновления для своих устройств Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| </p> |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p> |
| Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect">Google Play Защита</a>, позволяют снизить вероятность атак на Android. |
| </p><ul> |
| <li>В новых версиях Android использование многих уязвимостей затрудняется, поэтому мы рекомендуем всем пользователям своевременно обновлять систему. |
| </li><li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="https://www.android.com/play-protect">Google Play Защиты</a> и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">сервисами Google для мобильных устройств</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.</li></ul> |
| <h2 id="2018-01-01-security-patch-level—vulnerability-details">Описание уязвимостей (обновление системы безопасности 2018-01-01)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-01-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3 id="android-runtime">Android Runtime</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13176</td> |
| <td>A-68341964</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13177</td> |
| <td>A-68320413</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13178</td> |
| <td>A-66969281</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13179</td> |
| <td>A-66969193</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13180</td> |
| <td>A-66969349</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13181</td> |
| <td>A-67864232</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13182</td> |
| <td>A-67737022</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13184</td> |
| <td>A-65483324</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0855</td> |
| <td>A-64452857</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13191</td> |
| <td>A-64380403</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13192</td> |
| <td>A-64380202</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13193</td> |
| <td>A-65718319</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13195</td> |
| <td>A-65398821</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13196</td> |
| <td>A-63522067</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13197</td> |
| <td>A-64784973</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13199</td> |
| <td>A-33846679</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="system">Система</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13208</td> |
| <td>A-67474440</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13209</td> |
| <td>A-68217907</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13210</td> |
| <td>A-67782345</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13211</td> |
| <td>A-65174158</td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2018-01-05-security-patch-level—vulnerability-details">Описание уязвимостей (обновление системы безопасности 2018-01-05)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-01-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3 id="htc-components">Компоненты HTC</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику вызвать отказ в обслуживании в критическом системном процессе.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13214</td> |
| <td>A-38495900<a href="#asterisk">*</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>Аппаратный декодер HEVC</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="kernel-components">Компоненты ядра</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-14497</td> |
| <td>A-66694921<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Обработка TCP-пакетов</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13215</td> |
| <td>A-64386293<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=v3.18.78&id=36c84b22ac8aa041cbdfbe48a55ebb32e3521704"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Skcipher</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13216</td> |
| <td>A-66954097<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Ashmem</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13218</td> |
| <td>A-68266545<a href="#asterisk">*</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Таймеры</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="lg-components">Компоненты LG</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13217</td> |
| <td>A-68269077<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Загрузчик</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13183</td> |
| <td>A-38118127</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="mediatek-components">Компоненты MediaTek</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13225</td> |
| <td>A-38308024<a href="#asterisk">*</a><br /> |
| M-ALPS03495789</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>MTK Media</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="nvidia-components">Компоненты NVIDIA</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0869</td> |
| <td>A-37776156<a href="#asterisk">*</a><br /> |
| N-CVE-2017-0869</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер NVIDIA</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-components">Компоненты Qualcomm</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-15849</td> |
| <td>A-66937641<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/hardware/qcom/display/commit/?id=0a59679b954c02b8996"> |
| QC-CR#2046572</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Экран</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11069</td> |
| <td>A-65468974<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=daf1fbae4be7bd669264a7907677250ff2a1f89b"> |
| QC-CR#2060780</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Загрузчик</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-closed-source-components">Закрытые компоненты Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-14911</td> |
| <td>A-62212946<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14906</td> |
| <td>A-32584150<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14912</td> |
| <td>A-62212739<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14913</td> |
| <td>A-62212298<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14915</td> |
| <td>A-62212632<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2013-4397</td> |
| <td>A-65944893<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11010</td> |
| <td>A-66913721<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p> |
| В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня. |
| </p> |
| <p> |
| <strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong> |
| </p> |
| <p> |
| Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>. |
| </p> |
| <ul> |
| <li>В исправлении от 1 января 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-01-01.</li> |
| <li>В исправлении от 5 января 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-01-05.</li> |
| </ul> |
| <p> |
| Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней: |
| </p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2018-01-01]</li> |
| <li>[ro.build.version.security_patch]:[2018-01-05]</li> |
| </ul> |
| <p> |
| <strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong> |
| </p> |
| <p> |
| Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности. |
| </p> |
| <ul> |
| <li>На устройствах с установленным обновлением 2018-01-01 должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением 2018-01-05 или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p> |
| Рекомендуем партнерам собрать все исправления проблем в одно обновление. |
| </p> |
| <p id="type"> |
| <strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong> |
| </p> |
| <p> |
| В этом столбце указан тип уязвимости по следующей классификации:<em></em> |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Сокращение</th> |
| <th>Описание</th> |
| </tr> |
| <tr> |
| <td>УВК</td> |
| <td>Удаленное выполнение кода</td> |
| </tr> |
| <tr> |
| <td>ПП</td> |
| <td>Повышение привилегий</td> |
| </tr> |
| <tr> |
| <td>РИ</td> |
| <td>Раскрытие информации</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Отказ в обслуживании</td> |
| </tr> |
| <tr> |
| <td>Н/Д</td> |
| <td>Классификация недоступна</td> |
| </tr> |
| </tbody></table> |
| <p> |
| <strong>4. На что указывают записи в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно: |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"> |
| <strong>5. Что означает символ * рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| Символ * означает, что исправление для уязвимости не опубликовано.<em></em> Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| <p> |
| <strong>6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel и Nexus, а также в остальных бюллетенях партнеров?</strong> |
| </p> |
| <p> |
| В этом бюллетене описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. |
| Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не требуется. |
| Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах, например <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>, <a href="https://lgsecurity.lge.com/security_updates.html">LGE</a>, а также <a href="/security/bulletin/pixel/">Pixel и Nexus</a>. |
| </p> |
| <h2 id="versions">Версии</h2> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="25%" /> |
| <col width="50%" /> |
| </colgroup><tbody><tr> |
| <th>Версия</th> |
| <th>Дата</th> |
| <th>Примечания</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>2 января 2018 г.</td> |
| <td>Бюллетень опубликован.</td> |
| </tr> |
| </tbody></table> |
| |
| </body></html> |