| <html devsite><head> |
| <title>Бюллетень по безопасности Android – январь 2018 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2018 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| //www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>Опубликовано 2 января 2018 г. | Обновлено 29 января 2018 г.</em></p> |
| |
| <p> |
| В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 января 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705">Справочном центре</a>. |
| </p> |
| <p> |
| Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. |
| Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| <p> |
| Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. |
| </p> |
| <p> |
| У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и Google Play Защита помогают снизить вероятность атак на Android. |
| </p> |
| <p> |
| <strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google приведена в бюллетене по безопасности Pixel и Nexus за январь 2018 года. |
| </p> |
| <h2 id="announcements">Объявления</h2> |
| <aside class="note"> |
| <p><strong>Примечание.</strong> Опубликована информация об уязвимостях CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754, которые связаны с упреждающим исполнением команд в процессорах. У нас нет информации об успешном воспроизведении этих уязвимостей, которое привело бы к несанкционированному раскрытию информации на устройствах Android с процессором ARM. |
| </p> |
| <p> |
| Чтобы обеспечить дополнительную защиту, мы включили в этот бюллетень обновление, связанное с уязвимостью CVE-2017-13218. Оно ограничивает доступ к высокоточным таймерам, что препятствует атакам по сторонним каналам (например, при использовании уязвимостей CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754) на всех известных процессорах ARM. |
| </p> |
| <p>Мы рекомендуем всем пользователям установить доступные обновления системы безопасности. <a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">Подробнее…</a></p> |
| </aside> |
| <p> |
| Мы начали выпускать новый <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel и Nexus</a>, в котором содержится информация о дополнительных уязвимостях в защите и улучшениях функциональных возможностей устройств Pixel и Nexus. Производители могут включить их в обновления для своих устройств Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. |
| </p> |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p> |
| Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect">Google Play Защита</a>, позволяют снизить вероятность атак на Android. |
| </p><ul> |
| <li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему. |
| </li><li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="https://www.android.com/play-protect">Google Play Защиты</a> и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">сервисами Google для мобильных устройств</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.</li></ul> |
| <h2 id="2018-01-01-security-patch-level—vulnerability-details">Описание уязвимостей (обновление системы безопасности 2018-01-01)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-01-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3 id="android-runtime">Android Runtime</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13176</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5"> |
| A-68341964</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13177</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c"> |
| A-68320413</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13178</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b"> |
| A-66969281</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13179</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516"> |
| A-66969193</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13180</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382"> |
| A-66969349</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13181</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d"> |
| A-67864232</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13182</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e"> |
| A-67737022</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13184</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543"> |
| A-65483324</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0855</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7"> |
| A-64452857</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13191</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> |
| A-64380403</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13192</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5"> |
| A-64380202</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13193</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2"> |
| A-65718319</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13195</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f"> |
| A-65398821</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13196</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> |
| A-63522067</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13197</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471"> |
| A-64784973</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13199</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4"> |
| A-33846679</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="system">Система</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13208</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868"> |
| A-67474440</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13209</td> |
| <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7">A-68217907</a> [<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>] [<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13210</td> |
| <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62"> |
| A-67782345</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13211</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e"> |
| A-65174158</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2018-01-05-security-patch-level—vulnerability-details">Описание уязвимостей (обновление системы безопасности 2018-01-05)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-01-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3 id="htc-components">Компоненты HTC</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику вызвать отказ в обслуживании в критическом системном процессе.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13214</td> |
| <td>A-38495900<a href="#asterisk">*</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>Аппаратный декодер HEVC</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="kernel-components">Компоненты ядра</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-14497</td> |
| <td>A-66694921<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Обработка TCP-пакетов</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13215</td> |
| <td>A-64386293<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=v3.18.78&id=36c84b22ac8aa041cbdfbe48a55ebb32e3521704"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Skcipher</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13216</td> |
| <td>A-66954097<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Ashmem</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13218</td> |
| <td>A-68266545<a href="#asterisk">*</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>Высокоточные таймеры</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="lg-components">Компоненты LG</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13217</td> |
| <td>A-68269077<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Загрузчик</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13183</td> |
| <td>A-38118127</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="nvidia-components">Компоненты NVIDIA</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0869</td> |
| <td>A-37776156<a href="#asterisk">*</a><br /> |
| N-CVE-2017-0869</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер NVIDIA</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-components">Компоненты Qualcomm</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-15849</td> |
| <td>A-66937641<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/hardware/qcom/display/commit/?id=0a59679b954c02b8996"> |
| QC-CR#2046572</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Экран</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11069</td> |
| <td>A-65468974<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=daf1fbae4be7bd669264a7907677250ff2a1f89b"> |
| QC-CR#2060780</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Загрузчик</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-closed-source-components">Закрытые компоненты Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-14911</td> |
| <td>A-62212946<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14906</td> |
| <td>A-32584150<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14912</td> |
| <td>A-62212739<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14913</td> |
| <td>A-62212298<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14915</td> |
| <td>A-62212632<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2013-4397</td> |
| <td>A-65944893<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11010</td> |
| <td>A-66913721<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p> |
| В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня. |
| </p> |
| <p> |
| <strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong> |
| </p> |
| <p> |
| Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>. |
| </p> |
| <ul> |
| <li>В исправлении от 1 января 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-01-01.</li> |
| <li>В исправлении от 5 января 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-01-05.</li> |
| </ul> |
| <p> |
| Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней: |
| </p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2018-01-01]</li> |
| <li>[ro.build.version.security_patch]:[2018-01-05]</li> |
| </ul> |
| <p> |
| <strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong> |
| </p> |
| <p> |
| Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности. |
| </p> |
| <ul> |
| <li>На устройствах с установленным обновлением 2018-01-01 должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением 2018-01-05 или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p> |
| Рекомендуем партнерам собрать все исправления проблем в одно обновление. |
| </p> |
| <p id="type"> |
| <strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong> |
| </p> |
| <p> |
| В этом столбце указан тип уязвимости по следующей классификации:<em></em> |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Сокращение</th> |
| <th>Описание</th> |
| </tr> |
| <tr> |
| <td>УВК</td> |
| <td>Удаленное выполнение кода</td> |
| </tr> |
| <tr> |
| <td>ПП</td> |
| <td>Повышение привилегий</td> |
| </tr> |
| <tr> |
| <td>РИ</td> |
| <td>Раскрытие информации</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Отказ в обслуживании</td> |
| </tr> |
| <tr> |
| <td>Н/Д</td> |
| <td>Классификация недоступна</td> |
| </tr> |
| </tbody></table> |
| <p> |
| <strong>4. На что указывают записи в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно: |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"> |
| <strong>5. Что означает символ * рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| Символ * означает, что исправление для уязвимости не опубликовано.<em></em> Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| <p> |
| <strong>6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel и Nexus, а также в остальных бюллетенях партнеров?</strong> |
| </p> |
| <p> |
| В этом бюллетене описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. |
| Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не требуется. |
| Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах, например <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>, <a href="https://lgsecurity.lge.com/security_updates.html">LGE</a>, а также <a href="/security/bulletin/pixel/">Pixel и Nexus</a>. |
| </p> |
| <h2 id="versions">Версии</h2> |
| <table> |
| <colgroup><col width="15%" /> |
| <col width="25%" /> |
| <col width="60%" /> |
| </colgroup><tbody><tr> |
| <th>Версия</th> |
| <th>Дата</th> |
| <th>Примечания</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>2 января 2018 г.</td> |
| <td>Бюллетень опубликован.</td> |
| </tr> |
| <tr> |
| <td>1.1</td> |
| <td>3 января 2018 г.</td> |
| <td>В раздел объявлений добавлена информация об уязвимости CVE-2017-13218.</td> |
| </tr> |
| <tr> |
| <td>1.2</td> |
| <td>5 января 2018 г.</td> |
| <td>Добавлены ссылки на AOSP.</td> |
| </tr> |
| <tr> |
| <td>1.3</td> |
| <td>29 января 2018 г.</td> |
| <td>Сведения об уязвимости CVE-2017-13225 перенесены в <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel и Nexus</a>.</td> |
| </tr></tbody></table> |
| |
| </body></html> |