| <html devsite><head> |
| <title>Бюллетень по безопасности Android – декабрь 2017 г.</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2017 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| //www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <p><em>Опубликовано 4 декабря 2017 г. | Обновлено 6 декабря 2017 г.</em> |
| </p> |
| |
| <p> |
| В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 декабря 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705">Справочном центре</a>. |
| </p> |
| <p> |
| Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. |
| Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> |
| <p> |
| Самая серьезная и�� эт��х проблем – ��ритическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. |
| </p> |
| <p> |
| У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и Google Play Защита помогают снизить вероятность атак на Android. |
| </p> |
| <p class="note"> |
| <strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google приведена в <a href="/security/bulletin/pixel/2017-12-01">бюллетене по безопасности Pixel и Nexus</a> за декабрь 2017 года. |
| </p> |
| <h2 id="mitigations">Предотвращение атак</h2> |
| <p> |
| Ниже рассказывается, как <a href="/security/enhancements/index.html">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect">Google Play Защита</a>, позволяют снизить вероятность атак на Android. |
| </p> |
| <ul> |
| <li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> |
| <li>Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью <a href="https://www.android.com/play-protect">Google Play Защиты</a> и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех устройствах с <a href="http://www.android.com/gms">сервисами Google для мобильных устройств</a>. Она особенно важна, если пользователь устанавливает ПО из сторонних источников.</li> |
| </ul> |
| <h2 id="2017-12-01-details">Описание уязвимостей (обновление системы безопасности 2017-12-01)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-12-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведено описание и таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| <h3 id="framework">Framework</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0807</td> |
| <td>A-35056974<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0870</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/22758c3312ada2cf9579c9c379875e3c7eb4b1f7">A-62134807</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0871</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/8e151bf8999345399208d54663f103921ae5e1c6">A-65281159</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">Media Framework</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0872</td> |
| <td><a href="https://android.googlesource.com/platform/external/skia/+/7a3ba537f7456b4870a983cd9e0a09bb3d478efc">A-65290323</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0876</td> |
| <td>A-64964675<a href="#asterisk">*</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0877</td> |
| <td>A-66372937<a href="#asterisk">*</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0878</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/a963ba6ac200ee4222ba4faa7137a69144ba668a">A-65186291</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13151</td> |
| <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/4262d8eeee23d169ab0a141f103592f7172d95bc">A-63874456</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13153</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/969f2c97f04a0570a23d4d94b6f0a0642d2224cb">A-65280854</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0837</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f759b8c4bcce2d3b3d45551be461f04297fa2bd3">A-64340921</a> [<a href="https://android.googlesource.com/platform/frameworks/av/+/0957621867279da792808e43144f0c2b670d4c6c">2</a>]</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0873</td> |
| <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/d1a1d7b88203a240488633e3a9b4cde231c3c4e3">A-63316255</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0874</td> |
| <td><a href="https://android.googlesource.com/platform/external/libavc/+/252628cffba8702e36b98c193bcd2fe67d8237ee">A-63315932</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0880</td> |
| <td><a href="https://android.googlesource.com/platform/external/skia/+/67f9bd2acfd17f64a33ae8ad14806a0c93b921d8">A-65646012</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/adb5e0ba6d532c0d52b3bf89a1dbec4e3e7a6fd6">2</a>]</td> |
| <td>ОО</td> |
| <td>��ысокий</td> |
| <td>7.0, 7.1.1, 7.1.2</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13148</td> |
| <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/60c4d957db5e18da39ec943f15171547b53305d6">A-65717533</a></td> |
| <td>ОО</td> |
| <td>Высокий</td> |
| <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="system">Система</h3> |
| <p>Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Обновленные версии AOSP</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13160</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/68a1cf1a9de115b66bececf892588075595b263f">A-37160362</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13156</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/9dced1626219d47c75a9d37156ed7baeef8f6403">A-64211847</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13157</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/dba1bb07e04b51b1bd0a1251711781e731ce9524">A-32990341</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13158</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/dba1bb07e04b51b1bd0a1251711781e731ce9524">A-32879915</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13159</td> |
| <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/b5e93969a5e0c3a3f07e068dbc763cdd995a0e21">A-32879772</a></td> |
| <td>РИ</td> |
| <td>Высокий</td> |
| <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2017-12-05-details">Описание уязвимостей (обновление системы безопасности 2017-12-05)</h2> |
| <p> |
| В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2017-12-05. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица с CVE, ссылками, <a href="#type">типом</a>, <a href="/security/overview/updates-resources.html#severity">уровнем серьезности</a>, а также версиями AOSP (при наличии). Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках. |
| </p> |
| |
| <h3 id="kernel-components">Компоненты ядра</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13162</td> |
| <td>A-64216036<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Binder</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0564</td> |
| <td>A-34276203<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>ION</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-7533</td> |
| <td>A-63689921<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=49d31c2f389acfe83417083e1208422b4091cd9"> |
| Upstream kernel</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Обработка файлов</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13174</td> |
| <td>A-63100473<a href="#asterisk">*</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>EDL</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="mediatek-components">Компоненты MediaTek</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13170</td> |
| <td>A-36102397<a href="#asterisk">*</a><br /> |
| M-ALPS03359280</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер экрана</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13171</td> |
| <td>A-64316572<a href="#asterisk">*</a><br /> |
| M-ALPS03479086</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Сервис управления производительностью</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13173</td> |
| <td>A-28067350<a href="#asterisk">*</a><br /> |
| M-ALPS02672361</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>SystemServer</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="nvidia-components">Компоненты NVIDIA</h3> |
| <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6262</td> |
| <td>A-38045794<a href="#asterisk">*</a><br /> |
| N-CVE-2017-6262</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6263</td> |
| <td>A-38046353<a href="#asterisk">*</a><br /> |
| N-CVE-2017-6263</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-6276</td> |
| <td>A-63802421<a href="#asterisk">*</a><br /> |
| N-CVE-2017-6276</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>MediaServer</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-components">Компоненты Qualcomm</h3> |
| <p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="21%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="37%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-11043</td> |
| <td>A-64728953<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=613f91ebcd0838c2c2bec3657e36dd57fcc6a7ea"> |
| QC-CR#2067820</a></td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>WLAN</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-3706</td> |
| <td>A-34499281<br /> |
| <a href="https://source.codeaurora.org/quic/le/oe/recipes/commit/?h=LNX.LE.5.3&id=6cfcc1c582a565f5360f7a3977f4a8f42d5245cd">QC-CR#1058691</a> [<a href="https://source.codeaurora.org/quic/le/oe/recipes/commit/?h=LNX.LE.5.3&id=0f70f82655ceac279f9f0c76d7995294189096f9">2</a>]</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>RPC по протоколу UDP</td> |
| </tr> |
| <tr> |
| <td>CVE-2016-4429</td> |
| <td>A-68946906<br /> |
| <a href="https://source.codeaurora.org/quic/le/oe/recipes/commit/?h=LNX.LE.5.3&id=6cfcc1c582a565f5360f7a3977f4a8f42d5245cd">QC-CR#1058691</a> [<a href="https://source.codeaurora.org/quic/le/oe/recipes/commit/?h=LNX.LE.5.3&id=0f70f82655ceac279f9f0c76d7995294189096f9">2</a>]</td> |
| <td>УВК</td> |
| <td>Критический</td> |
| <td>RPC по протоколу UDP</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11007</td> |
| <td>A-66913719<br /> |
| <a href="https://source.codeaurora.org/quic/la/abl/tianocore/edk2/commit/?id=5c710156bb55b0a085da7c4142b124f3cd986d25"> |
| QC-CR#2068824</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>FastBoot</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14904</td> |
| <td>A-63662821<a href="#asterisk">*</a><br /> |
| QC-CR#2109325</td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Gralloc</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-9716</td> |
| <td>A-63868627<br /> |
| <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=aab2cc06db7cb6c7589bef71e65b5acfa58adc33"> |
| QC-CR#2006695</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер QBT1000</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14897</td> |
| <td>A-65468973<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=11e7de77bd5ab0a7706a013598f845ad0c4a8b4c"> |
| QC-CR#2054091</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>Драйвер RPMB</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14902</td> |
| <td>A-65468970<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=8c4901802968b8c8356860ee689b1ef9cd2cbfe4"> |
| QC-CR#2061287</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>MProc</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14895</td> |
| <td>A-65468977<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-3.0/commit/?id=b15f0ff7351eb6b6a8f6694b4cd5ad27145bd439"> |
| QC-CR#2009308</a></td> |
| <td>ПП</td> |
| <td>Высокий</td> |
| <td>WLAN</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-closed-source-components">Закрытые компоненты Qualcomm</h3> |
| <p>Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>Ссылки</th> |
| <th>Тип</th> |
| <th>Уровень серьезности</th> |
| <th>Компонент</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-6211 </td> |
| <td>A-36217326<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Критический</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14908</td> |
| <td>A-62212840<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14909</td> |
| <td>A-62212839<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14914</td> |
| <td>A-62212297<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14916</td> |
| <td>A-62212841<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14917</td> |
| <td>A-62212740<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14918</td> |
| <td>A-65946406<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11005</td> |
| <td>A-66913715<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11006</td> |
| <td>A-66913717<a href="#asterisk">*</a></td> |
| <td>Н/Д</td> |
| <td>Высокий</td> |
| <td>Закрытый компонент</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> |
| <p> |
| В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня. |
| </p> |
| <p> |
| <strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы? |
| </strong> |
| </p> |
| <p> |
| Информацию о том, как проверить ��бновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Справочном центре</a>. |
| </p> |
| <ul> |
| <li>В исправлении от 1 декабря 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-12-01.</li> |
| <li>В исправлении от 5 декабря 2017 года или более новом устранены все проблемы, связанные с обновлением 2017-12-05.</li> |
| </ul> |
| <p> |
| Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней: |
| </p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2017-12-01]</li> |
| <li>[ro.build.version.security_patch]:[2017-12-05]</li> |
| </ul> |
| <p> |
| <strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong> |
| </p> |
| <p> |
| Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности. |
| </p> |
| <ul> |
| <li>На устройствах с установленным обновлением 2017-12-01 должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> |
| <li>На устройствах с установленным обновлением 2017-12-05 или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> |
| </ul> |
| <p> |
| Рекомендуем партнерам собрать все исправления проблем в одно обновление. |
| </p> |
| <p id="type"> |
| <strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong> |
| </p> |
| <p> |
| В этом столбце указан <em>тип уязвимости</em> по следующей классификации: |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Сокращение</th> |
| <th>Описание</th> |
| </tr> |
| <tr> |
| <td>УВК</td> |
| <td>Удаленное выполнение кода</td> |
| </tr> |
| <tr> |
| <td>ПП</td> |
| <td>Повышение привилегий</td> |
| </tr> |
| <tr> |
| <td>РИ</td> |
| <td>Раскрытие информации</td> |
| </tr> |
| <tr> |
| <td>ОО</td> |
| <td>Отказ в обслуживании</td> |
| </tr> |
| <tr> |
| <td>Н/Д</td> |
| <td>Классификация недоступна</td> |
| </tr> |
| </tbody></table> |
| <p> |
| <strong>4. На что указывают записи в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно: |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>Префикс</th> |
| <th>Значение</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Идентификатор ошибки Android</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Ссылочный номер Qualcomm</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>Ссылочный номер MediaTek</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>Ссылочный номер NVIDIA</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Ссылочный номер Broadcom</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"> |
| <strong>5. Что означает значок * рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong> |
| </p> |
| <p> |
| Значок * говорит о том, что исправление для уязвимости не опубликовано<em></em>. Необходимое обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на <a href="https://developers.google.com/android/nexus/drivers">сайте для разработчиков</a>. |
| </p> |
| <p> |
| <strong>6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel и Nexus, а также в остальных бюллетенях партнеров?</strong> |
| </p> |
| <p> |
| В этом бюллетене описаны уязвимости, которые необходимо устранить в последнем обновлении системы безопасности для устройств Android. |
| Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не требуется. |
| Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности ��а собственных сайтах, например <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>, <a href="https://lgsecurity.lge.com/security_updates.html">LGE</a>, а также <a href="/security/bulletin/pixel/">Pixel и Nexus</a>. |
| </p> |
| <h2 id="versions">Версии</h2> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="25%" /> |
| <col width="50%" /> |
| </colgroup><tbody><tr> |
| <th>��ерсия</th> |
| <th>Дата</th> |
| <th>Примечания</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>4 декабря 2017 г.</td> |
| <td>Бюллетень опубликован.</td> |
| </tr> |
| <tr> |
| <td>1.1</td> |
| <td>6 декабря 2017 г.</td> |
| <td>Добавлены ссылки на AOSP.</td> |
| </tr> |
| </tbody></table> |
| |
| </body></html> |