aboutsummaryrefslogtreecommitdiff
path: root/ru/security/bulletin/2018-01-01.html
diff options
context:
space:
mode:
Diffstat (limited to 'ru/security/bulletin/2018-01-01.html')
-rw-r--r--ru/security/bulletin/2018-01-01.html272
1 files changed, 143 insertions, 129 deletions
diff --git a/ru/security/bulletin/2018-01-01.html b/ru/security/bulletin/2018-01-01.html
index ab0097c3..e0293a81 100644
--- a/ru/security/bulletin/2018-01-01.html
+++ b/ru/security/bulletin/2018-01-01.html
@@ -19,15 +19,14 @@
See the License for the specific language governing permissions and
limitations under the License.
-->
-<p><em>Опубликовано 2 января 2018 г.</em></p>
+<p><em>Опубликовано 2 января 2018 г. | Обновлено 29 января 2018 г.</em></p>
<p>
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 января 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705">Справочном центре</a>.
</p>
<p>
Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня.
-Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.
-</p>
+Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p>
<p>
Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
</p>
@@ -38,6 +37,14 @@
<strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google приведена в бюллетене по безопасности Pixel  и Nexus за январь 2018 года.
</p>
<h2 id="announcements">Объявления</h2>
+<aside class="note">
+<p><strong>Примечание.</strong> Опубликована информация об уязвимостях CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754, которые связаны с упреждающим исполнением команд в процессорах. У нас нет информации об успешном воспроизведении этих уязвимостей, которое привело бы к несанкционированному раскрытию информации на устройствах Android с процессором ARM.
+</p>
+<p>
+Чтобы обеспечить дополнительную защиту, мы включили в этот бюллетень обновление, связанное с уязвимостью CVE-2017-13218. Оно ограничивает доступ к высокоточным таймерам, что препятствует атакам по сторонним каналам (например, при использовании уязвимостей CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754) на всех известных процессорах ARM.
+</p>
+<p>Мы рекомендуем всем пользователям установить доступные обновления системы безопасности. <a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">Подробнее…</a></p>
+</aside>
<p>
Мы начали выпускать новый <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel  и Nexus</a>, в котором содержится информация о дополнительных уязвимостях в защите и улучшениях функциональных возможностей устройств Pixel и Nexus. Производители могут включить их в обновления для своих устройств Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>.
</p>
@@ -70,7 +77,8 @@
</tr>
<tr>
<td>CVE-2017-13176</td>
- <td>A-68341964</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5">
+ A-68341964</a></td>
<td>ПП</td>
<td>Высокий</td>
<td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
@@ -94,109 +102,124 @@
<th>Обновленные версии AOSP</th>
</tr>
<tr>
- <td>CVE-2017-13177</td>
- <td>A-68320413</td>
- <td>УВК</td>
- <td>Критический</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13177</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c">
+ A-68320413</a></td>
+ <td>УВК</td>
+ <td>Критический</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13178</td>
- <td>A-66969281</td>
- <td>УВК</td>
- <td>Критический</td>
- <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13178</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b">
+ A-66969281</a></td>
+ <td>УВК</td>
+ <td>Критический</td>
+ <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13179</td>
- <td>A-66969193</td>
- <td>УВК</td>
- <td>Критический</td>
- <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13179</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516">
+ A-66969193</a></td>
+ <td>УВК</td>
+ <td>Критический</td>
+ <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13180</td>
- <td>A-66969349</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13180</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382">
+ A-66969349</a></td>
+ <td>ПП</td>
+ <td>Высокий</td>
+ <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13181</td>
- <td>A-67864232</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13181</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d">
+ A-67864232</a></td>
+ <td>ПП</td>
+ <td>Высокий</td>
+ <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13182</td>
- <td>A-67737022</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>8.0, 8.1</td>
+ <td>CVE-2017-13182</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e">
+ A-67737022</a></td>
+ <td>ПП</td>
+ <td>Высокий</td>
+ <td>8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13184</td>
- <td>A-65483324</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>8.0, 8.1</td>
+ <td>CVE-2017-13184</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543">
+ A-65483324</a></td>
+ <td>ПП</td>
+ <td>Высокий</td>
+ <td>8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-0855</td>
- <td>A-64452857</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td>
+ <td>CVE-2017-0855</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7">
+ A-64452857</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td>
</tr>
<tr>
- <td>CVE-2017-13191</td>
- <td>A-64380403</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13191</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264">
+ A-64380403</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13192</td>
- <td>A-64380202</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13192</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5">
+ A-64380202</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13193</td>
- <td>A-65718319</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13193</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2">
+ A-65718319</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13195</td>
- <td>A-65398821</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13195</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f">
+ A-65398821</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13196</td>
- <td>A-63522067</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13196</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264">
+ A-63522067</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13197</td>
- <td>A-64784973</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13197</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471">
+ A-64784973</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13199</td>
- <td>A-33846679</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>8.0, 8.1</td>
+ <td>CVE-2017-13199</td>
+ <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4">
+ A-33846679</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>8.0, 8.1</td>
</tr>
</tbody></table>
@@ -217,32 +240,35 @@
<th>Обновленные версии AOSP</th>
</tr>
<tr>
- <td>CVE-2017-13208</td>
- <td>A-67474440</td>
- <td>УВК</td>
- <td>Критический</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13208</td>
+ <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868">
+ A-67474440</a></td>
+ <td>УВК</td>
+ <td>Критический</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13209</td>
- <td>A-68217907</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>8.0, 8.1</td>
+ <td>CVE-2017-13209</td>
+ <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7">A-68217907</a> [<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>] [<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td>
+ <td>ПП</td>
+ <td>Высокий</td>
+ <td>8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13210</td>
- <td>A-67782345</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
+ <td>CVE-2017-13210</td>
+ <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62">
+ A-67782345</a></td>
+ <td>ПП</td>
+ <td>Высокий</td>
+ <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td>
</tr>
<tr>
- <td>CVE-2017-13211</td>
- <td>A-65174158</td>
- <td>ОО</td>
- <td>Высокий</td>
- <td>8.0</td>
+ <td>CVE-2017-13211</td>
+ <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e">
+ A-65174158</a></td>
+ <td>ОО</td>
+ <td>Высокий</td>
+ <td>8.0</td>
</tr>
</tbody></table>
@@ -322,7 +348,7 @@ Upstream kernel</a></td>
<td>A-68266545<a href="#asterisk">*</a></td>
<td>РИ</td>
<td>Высокий</td>
- <td>Таймеры</td>
+ <td>Высокоточные таймеры</td>
</tr>
</tbody></table>
@@ -376,32 +402,6 @@ Upstream kernel</a></td>
</tr>
</tbody></table>
-<h3 id="mediatek-components">Компоненты MediaTek</h3>
-<p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p>
-
-<table>
- <colgroup><col width="17%" />
- <col width="19%" />
- <col width="9%" />
- <col width="14%" />
- <col width="39%" />
- </colgroup><tbody><tr>
- <th>CVE</th>
- <th>Ссылки</th>
- <th>Тип</th>
- <th>Уровень серьезности</th>
- <th>Компонент</th>
- </tr>
- <tr>
- <td>CVE-2017-13225</td>
- <td>A-38308024<a href="#asterisk">*</a><br />
- M-ALPS03495789</td>
- <td>ПП</td>
- <td>Высокий</td>
- <td>MTK Media</td>
- </tr>
-</tbody></table>
-
<h3 id="nvidia-components">Компоненты NVIDIA</h3>
<p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p>
@@ -650,9 +650,9 @@ QC-CR#2060780</a></td>
</p>
<h2 id="versions">Версии</h2>
<table>
- <colgroup><col width="25%" />
+ <colgroup><col width="15%" />
<col width="25%" />
- <col width="50%" />
+ <col width="60%" />
</colgroup><tbody><tr>
<th>Версия</th>
<th>Дата</th>
@@ -663,6 +663,20 @@ QC-CR#2060780</a></td>
<td>2 января 2018 г.</td>
<td>Бюллетень опубликован.</td>
</tr>
-</tbody></table>
+ <tr>
+ <td>1.1</td>
+ <td>3 января 2018 г.</td>
+ <td>В раздел объявлений добавлена информация об уязвимости CVE-2017-13218.</td>
+ </tr>
+ <tr>
+ <td>1.2</td>
+ <td>5 января 2018 г.</td>
+ <td>Добавлены ссылки на AOSP.</td>
+ </tr>
+ <tr>
+ <td>1.3</td>
+ <td>29 января 2018 г.</td>
+ <td>Сведения об уязвимости CVE-2017-13225 перенесены в <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel  и Nexus</a>.</td>
+</tr></tbody></table>
</body></html> \ No newline at end of file
generated by cgit v1.2.3 (git 2.25.1) at 2024-07-14 14:40:04 +0000