diff options
Diffstat (limited to 'ru/security/bulletin/2018-01-01.html')
-rw-r--r-- | ru/security/bulletin/2018-01-01.html | 272 |
1 files changed, 143 insertions, 129 deletions
diff --git a/ru/security/bulletin/2018-01-01.html b/ru/security/bulletin/2018-01-01.html index ab0097c3..e0293a81 100644 --- a/ru/security/bulletin/2018-01-01.html +++ b/ru/security/bulletin/2018-01-01.html @@ -19,15 +19,14 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p><em>Опубликовано 2 января 2018 г.</em></p> +<p><em>Опубликовано 2 января 2018 г. | Обновлено 29 января 2018 г.</em></p> <p> В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 января 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705">Справочном центре</a>. </p> <p> Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. -Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже. -</p> +Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.</p> <p> Самая серьезная из этих проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. </p> @@ -38,6 +37,14 @@ <strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google приведена в бюллетене по безопасности Pixel и Nexus за январь 2018 года. </p> <h2 id="announcements">Объявления</h2> +<aside class="note"> +<p><strong>Примечание.</strong> Опубликована информация об уязвимостях CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754, которые связаны с упреждающим исполнением команд в процессорах. У нас нет информации об успешном воспроизведении этих уязвимостей, которое привело бы к несанкционированному раскрытию информации на устройствах Android с процессором ARM. +</p> +<p> +Чтобы обеспечить дополнительную защиту, мы включили в этот бюллетень обновление, связанное с уязвимостью CVE-2017-13218. Оно ограничивает доступ к высокоточным таймерам, что препятствует атакам по сторонним каналам (например, при использовании уязвимостей CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754) на всех известных процессорах ARM. +</p> +<p>Мы рекомендуем всем пользователям установить доступные обновления системы безопасности. <a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">Подробнее…</a></p> +</aside> <p> Мы начали выпускать новый <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel и Nexus</a>, в котором содержится информация о дополнительных уязвимостях в защите и улучшениях функциональных возможностей устройств Pixel и Nexus. Производители могут включить их в обновления для своих устройств Android. Дополнительную информацию вы найдете в разделе <a href="#common-questions-and-answers">Часто задаваемые вопросы</a>. </p> @@ -70,7 +77,8 @@ </tr> <tr> <td>CVE-2017-13176</td> - <td>A-68341964</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5"> + A-68341964</a></td> <td>ПП</td> <td>Высокий</td> <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> @@ -94,109 +102,124 @@ <th>Обновленные версии AOSP</th> </tr> <tr> - <td>CVE-2017-13177</td> - <td>A-68320413</td> - <td>УВК</td> - <td>Критический</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13177</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c"> + A-68320413</a></td> + <td>УВК</td> + <td>Критический</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13178</td> - <td>A-66969281</td> - <td>УВК</td> - <td>Критический</td> - <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13178</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b"> + A-66969281</a></td> + <td>УВК</td> + <td>Критический</td> + <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13179</td> - <td>A-66969193</td> - <td>УВК</td> - <td>Критический</td> - <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13179</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516"> + A-66969193</a></td> + <td>УВК</td> + <td>Критический</td> + <td>6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13180</td> - <td>A-66969349</td> - <td>ПП</td> - <td>Высокий</td> - <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13180</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382"> + A-66969349</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13181</td> - <td>A-67864232</td> - <td>ПП</td> - <td>Высокий</td> - <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13181</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d"> + A-67864232</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13182</td> - <td>A-67737022</td> - <td>ПП</td> - <td>Высокий</td> - <td>8.0, 8.1</td> + <td>CVE-2017-13182</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e"> + A-67737022</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13184</td> - <td>A-65483324</td> - <td>ПП</td> - <td>Высокий</td> - <td>8.0, 8.1</td> + <td>CVE-2017-13184</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543"> + A-65483324</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-0855</td> - <td>A-64452857</td> - <td>ОО</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> + <td>CVE-2017-0855</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7"> + A-64452857</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0</td> </tr> <tr> - <td>CVE-2017-13191</td> - <td>A-64380403</td> - <td>ОО</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13191</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> + A-64380403</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13192</td> - <td>A-64380202</td> - <td>ОО</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13192</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5"> + A-64380202</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13193</td> - <td>A-65718319</td> - <td>ОО</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13193</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2"> + A-65718319</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13195</td> - <td>A-65398821</td> - <td>ОО</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13195</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f"> + A-65398821</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13196</td> - <td>A-63522067</td> - <td>ОО</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13196</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> + A-63522067</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13197</td> - <td>A-64784973</td> - <td>ОО</td> - <td>Высокий</td> - <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13197</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471"> + A-64784973</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13199</td> - <td>A-33846679</td> - <td>ОО</td> - <td>Высокий</td> - <td>8.0, 8.1</td> + <td>CVE-2017-13199</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4"> + A-33846679</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>8.0, 8.1</td> </tr> </tbody></table> @@ -217,32 +240,35 @@ <th>Обновленные версии AOSP</th> </tr> <tr> - <td>CVE-2017-13208</td> - <td>A-67474440</td> - <td>УВК</td> - <td>Критический</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13208</td> + <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868"> + A-67474440</a></td> + <td>УВК</td> + <td>Критический</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13209</td> - <td>A-68217907</td> - <td>ПП</td> - <td>Высокий</td> - <td>8.0, 8.1</td> + <td>CVE-2017-13209</td> + <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7">A-68217907</a> [<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>] [<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td> + <td>ПП</td> + <td>Высокий</td> + <td>8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13210</td> - <td>A-67782345</td> - <td>ПП</td> - <td>Высокий</td> - <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + <td>CVE-2017-13210</td> + <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62"> + A-67782345</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> </tr> <tr> - <td>CVE-2017-13211</td> - <td>A-65174158</td> - <td>ОО</td> - <td>Высокий</td> - <td>8.0</td> + <td>CVE-2017-13211</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e"> + A-65174158</a></td> + <td>ОО</td> + <td>Высокий</td> + <td>8.0</td> </tr> </tbody></table> @@ -322,7 +348,7 @@ Upstream kernel</a></td> <td>A-68266545<a href="#asterisk">*</a></td> <td>РИ</td> <td>Высокий</td> - <td>Таймеры</td> + <td>Высокоточные таймеры</td> </tr> </tbody></table> @@ -376,32 +402,6 @@ Upstream kernel</a></td> </tr> </tbody></table> -<h3 id="mediatek-components">Компоненты MediaTek</h3> -<p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> - -<table> - <colgroup><col width="17%" /> - <col width="19%" /> - <col width="9%" /> - <col width="14%" /> - <col width="39%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>Ссылки</th> - <th>Тип</th> - <th>Уровень серьезности</th> - <th>Компонент</th> - </tr> - <tr> - <td>CVE-2017-13225</td> - <td>A-38308024<a href="#asterisk">*</a><br /> - M-ALPS03495789</td> - <td>ПП</td> - <td>Высокий</td> - <td>MTK Media</td> - </tr> -</tbody></table> - <h3 id="nvidia-components">Компоненты NVIDIA</h3> <p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> @@ -650,9 +650,9 @@ QC-CR#2060780</a></td> </p> <h2 id="versions">Версии</h2> <table> - <colgroup><col width="25%" /> + <colgroup><col width="15%" /> <col width="25%" /> - <col width="50%" /> + <col width="60%" /> </colgroup><tbody><tr> <th>Версия</th> <th>Дата</th> @@ -663,6 +663,20 @@ QC-CR#2060780</a></td> <td>2 января 2018 г.</td> <td>Бюллетень опубликован.</td> </tr> -</tbody></table> + <tr> + <td>1.1</td> + <td>3 января 2018 г.</td> + <td>В раздел объявлений добавлена информация об уязвимости CVE-2017-13218.</td> + </tr> + <tr> + <td>1.2</td> + <td>5 января 2018 г.</td> + <td>Добавлены ссылки на AOSP.</td> + </tr> + <tr> + <td>1.3</td> + <td>29 января 2018 г.</td> + <td>Сведения об уязвимости CVE-2017-13225 перенесены в <a href="/security/bulletin/pixel/">бюллетень по безопасности Pixel и Nexus</a>.</td> +</tr></tbody></table> </body></html>
\ No newline at end of file |