diff options
Diffstat (limited to 'zh-cn/security/bulletin/2018-01-01.html')
-rw-r--r-- | zh-cn/security/bulletin/2018-01-01.html | 134 |
1 files changed, 69 insertions, 65 deletions
diff --git a/zh-cn/security/bulletin/2018-01-01.html b/zh-cn/security/bulletin/2018-01-01.html index a73b6a21..081a658f 100644 --- a/zh-cn/security/bulletin/2018-01-01.html +++ b/zh-cn/security/bulletin/2018-01-01.html @@ -19,18 +19,19 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p><em>发布时间:2018 年 1 月 2 日 | 更新时间:2018 年 1 月 5 日</em></p> +<p><em>发布时间:2018 年 1 月 2 日 | 更新时间:2018 年 1 月 29 日</em></p> <p> Android 安全公告详细介绍了会影响 Android 设备的安全漏洞。2018-01-05(或之后)的安全补丁程序级别均已解决所有这些问题。要了解如何检查设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705">查看并更新 Android 版本</a>。 </p> <p> -Android 合作伙伴在本公告发布前至少一个月就已收到所有问题的相关通知。我们已在 Android 开放源代码项目 (AOSP) 代码库中发布了针对相关问题的源代码补丁程序,并在本公告中提供了相应链接。本公告还提供了 AOSP 之外的补丁程序的链接。</p> +Android 合作伙伴在本公告发布前至少一个月就已收到所有问题的相关通知。 +我们已在 Android 开源项目 (AOSP) 代码库中发布了针对相关问题的源代码补丁程序,并在本公告中提供了相应链接。本公告还提供了 AOSP 之外的补丁程序的链接。</p> <p> 这些问题中危险性最高的是媒体框架中的一个严重程度为“严重”的安全漏洞,该漏洞可让远程攻击者使用特制文件通过特许进程执行任意代码。<a href="/security/overview/updates-resources.html#severity">严重程度评估</a>的依据是漏洞被利用后可能会对受影响设备造成的影响大小(假设相关平台和服务缓解措施被成功规避或出于开发目的而被关闭)。 </p> <p> -我们尚未收到用户因这些新报告的问题而遭到主动攻击或这些问题遭到滥用的报告。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制缓解措施</a>部分,详细了解 <a href="/security/enhancements/index.html">Android 安全平台防护功能</a>和 Google Play 保护机制;这些功能可提高 Android 平台的安全性。 +我们尚未收到用户因这些新报告的问题而遭到主动攻击或这些问题遭到滥用的报告。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制缓解措施</a>部分,详细了解 <a href="/security/enhancements/index.html">Android 安全平台防护功能</a>和 Google Play 保护机制,这些功能可提高 Android 平台的安全性。 </p> <p> <strong>注意</strong>:如需了解与适用于 Google 设备的最新无线下载更新 (OTA) 和固件映像相关的信息,请参阅 2018 年 1 月 Pixel/Nexus 安全公告。 @@ -76,7 +77,8 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 </tr> <tr> <td>CVE-2017-13176</td> - <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5">A-68341964</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5"> + A-68341964</a></td> <td>EoP</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> @@ -101,105 +103,120 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 </tr> <tr> <td>CVE-2017-13177</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c">A-68320413</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c"> + A-68320413</a></td> <td>RCE</td> <td>严重</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13178</td> - <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b">A-66969281</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b"> + A-66969281</a></td> <td>RCE</td> <td>严重</td> <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13179</td> - <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516">A-66969193</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516"> + A-66969193</a></td> <td>RCE</td> <td>严重</td> <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13180</td> - <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382">A-66969349</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382"> + A-66969349</a></td> <td>EoP</td> <td>高</td> <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13181</td> - <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d">A-67864232</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d"> + A-67864232</a></td> <td>EoP</td> <td>高</td> <td>7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13182</td> - <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e">A-67737022</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e"> + A-67737022</a></td> <td>EoP</td> <td>高</td> <td>8.0、8.1</td> </tr> <tr> <td>CVE-2017-13184</td> - <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543">A-65483324</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543"> + A-65483324</a></td> <td>EoP</td> <td>高</td> <td>8.0、8.1</td> </tr> <tr> <td>CVE-2017-0855</td> - <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7">A-64452857</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7"> + A-64452857</a></td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td> </tr> <tr> <td>CVE-2017-13191</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264">A-64380403</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> + A-64380403</a></td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13192</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5">A-64380202</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5"> + A-64380202</a></td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13193</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2">A-65718319</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2"> + A-65718319</a></td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13195</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f">A-65398821</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f"> + A-65398821</a></td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13196</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264">A-63522067</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> + A-63522067</a></td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13197</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471">A-64784973</a></td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471"> + A-64784973</a></td> <td>DoS</td> <td>高</td> <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13199</td> - <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4">A-33846679</a></td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4"> + A-33846679</a></td> <td>DoS</td> <td>高</td> <td>8.0、8.1</td> @@ -224,28 +241,34 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 </tr> <tr> <td>CVE-2017-13208</td> - <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868">A-67474440</a></td> + <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868"> + A-67474440</a></td> <td>RCE</td> <td>严重</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13209</td> - <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7">A-68217907</a>[<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>][<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td> + <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7"> + A-68217907</a> +[<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>] +[<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td> <td>EoP</td> <td>高</td> <td>8.0、8.1</td> </tr> <tr> <td>CVE-2017-13210</td> - <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62">A-67782345</a></td> + <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62"> + A-67782345</a></td> <td>EoP</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13211</td> - <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e">A-65174158</a></td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e"> + A-65174158</a></td> <td>DoS</td> <td>高</td> <td>8.0</td> @@ -254,7 +277,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <h2 id="2018-01-05-security-patch-level—vulnerability-details">2018-01-05 安全补丁程序级别 - 漏洞详情</h2> <p> -我们在下面提供了 2018-01-05 补丁程序级别涵盖的每个安全漏洞的详细信息,漏洞列在受其影响的组件下,其中包括 CVE、相关参考信息、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。在适用的情况下,我们会将 Bug ID 链接到解决相应问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还通过 Bug ID 后面的数字链接到了更多参考信息。 +我们在下面提供了 2018-01-05 补丁程序级别涵盖的每个安全漏洞的详细信息,漏洞列在受其影响的组件下,其中包括 CVE、相关参考信息、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。在适用的情况下,我们会将 Bug ID 链接到解决相应问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。 </p> <h3 id="htc-components">HTC 组件</h3> @@ -301,7 +324,8 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <tr> <td>CVE-2017-14497</td> <td>A-66694921<br /> - <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd">上游内核</a></td> + <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd"> +上游内核</a></td> <td>EoP</td> <td>高</td> <td>TCP 数据包处理</td> @@ -309,7 +333,8 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <tr> <td>CVE-2017-13215</td> <td>A-64386293<br /> - <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=v3.18.78&id=36c84b22ac8aa041cbdfbe48a55ebb32e3521704">上游内核</a></td> + <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=v3.18.78&id=36c84b22ac8aa041cbdfbe48a55ebb32e3521704"> +上游内核</a></td> <td>EoP</td> <td>高</td> <td>Skcipher</td> @@ -380,31 +405,6 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 </tr> </tbody></table> -<h3 id="mediatek-components">MediaTek 组件</h3> -<p>这一部分中最严重的漏洞可让本地恶意应用通过特许进程执行任意代码。</p> - -<table> - <colgroup><col width="17%" /> - <col width="19%" /> - <col width="9%" /> - <col width="14%" /> - <col width="39%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>参考信息</th> - <th>类型</th> - <th>严重程度</th> - <th>组件</th> - </tr> - <tr> - <td>CVE-2017-13225</td> - <td>A-38308024<a href="#asterisk">*</a><br />M-ALPS03495789</td> - <td>EoP</td> - <td>高</td> - <td>MTK 媒体</td> - </tr> -</tbody></table> - <h3 id="nvidia-components">NVIDIA 组件</h3> <p>这一部分中最严重的漏洞可让本地恶意应用通过特许进程执行任意代码。</p> @@ -423,7 +423,8 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 </tr> <tr> <td>CVE-2017-0869</td> - <td>A-37776156<a href="#asterisk">*</a><br />N-CVE-2017-0869</td> + <td>A-37776156<a href="#asterisk">*</a><br /> + N-CVE-2017-0869</td> <td>EoP</td> <td>高</td> <td>Nvidia 驱动程序</td> @@ -483,49 +484,49 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <tr> <td>CVE-2017-14911</td> <td>A-62212946<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>严重</td> <td>闭源组件</td> </tr> <tr> <td>CVE-2017-14906</td> <td>A-32584150<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>高</td> <td>闭源组件</td> </tr> <tr> <td>CVE-2017-14912</td> <td>A-62212739<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>高</td> <td>闭源组件</td> </tr> <tr> <td>CVE-2017-14913</td> <td>A-62212298<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>高</td> <td>闭源组件</td> </tr> <tr> <td>CVE-2017-14915</td> <td>A-62212632<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>高</td> <td>闭源组件</td> </tr> <tr> <td>CVE-2013-4397</td> <td>A-65944893<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>高</td> <td>闭源组件</td> </tr> <tr> <td>CVE-2017-11010</td> <td>A-66913721<a href="#asterisk">*</a></td> - <td>无</td> + <td>N/A</td> <td>高</td> <td>闭源组件</td> </tr> @@ -533,7 +534,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <h2 id="common-questions-and-answers">常见问题和解答</h2> <p> -这一部分针对阅读本公告后可能产生的常见问题提供了相应的解答。 +这一部分解答了用户阅读本公告后可能会提出的常见问题。 </p> <p> <strong>1. 如何确定我的设备是否已更新到解决了这些问题的版本? @@ -556,7 +557,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <strong>2. 为何本公告会有 2 个安全补丁程序级别?</strong> </p> <p> -本公告之所以会有 2 个安全补丁程序级别,目的是让 Android 合作伙伴能够灵活地、更快速地修复所有 Android 设备上的一系列类似漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。 +本公告有 2 个安全补丁程序级别,目的是让 Android 合作伙伴能够灵活地、更快速地修复所有 Android 设备上类似的一系列漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。 </p> <ul> <li>使用 2018-01-01 安全补丁程序级别的设备必须包含该安全补丁程序级别对应的所有问题的修复方案,以及针对之前的安全公告中报告的所有问题的修复方案。</li> @@ -575,7 +576,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> - <th>缩写</th> + <th>缩写词</th> <th>定义</th> </tr> <tr> @@ -644,8 +645,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 </p> <p> 本安全公告中记录的安全漏洞是在 Android 设备上采用最新安全补丁程序级别所必不可少的。 -在设备/合作伙伴安全公告中记录的其他安全漏洞不是采用安全补丁程序级别所必需的。 -我们建议 Android 设备和芯片组制造商通过自己的安全网站(例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html">LGE</a> 或 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全公告)记录其设备上存在的其他修复程序。 +在设备/合作伙伴安全公告中记录的其他安全漏洞不是采用安全补丁程序级别所必需的。我们建议 Android 设备和芯片组制造商通过自己的安全网站(例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html">LGE</a> 或 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全公告)记录其设备上存在的其他修复程序。 </p> <h2 id="versions">版本</h2> <table> @@ -672,6 +672,10 @@ Android 合作伙伴在本公告发布前至少一个月就已收到所有问题 <td>2018 年 1 月 5 日</td> <td>修订了本公告,添加了 AOSP 链接。</td> </tr> -</tbody></table> + <tr> + <td>1.3</td> + <td>2018 年 1 月 29 日</td> + <td>将 CVE-2017-13225 移到了 <a href="/security/bulletin/pixel/">Pixel / Nexus 安全公告</a>。</td> +</tr></tbody></table> </body></html>
\ No newline at end of file |