diff options
Diffstat (limited to 'zh-tw/security/bulletin/2018-02-01.html')
-rw-r--r-- | zh-tw/security/bulletin/2018-02-01.html | 85 |
1 files changed, 54 insertions, 31 deletions
diff --git a/zh-tw/security/bulletin/2018-02-01.html b/zh-tw/security/bulletin/2018-02-01.html index 478ba7b3..166a8a83 100644 --- a/zh-tw/security/bulletin/2018-02-01.html +++ b/zh-tw/security/bulletin/2018-02-01.html @@ -19,14 +19,13 @@ See the License for the specific language governing permissions and limitations under the License. --> - <p><em>發佈日期:2018 年 2 月 5 日</em></p> + <p><em>發佈日期:2018 年 2 月 5 日 | 更新日期:2018 年 2 月 14 日</em></p> <p> Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。2018-02-05 之後的安全性修補程式等級已解決了這些問題。請參閱<a href="https://support.google.com/pixelphone/answer/4457705">檢查及更新 Android 版本</a>一文,瞭解如何查看裝置的安全性修補程式等級。 </p> <p> -Android 的合作夥伴在至少一個月之前已收到公告中所有問題的相關通知。這些問題的原始碼修補程式將於接下來 48 小時內發佈到 Android 開放原始碼計劃 (AOSP) 存放區,等到相關 Android 開放原始碼計劃連結建立完成後,我們就會修訂這則公告。 -</p> +Android 的合作夥伴在至少一個月之前已收到公告中所有問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計劃以外的修補程式連結。</p> <p> 在這些問題中,最嚴重的就是媒體架構中「最高」等級的安全性漏洞。遠端攻擊者可利用這類漏洞,在獲得授權的程序環境內透過特製檔案執行任何程式碼。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被關閉,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,使用者的裝置會受到多大的影響,據此評定漏洞的嚴重程度。 </p> @@ -48,7 +47,7 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 下列各節針對 2018-02-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了問題說明和一份 CVE 資訊表,其中包括了相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>,以及更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> <h3 id="media-framework">媒體架構</h3> -<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何指令。</p> +<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p> <table> <colgroup><col width="17%" /> @@ -65,28 +64,34 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 </tr> <tr> <td>CVE-2017-13228</td> - <td>A-69478425</td> + <td><a href="https://android.googlesource.com/platform/external/libavc/+/04b68a0a51729b655bcd0f5ae5ec20645eeda946"> + A-69478425</a></td> <td>RCE</td> <td>最高</td> <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13231</td> - <td>A-67962232</td> + <td><a href="https://android.googlesource.com/platform/hardware/interfaces/+/16a3cd0b0729bd53265897cf8c790013156e92ce"> + A-67962232</a> + </td> <td>EoP</td> <td>高</td> <td>8.0、8.1</td> </tr> <tr> <td>CVE-2017-13232</td> - <td>A-68953950</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/6a5d1fc7cbccd85054e56542a633149622effa67"> + A-68953950</a> + </td> <td>ID</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td rowspan="2">CVE-2017-13230</td> - <td rowspan="2">A-65483665</td> + <td rowspan="2"><a href="https://android.googlesource.com/platform/external/libhevc/+/68e532d83a1b98f6b5e297d71b547ed93a68dfe3"> + A-65483665</a></td> <td>DoS</td> <td>高</td> <td>7.0、7.1.1、7.1.2、8.0、8.1</td> @@ -98,14 +103,18 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 </tr> <tr> <td>CVE-2017-13233</td> - <td>A-62851602</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/a22314db4e0cfe11ef3e50dac6a13d52f7a595b3"> + A-62851602</a> + </td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2017-13234</td> - <td>A-68159767</td> + <td><a href="https://android.googlesource.com/platform/external/sonivox/+/33f45caed3b60bf81790e9b76cf82c8e8d6ed902"> + A-68159767</a> + </td> <td>DoS</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> @@ -130,7 +139,10 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 </tr> <tr> <td>CVE-2017-13236</td> - <td>A-68217699</td> + <td><a href="https://android.googlesource.com/platform/system/security/+/80592e62a6ae095041e95b811ad7066dd44d37f6"> + A-68217699</a> + [<a href="https://android.googlesource.com/platform/system/security/+/b49160023ee8f73ce0ac97f9f4604a34ebdecf76">2</a>] + </td> <td>EoP</td> <td>中</td> <td>8.0、8.1</td> @@ -169,12 +181,12 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 <td>A-71486645<a href="#asterisk">*</a></td> <td>EoP</td> <td>中</td> - <td>系統啟動載入程式</td> + <td>開機載入器</td> </tr> </tbody></table> <h3 id="kernel-components">核心元件</h3> -<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。</p> +<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何程式碼。</p> <table> <colgroup><col width="17%" /> @@ -208,7 +220,7 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 <td>多重佇列 block IO</td> </tr> <tr> - <td>CVE-2017-17770</td> + <td>CVE-2017-13273</td> <td>A-65853158<a href="#asterisk">*</a></td> <td>EoP</td> <td>高</td> @@ -217,7 +229,7 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 </tbody></table> <h3 id="nvidia-components">NVIDIA 元件</h3> -<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。</p> +<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何程式碼。</p> <table> <colgroup><col width="17%" /> @@ -251,7 +263,7 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 </tbody></table> <h3 id="qualcomm-components">Qualcomm 元件</h3> -<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何指令。</p> +<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p> <table> <colgroup><col width="17%" /> @@ -270,21 +282,21 @@ Android 的合作夥伴在至少一個月之前已收到公告中所有問題的 <td>CVE-2017-15817</td> <td>A-68992394<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=8ba78e506e5002cdae525dd544dbf1df0ccce1ef"> -QC-CR#2076603 [2]</a> [<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=fe43c2b64ac81199de17efc258e95546cb0546f1"> -2</a>]</td> +QC-CR#2076603</a> + [<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/prima/commit/?id=fe43c2b64ac81199de17efc258e95546cb0546f1">2</a>]</td> <td>RCE</td> <td>最高</td> - <td>WLan</td> + <td>WLAN</td> </tr> <tr> - <td>CVE-2017-17760</td> + <td>CVE-2017-15860</td> <td>A-68992416<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=71331327ac389bff7d5af2707c4325e5b7949013"> -QC-CR#2082544 [2]</a> [<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=a6afff2717791ceb281354833d4489123ae62605"> -2</a>]</td> +QC-CR#2082544</a> + [<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=a6afff2717791ceb281354833d4489123ae62605">2</a>]</td> <td>RCE</td> <td>最高</td> - <td>WLan</td> + <td>WLAN</td> </tr> <tr> <td>CVE-2017-11041</td> @@ -309,16 +321,16 @@ QC-CR#2082544 [2]</a> [<a href="https://source.codeaurora.org/quic/la/platform/v QC-CR#2115112</a></td> <td>EoP</td> <td>高</td> - <td>WLan</td> + <td>WLAN</td> </tr> <tr> - <td>CVE-2017-17762</td> + <td>CVE-2017-15862</td> <td>A-68992439<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-3.0/commit/?id=41ee23cd0972ef2ed47dd76eb7cd44a0268e4f9f"> QC-CR#2114426</a></td> <td>EoP</td> <td>高</td> - <td>WLan</td> + <td>WLAN</td> </tr> <tr> <td>CVE-2017-14884</td> @@ -327,7 +339,7 @@ QC-CR#2114426</a></td> QC-CR#2113052</a></td> <td>EoP</td> <td>高</td> - <td>WLan</td> + <td>WLAN</td> </tr> <tr> <td>CVE-2017-15829</td> @@ -354,16 +366,16 @@ QC-CR#2093377</a></td> QC-CR#2114789</a></td> <td>EoP</td> <td>高</td> - <td>WLan</td> + <td>WLAN</td> </tr> <tr> - <td>CVE-2017-17761</td> + <td>CVE-2017-15861</td> <td>A-68992434<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-3.0/commit/?id=13e3a516935a0dd90a7bc39e51c30c1592c548b7"> QC-CR#2114187</a></td> <td>EoP</td> <td>高</td> - <td>WLan</td> + <td>WLAN</td> </tr> </tbody></table> @@ -499,7 +511,8 @@ QC-CR#2114187</a></td> <p> <strong>6. 為什麼安全性漏洞會分別刊載在這份安全性公告和裝置/合作夥伴安全性公告 (例如 Pixel/Nexus 公告)?</strong> </p> -<p>為了宣告 Android 裝置最新的安全性修補程式等級,我們必須先在這份安全性公告中刊載相關的安全性漏洞。裝置/合作夥伴安全性公告所刊載的其他安全性漏洞並未強制規定宣告安全性修補程式等級。我們鼓勵 Android 裝置和晶片製造商透過自己的網站刊載修正方法,例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html">LGE</a> 或是 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全性公告。 +<p> +為了宣告 Android 裝置最新的安全性修補程式等級,我們必須先在這份安全性公告中刊載相關的安全性漏洞。裝置/合作夥伴安全性公告所刊載的其他安全性漏洞並未強制規定宣告安全性修補程式等級。我們鼓勵 Android 裝置和晶片製造商透過自己的網站刊載修正方法,例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html">LGE</a> 或是 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全性公告。 </p> <h2 id="versions">版本</h2> <table> @@ -516,6 +529,16 @@ QC-CR#2114187</a></td> <td>2018 年 2 月 5 日</td> <td>發佈公告。</td> </tr> + <tr> + <td>1.1</td> + <td>2018 年 2 月 7 日</td> + <td>修訂公告內容 (加入 Android 開放原始碼計劃連結)。</td> + </tr> + <tr> + <td>1.2</td> + <td>2018 年 2 月 14 日</td> + <td>修正 CVE-2017-13273、CVE-2017-15860、CVE-2017-15861 和 CVE-2017-15862 的 CVE 編號。</td> + </tr> </tbody></table> </body></html>
\ No newline at end of file |