diff options
Diffstat (limited to 'ru/security/bulletin/2018-12-01.html')
| -rw-r--r-- | ru/security/bulletin/2018-12-01.html | 709 |
1 files changed, 709 insertions, 0 deletions
diff --git a/ru/security/bulletin/2018-12-01.html b/ru/security/bulletin/2018-12-01.html new file mode 100644 index 00000000..8e584dbd --- /dev/null +++ b/ru/security/bulletin/2018-12-01.html @@ -0,0 +1,709 @@ +<html devsite><head> + <title>Бюллетень по безопасности Android – декабрь 2018 г.</title> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> + </head> + <body> + <!-- + Copyright 2018 The Android Open Source Project + + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + + //www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. + --> +<p><em>Опубликовано 3 декабря 2018 г.</em></p> + +<p> +В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 декабря 2018 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705" class="external">Справочном центре</a>. +</p> +<p>Исправления уязвимостей будут добавлены в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.</p> +<p> +Самая серьезная из проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. <a href="/security/overview/updates-resources.html#severity">Уровень серьезности</a> зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны. +</p> +<p> +У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе <a href="#mitigations">Предотвращение атак</a> рассказывается, как <a href="/security/enhancements/">платформа безопасности</a> и Google Play Защита помогают снизить вероятность атак на Android. +</p> +<p class="note"> +<strong>Примечание.</strong> Информация о последних автоматических обновлениях (OTA) и образах встроенного ПО для устройств Google содержится в <a href="/security/bulletin/pixel/2018-12-01">бюллетене по безопасности Pixel и Nexus</a> за декабрь 2018 года. +</p> + +<h2 id="mitigations">Предотвращение атак</h2> + +<p> +Ниже рассказывается, как <a href="/security/enhancements/">платформа безопасности</a> и средства защиты сервисов, например <a href="https://www.android.com/play-protect" class="external">Google Play Защита</a>, позволяют снизить вероятность атак на Android. +</p> +<ul> +<li>В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.</li> +<li>Команда, отвечающая за безопасность Android, с помощью <a href="https://www.android.com/play-protect" class="external">Google Play Защиты</a> активно отслеживает злоупотребления и предупреждает пользователей об установке <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">потенциально опасных приложений</a>. Google Play Защита включена по умолчанию на всех телефонах и планшетах, использующих <a href="http://www.android.com/gms" class="external">сервисы Google для мобильных устройств</a>. Она особенно важна, если устанавливается ПО из сторонних источников.</li> +</ul> +<h2 id="2018-12-01-details">Описание уязвимостей (обновление системы безопасности 2018-12-01)</h2> +<p> +В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-12-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведены описание и таблица, где указаны CVE, ссылки, <a href="#type">тип уязвимости</a>, <a href="/security/overview/updates-resources.html#severity">уровень серьезности</a>, а также версии AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках. +</p> + +<h3 id="framework">Framework</h3> + +<p>Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Обновленные версии AOSP</th> + </tr> + <tr> + <td>CVE-2018-9547</td> + <td>A-114223584</td> + <td>ПП</td> + <td>Высокий</td> + <td>8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9548</td> + <td>A-112555574</td> + <td>РИ</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> +</tbody></table> + +<h3 id="media-framework">Media Framework</h3> +<p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Обновленные версии AOSP</th> + </tr> + <tr> + <td>CVE-2018-9549</td> + <td>A-112160868</td> + <td>УВК</td> + <td>Критический</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9550</td> + <td>A-112660981</td> + <td>УВК</td> + <td>Критический</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9551</td> + <td>A-112891548</td> + <td>УВК</td> + <td>Критический</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9552</td> + <td>A-113260892</td> + <td>РИ</td> + <td>Критический</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9553</td> + <td>A-116615297</td> + <td>УВК</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9538</td> + <td>A-112181526</td> + <td>ПП</td> + <td>Высокий</td> + <td>8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9554</td> + <td>A-114770654</td> + <td>РИ</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1</td> + </tr> +</tbody></table> + +<h3 id="system">Система</h3> +<p>Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданной передачи.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Обновленные версии AOSP</th> + </tr> + <tr> + <td>CVE-2018-9555</td> + <td>A-112321180</td> + <td>УВК</td> + <td>Критический</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9556</td> + <td>A-113118184</td> + <td>УВК</td> + <td>Критический</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9557</td> + <td>A-35385357</td> + <td>ПП</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2</td> + </tr> + <tr> + <td>CVE-2018-9558</td> + <td>A-112161557</td> + <td>ПП</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9559</td> + <td>A-112731440</td> + <td>ПП</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> + <tr> + <td>CVE-2018-9560</td> + <td>A-79946737</td> + <td>ПП</td> + <td>Высокий</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9562</td> + <td>A-113164621</td> + <td>РИ</td> + <td>Высокий</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9566</td> + <td>A-74249842</td> + <td>РИ</td> + <td>Высокий</td> + <td>7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0</td> + </tr> +</tbody></table> + +<h2 id="2018-12-05-details">Описание уязвимостей (обновление системы безопасности 2018-12-05)</h2> + +<p> +В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2018-12-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица, где указаны CVE, ссылки, <a href="#type">тип уязвимости</a>, <a href="/security/overview/updates-resources.html#severity">уровень серьезности</a>, а также версии AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). и дополнительные ссылки в квадратных скобках. +</p> + +<h3 id="system-05">Система</h3> + +<p>Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, удаленно раскрывать информацию.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Компонент</th> + </tr> + <tr> + <td>CVE-2018-9565</td> + <td>A-16680558</td> + <td>РИ</td> + <td>Высокий</td> + <td>Протокол OMA-DM</td> + </tr> +</tbody></table> + +<h3 id="htc-components">Компоненты HTC</h3> + +<p>Самая серьезная уязвимость позволяет злоумышленнику, в руки которого попало устройство, обходить требования к взаимодействию с пользователем и получать доступ к дополнительным разрешениям.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Компонент</th> + </tr> + <tr> + <td>CVE-2018-9567</td> + <td>A-65543936</td> + <td>ПП</td> + <td>Высокий</td> + <td>Загрузчик</td> + </tr> +</tbody></table> + +<h3 id="kernel-components">Компоненты ядра</h3> + +<p>Самая серьезная уязвимость позволяет злоумышленнику, в руки которого попало устройство, выполнять произвольный код в контексте привилегированного процесса.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Компонент</th> + </tr> + <tr> + <td>CVE-2018-10840</td> + <td>A-116406508<br /> +<a href="https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10840">Upstream kernel</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>Файловая система ext4</td> + </tr> + <tr> + <td>CVE-2018-9568</td> + <td>A-113509306<br /> +<a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/net/core/sock.c?id=9d538fa60bad4f7b23193c89e843797a1cf71ef3">Upstream kernel</a></td> + <td>ПП</td> + <td>Высокий</td> + <td>Сеть</td> + </tr> +</tbody></table> + +<h3 id="qualcomm-components">Компоненты Qualcomm</h3> + +<p>Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. +Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Компонент</th> + </tr> + <tr> + <td>CVE-2018-11960</td> + <td>A-114042002<br /> +<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=18ce15db603e19cfac9a2f4076f255e879100495">QC-CR#2264832</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>HWEngines</td> + </tr> + <tr> + <td>CVE-2018-11961</td> + <td>A-114040881<br /> +<a href="https://source.codeaurora.org/quic/le/platform/hardware/qcom/gps/commit/?id=c57ee0a5d3261ab20c35b451d1b3ae2b02a21591">QC-CR#2261813</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>GPS_AP_LINUX</td> + </tr> + <tr> + <td>CVE-2018-11963</td> + <td>A-114041685<br /> +<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=c9ac3476a91c384a3f2760fabaecef0ad8698d7b">QC-CR#2220770</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Автомобильная мультимедиасистема</td> + </tr> +</tbody></table> + +<h3 id="qualcomm-closed-source-components">Компоненты Qualcomm с закрытым исходным кодом</h3> + +<p>Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>Ссылки</th> + <th>Тип</th> + <th>Уровень серьезности</th> + <th>Компонент</th> + </tr> + <tr> + <td>CVE-2017-8248</td> + <td>A-78135902<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Критический</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-11004</td> + <td>A-66913713<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Критический</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18141</td> + <td>A-67712316<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Критический</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-5913</td> + <td>A-79419833<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Критический</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-11279</td> + <td>A-109678200<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Критический</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18319</td> + <td>A-78284753<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18321</td> + <td>A-78283451<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18322</td> + <td>A-78285196<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18323</td> + <td>A-78284194<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18324</td> + <td>A-78284517<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18327</td> + <td>A-78240177<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18331</td> + <td>A-78239686<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18332</td> + <td>A-78284545<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18160</td> + <td>A-109660689<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18326</td> + <td>A-78240324<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-8276</td> + <td>A-68141338<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18328</td> + <td>A-78286046<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18329</td> + <td>A-73539037<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18330</td> + <td>A-73539235<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-3595</td> + <td>A-71501115<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-18320</td> + <td>A-33757308<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-11999</td> + <td>A-74236942<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-5867</td> + <td>A-77485184<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-5868</td> + <td>A-77484529<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-5869</td> + <td>A-33385206<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2017-5754</td> + <td>A-79419639<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-5915</td> + <td>A-79420511<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-11267</td> + <td>A-109678338<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> + <tr> + <td>CVE-2018-11922</td> + <td>A-112279564<a href="#asterisk">*</a></td> + <td>Н/Д</td> + <td>Высокий</td> + <td>Компонент с закрытым исходным кодом</td> + </tr> +</tbody></table> + +<h2 id="common-questions-and-answers">Часто задаваемые вопросы</h2> + +<p>В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.</p> +<p><strong>1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?</strong></p> +<p>Информацию о том, как проверить обновления системы безопасности, можно найти в <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices" class="external">Справочном центре</a>.</p> +<ul> +<li>В исправлении от 1 декабря 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-12-01.</li> +<li>В исправлении от 5 декабря 2018 года или более новом устранены все проблемы, связанные с обновлением 2018-12-05.</li> +</ul> +<p>Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:</p> +<ul> + <li>[ro.build.version.security_patch]:[2018-12-01]</li> + <li>[ro.build.version.security_patch]:[2018-12-05]</li> +</ul> +<p><strong>2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?</strong></p> +<p> +Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности. +</p> +<ul> +<li>На устройствах с установленным обновлением 2018-12-01 должны быть исправлены все проблемы, упомянутые в соответствующем разделе этого бюллетеня, а также в предыдущих выпусках.</li> +<li>На устройствах с установленным обновлением 2018-12-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.</li> +</ul> +<p> +Рекомендуем партнерам собрать все исправления проблем в одно обновление. +</p> +<p id="type"> +<strong>3. Что означают сокращения в столбце <em>Тип</em>?</strong> +</p> +<p> +В этом столбце указан тип уязвимости по следующей классификации:<em></em> +</p> +<table> + <colgroup><col width="25%" /> + <col width="75%" /> + </colgroup><tbody><tr> + <th>Сокращение</th> + <th>Описание</th> + </tr> + <tr> + <td>УВК</td> + <td>Удаленное выполнение кода</td> + </tr> + <tr> + <td>ПП</td> + <td>Повышение привилегий</td> + </tr> + <tr> + <td>РИ</td> + <td>Раскрытие информации</td> + </tr> + <tr> + <td>ОО</td> + <td>Отказ в обслуживании</td> + </tr> + <tr> + <td>Н/Д</td> + <td>Классификация недоступна</td> + </tr> +</tbody></table> +<p> +<strong>4. Что означает информация в столбце <em>Ссылки</em>?</strong> +</p> +<p> +В таблицах с описанием уязвимостей есть столбец <em>Ссылки</em>. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно: +</p> +<table> + <colgroup><col width="25%" /> + <col width="75%" /> + </colgroup><tbody><tr> + <th>Префикс</th> + <th>Значение</th> + </tr> + <tr> + <td>A-</td> + <td>Идентификатор ошибки Android</td> + </tr> + <tr> + <td>QC-</td> + <td>Ссылочный номер Qualcomm</td> + </tr> + <tr> + <td>M-</td> + <td>Ссылочный номер MediaTek</td> + </tr> + <tr> + <td>N-</td> + <td>Ссылочный номер NVIDIA</td> + </tr> + <tr> + <td>B-</td> + <td>Ссылочный номер Broadcom</td> + </tr> +</tbody></table> +<p id="asterisk"> +<strong>5. Что означает символ * рядом с идентификатором ошибки Android в столбце <em>Ссылки</em>?</strong> +</p> +<p> +Символ * означает, что исправление для уязвимости не опубликовано.<em></em> Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel и Nexus, которые можно скачать на <a href="https://developers.google.com/android/drivers" class="external">сайте Google Developers</a>. +</p> +<p> +<strong>6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel и Nexus, а также в остальных бюллетенях партнеров?</strong> +</p> +<p> +В этом бюллетене описаны уязвимости, которые были устранены в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах, например <a href="https://security.samsungmobile.com/securityUpdate.smsb" class="external">Samsung</a>, <a href="https://lgsecurity.lge.com/security_updates.html" class="external">LGE</a>, а также <a href="/security/bulletin/pixel/" class="external">Pixel и Nexus</a>. +</p> + +<h2 id="versions">Версии</h2> + +<table> + <colgroup><col width="25%" /> + <col width="25%" /> + <col width="50%" /> + </colgroup><tbody><tr> + <th>Версия</th> + <th>Дата</th> + <th>Примечания</th> + </tr> + <tr> + <td>1.0</td> + <td>3 декабря 2018 г.</td> + <td>Бюллетень опубликован.</td> + </tr> +</tbody></table> + +</body></html>
\ No newline at end of file |