上周,谷歌发布了2018年7月的Android补丁,解决了流行的移动操作系统中的数十个漏洞。共解决了11个漏洞,包括3个关键问题和8个影响框架,媒体框架和系统的高风险漏洞。影响框架的最严重漏洞(CVE-2018-9433)可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。多个Android版本受到影响。

修复关键远程代码执行漏洞

关键漏洞是远程代码执行问题,其他缺陷包括信息泄露错误,拒绝服务和特权提升问题。

影响框架的最严重漏洞(CVE-2018-9433)可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。

“本节中最严重的漏洞可能使远程攻击者使用特制文件在特权进程的上下文中执行任意代码,”

系统(CVE-2018-9365)组件中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

媒体框架组件(CVE-2018-9411)中最严重的漏洞可能被远程攻击者利用特制文件在特权进程的上下文中执行任意代码。

受影响版本

受影响的Android版本是Android 6.0,6.0.1,7.0,7.1.1,7.1.2,8.0和8.1。

作为2018-07-05安全补丁级别的一部分,Google还解决了总共32个漏洞,8个关键问题和24个被评为高风险。

这些漏洞影响内核(4个特权错误提升),Qualcomm(6个,1个关键RCE缺陷,1个高严重级RCE,2个高风险信息高风险问题和2个特权提升漏洞),以及Qualcomm闭源(22,7个关键问题和15个高风险漏洞)组件。

2018-07-01安全补丁级漏洞详细信息

框架

CVE References Type Severity Updated AOSP versions
CVE-2018-9433 A-38196219 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2018-9410 A-77822336 ID High 8.0, 8.1

媒体框架

CVE References Type Severity Updated AOSP versions
CVE-2018-9411 A-79376389 RCE Critical 8.0, 8.1
CVE-2018-9424 A-76221123 EoP High 8.0, 8.1
CVE-2018-9428 A-74122779 EoP High 8.1
CVE-2018-9412 A-78029004 DoS High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9421 A-77237570 ID High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

系统

CVE References Type Severity Updated AOSP versions
CVE-2018-9365 A-74121126 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9432 A-73173182 EoP High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9420 A-77238656 ID High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9419 A-74121659 ID High 7.0, 7.1.1, 7.1.2, 8.0, 8.1

2018-07-05安全补丁级漏洞详细信息

内核组件

CVE References Type Severity Component
CVE-2018-5703 A-73543437 
Upstream kernel
EoP High IPV6 stack
CVE-2018-9422 A-74250718 
Upstream kernel
EoP High futex
CVE-2018-9417 A-74447444* 
Upstream kernel *
EoP High USB driver
CVE-2018-6927 A-76106267 
Upstream kernel
EoP High futex

高通组件

CVE References Type Severity Component
CVE-2018-5872 A-77528138 
QC-CR#2183014
RCE Critical WLAN
CVE-2018-5855 A-77527719 
QC-CR#2181685
ID High WLAN
CVE-2017-13077, CVE-2017-13078 A-78285557 
QC-CR#2133114
ID High WLAN
CVE-2018-5873 A-77528487 
QC-CR#2166382
EoP High nsfs
CVE-2018-5838 A-63146462 
QC-CR#2151011
EoP High OpenGL ES driver
CVE-2018-3586 A-63165135 
QC-CR#2139538 
QC-CR#2073777
RCE High ADSPRPC heap manager

高通闭源组件

这些漏洞会影响Qualcomm组件,并在相应的Qualcomm AMSS安全公告或安全警报中进一步详细说明。这些问题的严重性评估由Qualcomm直接提供。

CVE References Type Severity Component
CVE-2017-18171 A-78240792 * N/A Critical Closed-source component
CVE-2017-18277 A-78240715 * N/A High Closed-source component
CVE-2017-18172 A-78240449 * N/A High Closed-source component
CVE-2017-18170 A-78240612 * N/A High Closed-source component
CVE-2017-15841 A-78240794 * N/A High Closed-source component
CVE-2017-18173 A-78240199 * N/A High Closed-source component
CVE-2017-18278 A-78240071 * N/A High Closed-source component
CVE-2016-2108 A-78240736 * N/A Critical Closed-source component
CVE-2017-18275 A-78242049 * N/A High Closed-source component
CVE-2017-18279 A-78241971 * N/A High Closed-source component
CVE-2017-18274 A-78241834 * N/A High Closed-source component
CVE-2017-18276 A-78241375 * N/A High Closed-source component
CVE-2017-18131 A-68989823 * N/A High Closed-source component
CVE-2018-11259 A-72951265 * N/A Critical Closed-source component
CVE-2018-11258 A-72951054 * N/A High Closed-source component
CVE-2018-11257 A-74235874 * N/A Critical Closed-source component
CVE-2018-5837 A-74236406 * N/A High Closed-source component
CVE-2018-5876 A-77485022 * N/A Critical Closed-source component
CVE-2018-5875 A-77485183 * N/A Critical Closed-source component
CVE-2018-5874 A-77485139 * N/A Critical Closed-source component
CVE-2018-5882 A-77483830 * N/A High Closed-source component
CVE-2018-5878 A-77484449 * N/A High Closed-source component