diff options
Diffstat (limited to 'zh-cn/security')
24 files changed, 1339 insertions, 420 deletions
diff --git a/zh-cn/security/advisory/index.html b/zh-cn/security/advisory/index.html index 1c617e69..c2cd0b1d 100644 --- a/zh-cn/security/advisory/index.html +++ b/zh-cn/security/advisory/index.html @@ -33,14 +33,14 @@ <th>发布日期</th> </tr> <tr> - <td><a href="2016-03-18.html">2016-03-18</a></td> + <td><a href="/security/advisory/2016-03-18.html">2016-03-18</a></td> <td> <a href="/security/advisory/2016-03-18.html">English</a> / <a href="/security/advisory/2016-03-18.html?hl=ja">日本語</a> / <a href="/security/advisory/2016-03-18.html?hl=ko">한국어</a> / <a href="/security/advisory/2016-03-18.html?hl=ru">ру́сский</a> / - <a href="/security/advisory/2016-03-18.html?hl=zh-cn">中文(中国)</a>/ - <a href="/security/advisory/2016-03-18.html?hl=zh-tw">中文(台灣)</a> + <a href="/security/advisory/2016-03-18.html?hl=zh-cn">中文 (中国)</a> / + <a href="/security/advisory/2016-03-18.html?hl=zh-tw">中文 (台灣)</a> </td> <td>2016 年 3 月 18 日</td> </tr> diff --git a/zh-cn/security/bulletin/2018-07-01.html b/zh-cn/security/bulletin/2018-07-01.html index 5e6bf3b6..30d9f190 100644 --- a/zh-cn/security/bulletin/2018-07-01.html +++ b/zh-cn/security/bulletin/2018-07-01.html @@ -31,7 +31,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 这些问题中危险性最高的是媒体框架中的一个严重程度为“严重”的安全漏洞,该漏洞可让远程攻击者利用特制的文件通过特权进程执行任意代码。<a href="/security/overview/updates-resources.html#severity">严重程度评估</a>的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。 </p> <p> -尚未有人向我们举报过有用户主动利用或滥用这些新报告的问题。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制提供的缓解措施</a>部分,详细了解有助于提高 Android 平台安全性的 <a href="/security/enhancements/index.html">Android 安全平台防护功能</a>和 Google Play 保护机制。 +我们尚未收到用户关于这些新报告的问题被利用或滥用的举报。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制提供的缓解措施</a>部分,详细了解有助于提高 Android 平台安全性的 <a href="/security/enhancements/index.html">Android 安全平台防护功能</a>和 Google Play 保护机制。 </p> <p class="note"> <strong>注意</strong>:如需了解适用于 Google 设备的最新无线下载更新 (OTA) 和固件映像,请参阅 <a href="/security/bulletin/pixel/2018-07-01.html">2018 年 7 月的 Pixel/Nexus 安全公告</a>。 @@ -43,7 +43,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </p> <ul> <li>较高版本的 Android 平台中提供的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。</li> -<li>Android 安全团队会积极利用 <a href="https://www.android.com/play-protect">Google Play 保护机制</a>监控滥用行为,并会在发现<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的应用</a>时向用户发出警告。在安装有 <a href="http://www.android.com/gms">Google 移动服务</a>的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。</li> +<li>Android 安全团队会积极利用 <a href="https://www.android.com/play-protect">Google Play 保护机制</a>监控滥用行为,并会在发现<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">潜在有害应用</a>时向用户发出警告。在安装有 <a href="http://www.android.com/gms">Google 移动服务</a>的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。</li> </ul> <h2 id="2018-07-01-details">2018-07-01 安全补丁程序级别漏洞详情</h2> <p> @@ -83,7 +83,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tbody></table> <h3 id="media-framework">媒体框架</h3> -<p>这一部分中最严重的漏洞可让远程攻击者利用特制的文件通过特权进程执行任意代码。</p> +<p>这一部分中最严重的漏洞可让远程攻击者利用蓄意创建的文件在特权进程环境中执行任意代码。</p> <table> <colgroup><col width="21%" /> @@ -471,7 +471,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </ul> <p><strong>2. 为何本公告有 2 个安全补丁程序级别?</strong></p> <p> -本公告之所以有 2 个安全补丁程序级别,是为了让 Android 合作伙伴能够灵活地、更快速地修复在各种 Android 设备上类似的一部分漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。 +本公告之所以有 2 个安全补丁程序级别,是为了让 Android 合作伙伴能够灵活地、更快速地修复在各种 Android 设备上类似的一系列漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。 </p> <ul> <li>如果设备使用的是 2018-07-01 这一安全补丁程序级别,则必须包含该安全补丁程序级别涵盖的所有问题以及之前的安全公告中报告的所有问题的修复程序。</li> diff --git a/zh-cn/security/bulletin/2018-09-01.html b/zh-cn/security/bulletin/2018-09-01.html index c6f5d74c..95faa0d8 100644 --- a/zh-cn/security/bulletin/2018-09-01.html +++ b/zh-cn/security/bulletin/2018-09-01.html @@ -30,7 +30,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 这些问题中危险性最高的是媒体框架中的一个严重程度为“严重”的安全漏洞,该漏洞可让远程攻击者利用蓄意创建的文件通过特权进程执行任意代码。<a href="/security/overview/updates-resources.html#severity">严重程度评估</a>的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。 </p> <p> -尚未有人向我们举报过有用户主动利用或滥用这些新报告的问题。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制提供的缓解措施</a>部分,详细了解有助于提高 Android 平台安全性的 <a href="/security/enhancements/">Android 安全平台防护功能</a>和 Google Play 保护机制。 +我们尚未收到用户关于这些新报告的问题被利用或滥用的举报。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制提供的缓解措施</a>部分,详细了解有助于提高 Android 平台安全性的 <a href="/security/enhancements/">Android 安全平台防护功能</a>和 Google Play 保护机制。 </p> <p class="note"> <strong>注意</strong>:如需了解适用于 Google 设备的最新无线下载更新 (OTA) 和固件映像,请参阅 <a href="/security/bulletin/pixel/2018-09-01">2018 年 9 月的 Pixel/Nexus 安全公告</a>。 @@ -42,11 +42,11 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </p> <ul> <li>较高版本的 Android 平台中提供的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。</li> -<li>Android 安全团队会积极利用 <a href="https://www.android.com/play-protect" class="external">Google Play 保护机制</a>监控滥用行为,并会在发现<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的应用</a>时向用户发出警告。在安装有 <a href="http://www.android.com/gms" class="external">Google 移动服务</a>的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。</li> +<li>Android 安全团队会积极利用 <a href="https://www.android.com/play-protect" class="external">Google Play 保护机制</a>监控滥用行为,并会在发现<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">潜在有害应用</a>时向用户发出警告。在安装有 <a href="http://www.android.com/gms" class="external">Google 移动服务</a>的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。</li> </ul> <h2 id="2018-09-01-details">2018-09-01 安全补丁程序级别漏洞详情</h2> <p> -我们在下面提供了 2018-09-01 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 AOSP 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +我们在下面提供了 2018-09-01 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 AOSP 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="android-runtime">Android 运行时</h3> @@ -60,7 +60,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -92,7 +92,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -131,7 +131,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -156,7 +156,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -188,7 +188,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -293,41 +293,9 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> </tbody></table> -<h3 id="update-media-framework">更新:媒体框架</h3> -<p>这一部分中最严重的漏洞可让远程攻击者利用蓄意创建的文件通过特权进程执行任意代码。</p> - -<table> - <colgroup><col width="21%" /> - <col width="21%" /> - <col width="14%" /> - <col width="14%" /> - <col width="30%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>参考内容</th> - <th>类型</th> - <th>严重程度</th> - <th>已更新的 AOSP 版本</th> - </tr> - <tr> - <td>CVE-2018-9411</td> - <td><a href="https://android.googlesource.com/platform/system/libhidl/+/93484b9b015d47c0f7e5f4449a214b2fed8bed4f" class="external">A-79376389</a></td> - <td>RCE</td> - <td>严重</td> - <td>8.0、8.1、9</td> - </tr> - <tr> - <td>CVE-2018-9427</td> - <td><a href="https://android.googlesource.com/platform/frameworks/av/+/29d991fac25b261a72ce73f96c9df594ea5b9242" class="external">A-77486542</a></td> - <td>RCE</td> - <td>严重</td> - <td>8.0、8.1、9</td> - </tr> -</tbody></table> - <h2 id="2018-09-05-details">2018-09-05 安全补丁程序级别漏洞详情</h2> <p> -我们在下面提供了 2018-09-05 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +我们在下面提供了 2018-09-05 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="framework">框架</h3> @@ -341,7 +309,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -366,7 +334,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -391,7 +359,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -463,7 +431,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -711,17 +679,17 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> </tbody></table> <p> -<strong>4.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>4.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -745,16 +713,16 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> </tbody></table> <p id="asterisk"> -<strong>5. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>5. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 </p> <p> <strong>6. 为什么要将安全漏洞拆分到本公告和设备 / 合作伙伴安全公告(如 Pixel/Nexus 公告)中?</strong> </p> <p> -要在 Android 设备上声明最新的安全补丁程序级别,必须修复本安全公告中记录的安全漏洞。但在声明安全补丁程序级别时,并不是必须要修复设备/合作伙伴安全公告中记录的其他安全漏洞。我们建议 Android 设备和芯片组制造商通过自己的安全网站(例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb" class="external">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html" class="external">LGE</a> 或 <a href="/security/bulletin/pixel/" class="external">Pixel&hairsp;/&hairsp;Nexus</a> 安全公告)记录其设备上存在的其他修复程序。 +要在 Android 设备上声明最新的安全补丁程序级别,必须修复本安全公告中记录的安全漏洞。但在声明安全补丁程序级别时,并不是必须要修复设备/合作伙伴安全公告中记录的其他安全漏洞。我们建议 Android 设备和芯片组制造商通过自己的安全网站(例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb" class="external">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html" class="external">LGE</a> 或 <a href="/security/bulletin/pixel/" class="external">Pixel/Nexus</a> 安全公告)记录其设备上存在的其他修复程序。 </p> <h2 id="versions">版本</h2> diff --git a/zh-cn/security/bulletin/2018-11-01.html b/zh-cn/security/bulletin/2018-11-01.html index c1b7bf56..876f5043 100644 --- a/zh-cn/security/bulletin/2018-11-01.html +++ b/zh-cn/security/bulletin/2018-11-01.html @@ -19,13 +19,13 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p><em>发布时间:2018 年 11 月 5 日</em></p> +<p><em>发布时间:2018 年 11 月 5 日 | 更新时间:2018 年 11 月 5 日</em></p> <p> 本 Android 安全公告详细介绍了会影响 Android 设备的安全漏洞。安全补丁程序级别为 2018-11-05 或更新的 Android 系统都已解决本公告中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705" class="external">查看并更新 Android 版本</a>。 </p> <p> -Android 合作伙伴在本公告发布前至少一个月就已收到关于所有问题的通知。我们会在接下来的 48 小时内将针对这些问题的源代码补丁程序发布到 Android 开源项目 (AOSP) 代码库中。届时,我们将会修订本公告,将相关 AOSP 链接增补到本文中。</p> +Android 合作伙伴在本公告发布前至少一个月就已收到关于所有问题的通知。我们已将针对这些问题的源代码补丁程序发布到 Android 开源项目 (AOSP) 代码库中,并在本公告中提供了相应链接。本公告中还提供了指向 AOSP 之外的补丁程序的链接。</p> <p> 这一部分中最严重的漏洞可让邻近区域内的攻击者利用蓄意创建的文件在特权进程环境中执行任意代码。<a href="/security/overview/updates-resources.html#severity">严重程度评估</a>的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。 </p> @@ -35,7 +35,6 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <p class="note"> <strong>注意</strong>:如需了解适用于 Google 设备的最新无线下载更新 (OTA) 和固件映像,请参阅 <a href="/security/bulletin/pixel/2018-11-01">2018 年 11 月的 Pixel / Nexus 安全公告</a>。 </p> - <h2 id="announcements">通告</h2> <p> 我们在 Libxaac 库中发现了多个安全问题,包括 CVE-2018-9528、CVE-2018-9529、CVE-2018-9530、CVE-2018-9531、CVE-2018-9532、CVE-2018-9533、CVE-2018-9534、CVE-2018-9535、CVE-2018-9569、CVE-2018-9570、CVE-2018-9571、CVE-2018-9572、CVE-2018-9573、CVE-2018-9574、CVE-2018-9575、CVE-2018-9576、CVE-2018-9577 和 CVE-2018-9578。</p> @@ -72,21 +71,21 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> <tr> <td>CVE-2018-9522</td> - <td>A-112550251</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/181dc252ddec574464882970d3fab290e8b625b5" class="external">A-112550251</a></td> <td>EoP</td> <td>高</td> <td>9</td> </tr> <tr> <td>CVE-2018-9524</td> - <td>A-34170870</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/c9bc35a45da1e765eb36af604c0c580bd66644cc" class="external">A-34170870</a></td> <td>EoP</td> <td>高</td> <td>7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> <td>CVE-2018-9525</td> - <td>A-111330641</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/6409cf5c94cc1feb72dc078e84e66362fbecd6d5" class="external">A-111330641</a></td> <td>EoP</td> <td>高</td> <td>9</td> @@ -111,42 +110,42 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> <tr> <td>CVE-2018-9527</td> - <td>A-112159345</td> + <td><a href="https://android.googlesource.com/platform/external/tremolo/+/cafff8f4535c8bf933c5a2fcb1a0dd66fb75a1c2" class="external">A-112159345</a></td> <td>RCE</td> <td>严重</td> <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> </tr> <tr> <td>CVE-2018-9531</td> - <td>A-112661641</td> + <td><a href="https://android.googlesource.com/platform/external/aac/+/c2208f2a3098410c5a4c79ad6bd4b6d7e1c0b03f" class="external">A-112661641</a></td> <td>RCE</td> <td>严重</td> <td>9</td> </tr> <tr> <td>CVE-2018-9536</td> - <td>A-112662184</td> + <td><a href="https://android.googlesource.com/platform/external/aac/+/9744e41c40598c6a0b74440f3b5be63f9f3708a5" class="external">A-112662184</a></td> <td>EoP</td> <td>严重</td> <td>9</td> </tr> <tr> <td>CVE-2018-9537</td> - <td>A-112891564</td> + <td><a href="https://android.googlesource.com/platform/external/aac/+/61381bd0f4bc012876ccf4b63eafddd2d60c35c9" class="external">A-112891564</a></td> <td>EoP</td> <td>严重</td> <td>9</td> </tr> <tr> <td>CVE-2018-9521</td> - <td>A-111874331</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/083263937bfb1623adf6015da7ca3cdc258e0352" class="external">A-111874331</a></td> <td>RCE</td> <td>高</td> <td>9</td> </tr> <tr> <td>CVE-2018-9539</td> - <td>A-113027383</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/efe34a570d91b826b009d40e44c2e470dd180ace" class="external">A-113027383</a></td> <td>EoP</td> <td>高</td> <td>8.0、8.1、9</td> @@ -171,42 +170,42 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> <tr> <td>CVE-2018-9540</td> - <td>A-111450417</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/99d54d0c7dbab6c80f15bbf886ed203b2a547453" class="external">A-111450417</a></td> <td>ID</td> <td>高</td> <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> </tr> <tr> <td>CVE-2018-9542</td> - <td>A-111896861</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/cc364611362cc5bc896b400bdc471a617d1ac628" class="external">A-111896861</a></td> <td>ID</td> <td>高</td> <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> </tr> <tr> <td>CVE-2018-9543</td> - <td>A-112868088</td> + <td><a href="https://android.googlesource.com/platform/external/f2fs-tools/+/71313114a147ee3fc4a411904de02ea8b6bf7f91" class="external">A-112868088</a></td> <td>ID</td> <td>高</td> <td>9</td> </tr> <tr> <td>CVE-2018-9544</td> - <td>A-113037220</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/e3fbbdeb251dc59890e469c627fce322614944c0" class="external">A-113037220</a></td> <td>ID</td> <td>高</td> <td>9</td> </tr> <tr> <td>CVE-2018-9545</td> - <td>A-113111784</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/e3fbbdeb251dc59890e469c627fce322614944c0" class="external">A-113111784</a></td> <td>ID</td> <td>高</td> <td>9</td> </tr> <tr> <td rowspan="2">CVE-2018-9541</td> - <td rowspan="2">A-111450531</td> + <td rowspan="2"><a href="https://android.googlesource.com/platform/system/bt/+/cc364611362cc5bc896b400bdc471a617d1ac628" class="external">A-111450531</a></td> <td>ID</td> <td>中</td> <td>9</td> @@ -218,54 +217,6 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> </tbody></table> -<h3 id="update-media-framework">更新:媒体框架</h3> - -<table> -<colgroup><col width="21%" /> -<col width="21%" /> -<col width="14%" /> -<col width="14%" /> -<col width="30%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>参考编号</th> - <th>类型</th> - <th>严重程度</th> - <th>已更新的 AOSP 版本</th> - </tr> - <tr> - <td>CVE-2018-9347</td> - <td>A-68664359</td> - <td>DoS</td> - <td>中</td> - <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> - </tr> -</tbody></table> - -<h3 id="update-system">更新:系统</h3> - -<table> -<colgroup><col width="21%" /> -<col width="21%" /> -<col width="14%" /> -<col width="14%" /> -<col width="30%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>参考编号</th> - <th>类型</th> - <th>严重程度</th> - <th>已更新的 AOSP 版本</th> - </tr> - <tr> - <td>CVE-2018-9457</td> - <td>A-72872376</td> - <td>EoP</td> - <td>中</td> - <td>8.0、8.1、9</td> - </tr> -</tbody></table> - <h2 id="2018-11-05-details">2018-11-05 安全补丁程序级别漏洞详情</h2> <p> 我们在下面提供了 2018-11-05 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 @@ -289,18 +240,11 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 </tr> <tr> <td>CVE-2018-9523</td> - <td>A-112859604</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/6a947f048a76a5936fd2b693e01f849aef22c907" class="external">A-112859604</a></td> <td>EoP</td> <td>高</td> <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> </tr> - <tr> - <td>CVE-2018-9526</td> - <td>A-112159033</td> - <td>ID</td> - <td>高</td> - <td>9</td> - </tr> </tbody></table> <h3 id="qualcomm-components">Qualcomm 组件</h3> @@ -557,7 +501,7 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <strong>5. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/drivers" class="external">Google Developers 网站</a>上针对 Pixel/Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 </p> <p> <strong>6. 为什么要将安全漏洞拆分到本公告和设备 / 合作伙伴安全公告(如 Pixel/Nexus 公告)中?</strong> @@ -581,6 +525,11 @@ Android 合作伙伴在本公告发布前至少一个月就已收到关于所有 <td>2018 年 11 月 5 日</td> <td>发布了本公告。</td> </tr> + <tr> + <td>1.1</td> + <td>2018 年 11 月 5 日</td> + <td>在本公告中添加了 AOSP 链接。</td> + </tr> </tbody></table> </body></html>
\ No newline at end of file diff --git a/zh-cn/security/bulletin/2018-12-01.html b/zh-cn/security/bulletin/2018-12-01.html new file mode 100644 index 00000000..8fccebbc --- /dev/null +++ b/zh-cn/security/bulletin/2018-12-01.html @@ -0,0 +1,708 @@ +<html devsite><head> + <title>Android 安全公告 - 2018 年 12 月</title> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> + </head> + <body> + <!-- + Copyright 2018 The Android Open Source Project + + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + + //www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. + --> +<p><em>发布时间:2018 年 12 月 3 日</em></p> + +<p> +本 Android 安全公告详细介绍了会影响 Android 设备的安全漏洞。安全补丁程序级别为 2018-12-05 或更新的 Android 系统都已解决本公告中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705" class="external">查看并更新 Android 版本</a>。 +</p> +<p>我们会在接下来的 48 小时内将针对这些问题的源代码补丁程序发布到 Android 开源项目 (AOSP) 代码库中。届时,我们将会修订本公告,将相关 AOSP 链接增补到本文中。</p> +<p> +这些问题中危险性最高的是媒体框架中的一个严重程度为“严重”的安全漏洞,该漏洞可让远程攻击者使用特制文件通过特许进程执行任意代码。<a href="/security/overview/updates-resources.html#severity">严重程度评估</a>的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。 +</p> +<p> +我们尚未收到用户关于这些新报告的问题被利用或滥用的举报。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制提供的缓解措施</a>部分,详细了解有助于提高 Android 平台安全性的 <a href="/security/enhancements/">Android 安全平台防护功能</a>和 Google Play 保护机制。 +</p> +<p class="note"> +<strong>注意</strong>:如需了解适用于 Google 设备的最新无线下载更新 (OTA) 和固件映像,请参阅 <a href="/security/bulletin/pixel/2018-12-01">2018 年 12 月的 Pixel / Nexus 安全公告</a>。 +</p> + +<h2 id="mitigations">Android 和 Google 服务缓解措施</h2> + +<p> +这一部分总结了 <a href="/security/enhancements/">Android 安全平台</a>和服务防护功能(如 <a href="https://www.android.com/play-protect" class="external">Google Play 保护机制</a>)提供的缓解措施。这些功能有助于降低 Android 上的安全漏洞被成功利用的可能性。 +</p> +<ul> +<li>较高版本的 Android 平台中提供的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。</li> +<li>Android 安全团队会积极利用 <a href="https://www.android.com/play-protect" class="external">Google Play 保护机制</a>监控滥用行为,并会在发现<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的应用</a>时向用户发出警告。在安装有 <a href="http://www.android.com/gms" class="external">Google 移动服务</a>的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。</li> +</ul> +<h2 id="2018-12-01-details">2018-12-01 安全补丁程序级别漏洞详情</h2> +<p> +我们在下面提供了 2018-12-01 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 AOSP 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +</p> + +<h3 id="framework">框架</h3> + +<p>这一部分中最严重的漏洞可让本地恶意应用在特权进程环境中执行任意代码。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>已更新的 AOSP 版本</th> + </tr> + <tr> + <td>CVE-2018-9547</td> + <td>A-114223584</td> + <td>EoP</td> + <td>高</td> + <td>8.1, 9</td> + </tr> + <tr> + <td>CVE-2018-9548</td> + <td>A-112555574</td> + <td>ID</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> +</tbody></table> + +<h3 id="media-framework">媒体框架</h3> +<p>这一部分中最严重的漏洞可让远程攻击者利用蓄意创建的文件在特权进程环境中执行任意代码。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>已更新的 AOSP 版本</th> + </tr> + <tr> + <td>CVE-2018-9549</td> + <td>A-112160868</td> + <td>RCE</td> + <td>严重</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> + <tr> + <td>CVE-2018-9550</td> + <td>A-112660981</td> + <td>RCE</td> + <td>严重</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9551</td> + <td>A-112891548</td> + <td>RCE</td> + <td>严重</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9552</td> + <td>A-113260892</td> + <td>ID</td> + <td>严重</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> + <tr> + <td>CVE-2018-9553</td> + <td>A-116615297</td> + <td>RCE</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> + <tr> + <td>CVE-2018-9538</td> + <td>A-112181526</td> + <td>EoP</td> + <td>高</td> + <td>8.1, 9</td> + </tr> + <tr> + <td>CVE-2018-9554</td> + <td>A-114770654</td> + <td>ID</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1</td> + </tr> +</tbody></table> + +<h3 id="system">系统</h3> +<p>这一部分中最严重的漏洞可让远程攻击者利用蓄意创建的传输在特权进程环境中执行任意代码。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>已更新的 AOSP 版本</th> + </tr> + <tr> + <td>CVE-2018-9555</td> + <td>A-112321180</td> + <td>RCE</td> + <td>严重</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> + <tr> + <td>CVE-2018-9556</td> + <td>A-113118184</td> + <td>RCE</td> + <td>严重</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9557</td> + <td>A-35385357</td> + <td>EoP</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2</td> + </tr> + <tr> + <td>CVE-2018-9558</td> + <td>A-112161557</td> + <td>EoP</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> + <tr> + <td>CVE-2018-9559</td> + <td>A-112731440</td> + <td>EoP</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> + <tr> + <td>CVE-2018-9560</td> + <td>A-79946737</td> + <td>EoP</td> + <td>高</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9562</td> + <td>A-113164621</td> + <td>ID</td> + <td>高</td> + <td>9</td> + </tr> + <tr> + <td>CVE-2018-9566</td> + <td>A-74249842</td> + <td>ID</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1、9</td> + </tr> +</tbody></table> + +<h2 id="2018-12-05-details">2018-12-05 安全补丁程序级别漏洞详情</h2> + +<p> +我们在下面提供了 2018-12-05 补丁程序级别涵盖的每个安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。 +</p> + +<h3 id="system-05">系统</h3> + +<p>这一部分中最严重的漏洞可导致远程信息泄露,而无需额外的执行权限。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>组件</th> + </tr> + <tr> + <td>CVE-2018-9565</td> + <td>A-16680558</td> + <td>ID</td> + <td>高</td> + <td>OMA-DM</td> + </tr> +</tbody></table> + +<h3 id="htc-components">HTC 组件</h3> + +<p>这一部分中最严重的漏洞可让本地攻击者绕过用户互动要求来获得额外的权限。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>组件</th> + </tr> + <tr> + <td>CVE-2018-9567</td> + <td>A-65543936</td> + <td>EoP</td> + <td>高</td> + <td>引导加载程序</td> + </tr> +</tbody></table> + +<h3 id="kernel-components">内核组件</h3> + +<p>这一部分中最严重的漏洞可让本地攻击者在特权进程环境中执行任意代码。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>组件</th> + </tr> + <tr> + <td>CVE-2018-10840</td> + <td>A-116406508<br /> +<a href="https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10840">上游内核</a></td> + <td>EoP</td> + <td>高</td> + <td>ext4 文件系统</td> + </tr> + <tr> + <td>CVE-2018-9568</td> + <td>A-113509306<br /> +<a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/net/core/sock.c?id=9d538fa60bad4f7b23193c89e843797a1cf71ef3">上游内核</a></td> + <td>EoP</td> + <td>高</td> + <td>网络</td> + </tr> +</tbody></table> + +<h3 id="qualcomm-components">Qualcomm 组件</h3> + +<p>以下漏洞会影响 Qualcomm 组件,相应的 Qualcomm 安全公告或安全提醒中对这些漏洞进行了详细说明。这些漏洞的严重程度评估是由 Qualcomm 直接提供的。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>组件</th> + </tr> + <tr> + <td>CVE-2018-11960</td> + <td>A-114042002<br /> +<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=18ce15db603e19cfac9a2f4076f255e879100495">QC-CR#2264832</a></td> + <td>无</td> + <td>高</td> + <td>HWEngines</td> + </tr> + <tr> + <td>CVE-2018-11961</td> + <td>A-114040881<br /> +<a href="https://source.codeaurora.org/quic/le/platform/hardware/qcom/gps/commit/?id=c57ee0a5d3261ab20c35b451d1b3ae2b02a21591">QC-CR#2261813</a></td> + <td>无</td> + <td>高</td> + <td>GPS_AP_LINUX</td> + </tr> + <tr> + <td>CVE-2018-11963</td> + <td>A-114041685<br /> +<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=c9ac3476a91c384a3f2760fabaecef0ad8698d7b">QC-CR#2220770</a></td> + <td>无</td> + <td>高</td> + <td>汽车多媒体</td> + </tr> +</tbody></table> + +<h3 id="qualcomm-closed-source-components">Qualcomm 闭源组件</h3> + +<p>以下漏洞会影响 Qualcomm 组件,相应的 Qualcomm 安全公告或安全提醒中对这些漏洞进行了详细说明。这些漏洞的严重程度评估是由 Qualcomm 直接提供的。</p> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>组件</th> + </tr> + <tr> + <td>CVE-2017-8248</td> + <td>A-78135902<a href="#asterisk">*</a></td> + <td>无</td> + <td>严重</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-11004</td> + <td>A-66913713<a href="#asterisk">*</a></td> + <td>无</td> + <td>严重</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18141</td> + <td>A-67712316<a href="#asterisk">*</a></td> + <td>无</td> + <td>严重</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-5913</td> + <td>A-79419833<a href="#asterisk">*</a></td> + <td>无</td> + <td>严重</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-11279</td> + <td>A-109678200<a href="#asterisk">*</a></td> + <td>无</td> + <td>严重</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18319</td> + <td>A-78284753<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18321</td> + <td>A-78283451<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18322</td> + <td>A-78285196<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18323</td> + <td>A-78284194<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18324 </td> + <td>A-78284517<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18327</td> + <td>A-78240177<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18331</td> + <td>A-78239686<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18332</td> + <td>A-78284545<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18160</td> + <td>A-109660689<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18326</td> + <td>A-78240324<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-8276</td> + <td>A-68141338<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18328</td> + <td>A-78286046<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18329</td> + <td>A-73539037<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18330</td> + <td>A-73539235<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-3595</td> + <td>A-71501115<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-18320</td> + <td>A-33757308<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-11999</td> + <td>A-74236942<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-5867</td> + <td>A-77485184<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-5868</td> + <td>A-77484529<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-5869</td> + <td>A-33385206<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2017-5754</td> + <td>A-79419639<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-5915</td> + <td>A-79420511<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-11267</td> + <td>A-109678338<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> + <tr> + <td>CVE-2018-11922</td> + <td>A-112279564<a href="#asterisk">*</a></td> + <td>无</td> + <td>高</td> + <td>闭源组件</td> + </tr> +</tbody></table> + +<h2 id="common-questions-and-answers">常见问题和解答</h2> + +<p>这一部分解答了用户在阅读本公告后可能会提出的常见问题。</p> +<p><strong>1. 如何确定我的设备是否已通过更新解决这些问题?</strong></p> +<p>要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices" class="external">查看并更新 Android 版本</a>。</p> +<ul> +<li>如果安全补丁程序级别是 2018-12-01 或更新,则意味着已解决 2018-12-01 安全补丁程序级别涵盖的所有问题。</li> +<li>如果安全补丁程序级别是 2018-12-05 或更新,则意味着已解决 2018-12-05 以及之前的所有安全补丁程序级别涵盖的所有问题。</li> +</ul> +<p>预装这些更新的设备制造商应将补丁程序字符串级别设为:</p> +<ul> + <li>[ro.build.version.security_patch]:[2018-12-01]</li> + <li>[ro.build.version.security_patch]:[2018-12-05]</li> +</ul> +<p><strong>2.为何本公告有 2 个安全补丁程序级别?</strong></p> +<p> +本公告之所以有 2 个安全补丁程序级别,是为了让 Android 合作伙伴能够灵活地、更快速地修复在各种 Android 设备上类似的一系列漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。 +</p> +<ul> +<li>如果设备使用的是 2018-12-01 这一安全补丁程序级别,则必须包含该安全补丁程序级别涵盖的所有问题以及之前的安全公告中报告的所有问题的修复程序。</li> +<li>如果设备使用的是 2018-12-05 或更新的安全补丁程序级别,则必须包含本安全公告(以及之前的安全公告)中的所有适用补丁程序。</li> +</ul> +<p> +我们建议合作伙伴将要解决的全部问题的修复方案打包到一个更新中。 +</p> +<p id="type"> +<strong>3.“类型”列中的条目表示什么意思?<em></em></strong> +</p> +<p> +在漏洞详情表内,“类型”列中的条目是安全漏洞的分类。<em></em> +</p> +<table> + <colgroup><col width="25%" /> + <col width="75%" /> + </colgroup><tbody><tr> + <th>缩写词</th> + <th>定义</th> + </tr> + <tr> + <td>RCE</td> + <td>远程代码执行</td> + </tr> + <tr> + <td>EoP</td> + <td>提权</td> + </tr> + <tr> + <td>ID</td> + <td>信息披露</td> + </tr> + <tr> + <td>DoS</td> + <td>拒绝服务</td> + </tr> + <tr> + <td>N/A</td> + <td>没有分类</td> + </tr> +</tbody></table> +<p> +<strong>4.“参考编号”列中的条目表示什么意思?<em></em></strong> +</p> +<p> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +</p> +<table> + <colgroup><col width="25%" /> + <col width="75%" /> + </colgroup><tbody><tr> + <th>前缀</th> + <th>参考编号</th> + </tr> + <tr> + <td>A-</td> + <td>Android Bug ID</td> + </tr> + <tr> + <td>QC-</td> + <td>Qualcomm 参考编号</td> + </tr> + <tr> + <td>M-</td> + <td>MediaTek 参考编号</td> + </tr> + <tr> + <td>N-</td> + <td>NVIDIA 参考编号</td> + </tr> + <tr> + <td>B-</td> + <td>Broadcom 参考编号</td> + </tr> +</tbody></table> +<p id="asterisk"> +<strong>5. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +</p> +<p> +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/drivers" class="external">Google Developers 网站</a>上针对 Pixel/Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +</p> +<p> +<strong>6. 为什么要将安全漏洞拆分到本公告和设备 / 合作伙伴安全公告(如 Pixel/Nexus 公告)中?</strong> +</p> +<p> +要在 Android 设备上声明最新的安全补丁程序级别,必须修复本安全公告中记录的安全漏洞。但在声明安全补丁程序级别时,并不是必须要修复设备/合作伙伴安全公告中记录的其他安全漏洞。我们建议 Android 设备和芯片组制造商通过自己的安全网站(例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb" class="external">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html" class="external">LGE</a> 或 <a href="/security/bulletin/pixel/" class="external">Pixel/Nexus</a> 安全公告)记录其设备上存在的其他修复程序。 +</p> + +<h2 id="versions">版本</h2> + +<table> + <colgroup><col width="25%" /> + <col width="25%" /> + <col width="50%" /> + </colgroup><tbody><tr> + <th>版本</th> + <th>日期</th> + <th>备注</th> + </tr> + <tr> + <td>1.0</td> + <td>2018 年 12 月 3 日</td> + <td>发布了本公告</td> + </tr> +</tbody></table> + +</body></html>
\ No newline at end of file diff --git a/zh-cn/security/bulletin/pixel/2018-01-01.html b/zh-cn/security/bulletin/pixel/2018-01-01.html index e4436c36..c9950317 100644 --- a/zh-cn/security/bulletin/pixel/2018-01-01.html +++ b/zh-cn/security/bulletin/pixel/2018-01-01.html @@ -22,7 +22,7 @@ <p><em>发布时间:2018 年 1 月 2 日 | 更新时间:2018 年 1 月 29 日</em></p> <p> -本 Pixel/Nexus 安全公告详细介绍了会影响<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">受支持的 Google Pixel 和 Nexus 设备</a>(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁程序级别是 2018-01-05 或更新,则意味着已解决本公告以及 <a href="/security/bulletin/2018-01-01">2018 年 1 月的 Android 安全公告</a>中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705">查看并更新 Android 版本</a>。 +本 Pixel/Nexus 安全公告详细介绍了会影响<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">受支持的 Google Pixel 和 Nexus 设备</a>(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁程序级别是 2018-01-05 或更新,则意味着已解决本公告以及 <a href="/security/bulletin/2018-01-01">2018 年 1 月的 Android 安全公告</a>中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705">查看和更新 Android 版本</a>。 </p> <p> 所有受支持的 Google 设备都将会收到 2018-01-05 补丁程序级别的更新。我们建议所有用户都在自己的设备上接受这些更新。 @@ -30,13 +30,13 @@ <p class="note"> <strong>注意</strong>:可在 <a href="https://developers.google.com/android/nexus/images">Google Developers 网站</a>上找到 Google 设备固件映像。 </p> -<h2 id="announcements">通告</h2> +<h2 id="announcements">公告</h2> <p> 除了 <a href="/security/bulletin/2018-01-01">2018 年 1 月的 Android 安全公告</a>中所述的安全漏洞外,Pixel 和 Nexus 设备中还包含针对下述安全漏洞的补丁程序。合作伙伴在至少一个月前就已收到关于这些问题的通知,并可以选择将针对这些问题的补丁程序纳入到其设备更新中。 </p> <h2 id="security-patches">安全补丁程序</h2> <p> -漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="framework">框架</h3> @@ -49,7 +49,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -74,7 +74,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -263,7 +263,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -287,7 +287,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -311,7 +311,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -335,7 +335,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -404,7 +404,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -426,7 +426,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -450,7 +450,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -601,11 +601,11 @@ <h2 id="functional-updates">功能更新</h2> <p> -我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考内容、受影响的类别(例如蓝牙或移动数据网络)以及改进。 +我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)以及改进。 </p> <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> </tr> @@ -667,17 +667,17 @@ </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -701,10 +701,10 @@ </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 </p> <p> <strong>5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?</strong> diff --git a/zh-cn/security/bulletin/pixel/2018-02-01.html b/zh-cn/security/bulletin/pixel/2018-02-01.html index 7071ae92..db890aba 100644 --- a/zh-cn/security/bulletin/pixel/2018-02-01.html +++ b/zh-cn/security/bulletin/pixel/2018-02-01.html @@ -30,13 +30,13 @@ <p class="note"> <strong>注意</strong>:可在 <a href="https://developers.google.com/android/nexus/images">Google Developers 网站</a>上找到 Google 设备固件映像。 </p> -<h2 id="announcements">通告</h2> +<h2 id="announcements">公告</h2> <p> 除了 <a href="/security/bulletin/2018-02-01">2018 年 2 月的 Android 安全公告</a>中所述的安全漏洞外,Pixel 和 Nexus 设备中还包含针对下述安全漏洞的补丁程序。合作伙伴在至少一个月前就已收到关于这些问题的通知,并可以选择将针对这些问题的补丁程序纳入到其设备更新中。</p> <h2 id="security-patches">安全补丁程序</h2> <p> -漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="https://source.android.com/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="https://source.android.com/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="framework">框架</h3> @@ -49,7 +49,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -81,7 +81,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -130,15 +130,14 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> </tr> <tr> <td>CVE-2017-13242</td> - <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/26e2b2456a444777de114f728c4dc2af88c2fb03">A-62672248</a> [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/7ed7d00e6028234088b58bf6d6d9362a5effece1">2</a>] - </td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/26e2b2456a444777de114f728c4dc2af88c2fb03">A-62672248</a> [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/7ed7d00e6028234088b58bf6d6d9362a5effece1">2</a>]</td> <td>ID</td> <td>中</td> <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> @@ -162,7 +161,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -208,7 +207,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -366,12 +365,12 @@ <h2 id="functional-updates">功能更新</h2> <p> -我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考内容、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 +我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 </p> <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> <th>设备</th> @@ -484,17 +483,17 @@ </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -518,10 +517,10 @@ </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 </p> <p> <strong>5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?</strong> @@ -552,12 +551,12 @@ <tr> <td>1.3</td> <td>2018 年 4 月 2 日</td> - <td>将 CVE-2017-15817 从 2 月的 Android 公告移动到 2 月的 Pixel 公告中。</td> + <td>将 CVE-2017-15817 从 2 月份的 Android 公告移到了 2 月份的 Pixel 公告中。</td> </tr> <tr> <td>1.4</td> <td>2018 年 4 月 30 日</td> - <td>更新了 CVE-2017-15852,从 CR 2046770 更新为 CR 2028702。</td> + <td>将 CVE-2017-15852 从 CR 2046770 更新为 CR 2028702。</td> </tr> </tbody></table> diff --git a/zh-cn/security/bulletin/pixel/2018-03-01.html b/zh-cn/security/bulletin/pixel/2018-03-01.html index 32d22589..90eb3e02 100644 --- a/zh-cn/security/bulletin/pixel/2018-03-01.html +++ b/zh-cn/security/bulletin/pixel/2018-03-01.html @@ -23,7 +23,7 @@ <p><em>发布时间:2018 年 3 月 5 日 | 更新时间:2018 年 3 月 7 日</em></p> <p> -本 Pixel/Nexus 安全公告详细介绍了会影响<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">受支持的 Google Pixel 和 Nexus 设备</a>(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁程序级别是 2018-03-05 或更新,则意味着已解决本公告以及 <a href="/security/bulletin/2018-03-01">2018 年 3 月的 Android 安全公告</a>中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705">查看并更新 Android 版本</a>。</p> +本 Pixel/Nexus 安全公告详细介绍了会影响<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">受支持的 Google Pixel 和 Nexus 设备</a>(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁程序级别是 2018-03-05 或更新,则意味着已解决本公告以及 <a href="/security/bulletin/2018-03-01">2018 年 3 月的 Android 安全公告</a>中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705">查看和更新 Android 版本</a>。</p> <p> 所有受支持的 Google 设备都将会收到 2018-03-05 补丁程序级别的更新。我们建议所有用户都在自己的设备上接受这些更新。 </p> @@ -31,13 +31,13 @@ <strong>注意</strong>:可在 <a href="https://developers.google.com/android/nexus/images">Google Developers 网站</a>上找到 Google 设备固件映像。 </p> -<h2 id="announcements">通告</h2> +<h2 id="announcements">公告</h2> <p> 除了 <a href="/security/bulletin/2018-03-01">2018 年 3 月的 Android 安全公告</a>中所述的安全漏洞外,Google 设备中还包含针对下述安全漏洞的补丁程序。合作伙伴在至少一个月前就已收到关于这些问题的通知,并可以选择将针对这些问题的补丁程序纳入到其设备更新中。</p> <h2 id="security-patches">安全补丁程序</h2> <p> -漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="https://source.android.com/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="https://source.android.com/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="framework">框架</h3> @@ -50,15 +50,14 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> </tr> <tr> <td>CVE-2017-13263</td> - <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/c38c7404fd89ae43716dddba89e5c8ac3e8bfcba">A-69383160</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/6f89a3e373271be0f93740b96d5792649962439f">2</a>] - </td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Settings/+/c38c7404fd89ae43716dddba89e5c8ac3e8bfcba">A-69383160</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/6f89a3e373271be0f93740b96d5792649962439f">2</a>]</td> <td>EoP</td> <td>中</td> <td>8.0、8.1</td> @@ -75,7 +74,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -116,15 +115,14 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> </tr> <tr> <td>CVE-2017-13265</td> - <td><a href="https://android.googlesource.com/platform/build/+/9de91d94e8224314f856d0d3c884142ef5d71f44">A-36232423</a> [<a href="https://android.googlesource.com/platform/system/update_engine/+/8c3c80cbc706137fa1a3dc8784fd8108c0841b30">2</a>] [<a href="https://android.googlesource.com/platform/system/update_engine/+/55b7e08bf5dda75be4b3468b55bd9dda94f67e64">3</a>] - </td> + <td><a href="https://android.googlesource.com/platform/build/+/9de91d94e8224314f856d0d3c884142ef5d71f44">A-36232423</a> [<a href="https://android.googlesource.com/platform/system/update_engine/+/8c3c80cbc706137fa1a3dc8784fd8108c0841b30">2</a>] [<a href="https://android.googlesource.com/platform/system/update_engine/+/55b7e08bf5dda75be4b3468b55bd9dda94f67e64">3</a>]</td> <td>EoP</td> <td>中</td> <td>7.0、7.1.1、7.1.2、8.0、8.1</td> @@ -157,7 +155,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -219,7 +217,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -257,7 +255,7 @@ <col width="39%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -477,12 +475,12 @@ <h2 id="functional-updates">功能更新</h2> <p> -我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考内容、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 +我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 </p> <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> <th>设备</th> @@ -553,17 +551,17 @@ </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -587,10 +585,10 @@ </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 </p> <p> <strong>5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?</strong> diff --git a/zh-cn/security/bulletin/pixel/2018-06-01.html b/zh-cn/security/bulletin/pixel/2018-06-01.html index 20e31392..cdad74c2 100644 --- a/zh-cn/security/bulletin/pixel/2018-06-01.html +++ b/zh-cn/security/bulletin/pixel/2018-06-01.html @@ -31,11 +31,11 @@ <p class="note"> <strong>注意</strong>:可在 <a href="https://developers.google.com/android/images">Google Developers 网站</a>上找到 Google 设备固件映像。 </p> -<h2 id="announcements">通告</h2> +<h2 id="announcements">公告</h2> <p>除了 2018 年 6 月的 Android 安全公告中所述的安全漏洞外,Pixel 和 Nexus 设备中还包含针对下述安全漏洞的补丁程序。合作伙伴在至少一个月前就已收到关于这些问题的通知,并可以选择将针对这些问题的补丁程序纳入到其设备更新中。</p> <h2 id="security-patches">安全补丁程序</h2> <p> -漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="https://source.android.com/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="https://source.android.com/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="framework">框架</h3> @@ -48,7 +48,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -86,7 +86,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -189,7 +189,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>已更新的 AOSP 版本</th> @@ -227,7 +227,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -311,7 +311,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -468,7 +468,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -649,7 +649,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -672,12 +672,12 @@ <h2 id="functional-patches">功能补丁程序</h2> <p> -我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考内容、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 +我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 </p> <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> <th>设备</th> @@ -768,17 +768,17 @@ A-74058011</td> </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -802,10 +802,10 @@ A-74058011</td> </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上针对 Pixel/Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 </p> <p> <strong>5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?</strong> diff --git a/zh-cn/security/bulletin/pixel/2018-07-01.html b/zh-cn/security/bulletin/pixel/2018-07-01.html index 1cdd45d2..81c84549 100644 --- a/zh-cn/security/bulletin/pixel/2018-07-01.html +++ b/zh-cn/security/bulletin/pixel/2018-07-01.html @@ -20,7 +20,7 @@ limitations under the License. --> -<p><em>发布时间:2018 年 7 月 2 日 | 更新时间:2018 年 7 月 3 日</em></p> +<p><em>发布时间:2018 年 7 月 2 日 | 更新时间:2018 年 11 月 8 日</em></p> <p> 本 Pixel/Nexus 安全公告详细介绍了会影响<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">受支持的 Google Pixel 和 Nexus 设备</a>(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁程序级别是 2018-07-05 或更新,则意味着已解决本公告以及 2018 年 7 月的 Android 安全公告中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705">查看并更新 Android 版本</a>。 @@ -221,7 +221,7 @@ </tr> <tr> - <td>CVE-2017-1000</td> + <td>CVE-2017-1000112</td> <td>A-68806309<br /> <a href="https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=85f1bd9a7b5a79d5baa8bf44af19658f7bf77bfa">上游内核</a></td> <td>EoP</td> @@ -454,6 +454,11 @@ <td>2018 年 7 月 3 日</td> <td>在本公告中添加了 AOSP 链接。</td> </tr> + <tr> + <td>1.2</td> + <td>2018 年 11 月 8 日</td> + <td>修订了本公告,对 CVE-2017-1000112 进行了更正。</td> + </tr> </tbody></table> </body></html>
\ No newline at end of file diff --git a/zh-cn/security/bulletin/pixel/2018-09-01.html b/zh-cn/security/bulletin/pixel/2018-09-01.html index 5b742fb8..c0b86523 100644 --- a/zh-cn/security/bulletin/pixel/2018-09-01.html +++ b/zh-cn/security/bulletin/pixel/2018-09-01.html @@ -37,7 +37,7 @@ <h2 id="security-patches">安全补丁程序</h2> <p> -漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> <h3 id="kernel-components">内核组件</h3> @@ -50,7 +50,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -98,7 +98,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -195,12 +195,12 @@ <h2 id="functional-patches">功能补丁程序</h2> <p> -我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考内容、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 +我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 </p> <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> <th>设备</th> @@ -271,17 +271,17 @@ </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -305,7 +305,7 @@ </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> 如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 diff --git a/zh-cn/security/bulletin/pixel/2018-10-01.html b/zh-cn/security/bulletin/pixel/2018-10-01.html index a9412a79..cebc1593 100644 --- a/zh-cn/security/bulletin/pixel/2018-10-01.html +++ b/zh-cn/security/bulletin/pixel/2018-10-01.html @@ -29,7 +29,7 @@ 所有受支持的 Google 设备都将会收到 2018-10-05 补丁程序级别的更新。我们建议所有用户都在自己的设备上接受这些更新。 </p> <p class="note"> -<strong>注意</strong>:可在 <a href="https://developers.google.com/android/images" class="external">Google Developers 网站</a>上找到 Google 设备固件映像。 +<strong>注意</strong>:可在 <a href="https://developers.google.com/android/images" class="external">Google Developer 网站</a>上找到 Google 设备固件映像。 </p> <h2 id="announcements">通告</h2> @@ -39,12 +39,12 @@ <h2 id="functional-patches">功能补丁程序</h2> <p> -我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考内容、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 +我们针对受影响的 Pixel 设备纳入了以下更新,以解决与 Pixel 设备的安全性无关的功能问题。下表中包含相关参考编号、受影响的类别(例如蓝牙或移动数据网络)、改进以及受影响设备。 </p> <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> <th>设备</th> @@ -121,17 +121,17 @@ </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -155,7 +155,7 @@ </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> 如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 diff --git a/zh-cn/security/bulletin/pixel/2018-11-01.html b/zh-cn/security/bulletin/pixel/2018-11-01.html index b1623f8c..bd6cfaf7 100644 --- a/zh-cn/security/bulletin/pixel/2018-11-01.html +++ b/zh-cn/security/bulletin/pixel/2018-11-01.html @@ -39,9 +39,33 @@ <h2 id="security-patches">安全补丁程序</h2> <p> -漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考内容、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的代码更改记录,我们还会通过 Bug ID 后面的数字链接到更多参考内容。 </p> +<h3 id="framework-05">框架</h3> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>已更新的 AOSP 版本</th> + </tr> + <tr> + <td>CVE-2018-9526</td> + <td><a href="https://android.googlesource.com/device/google/marlin/+/fa7f7382e8b39f7ca209824f97788ab25c44f6a3" class="external">A-112159033</a> [<a href="https://android.googlesource.com/platform/frameworks/base/+/8e81142af3dceb913ca50f67df3ded84233f932a">2</a>] [<a href="https://android.googlesource.com/platform/hardware/qcom/sdm845/gps/+/a5f7c07edd96c69171e8bd758addda7d5c30e3eb">3</a>]</td> + <td>ID</td> + <td>高</td> + <td>9</td> + </tr> +</tbody></table> + <h3 id="htc-components">HTC 组件</h3> <table> @@ -52,7 +76,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -76,7 +100,7 @@ <col width="30%" /> </colgroup><tbody><tr> <th>CVE</th> - <th>参考内容</th> + <th>参考编号</th> <th>类型</th> <th>严重程度</th> <th>组件</th> @@ -107,7 +131,7 @@ <table> <tbody><tr> - <th>参考内容</th> + <th>参考编号</th> <th>类别</th> <th>改进</th> <th>设备</th> @@ -184,17 +208,17 @@ </tr> </tbody></table> <p> -<strong>3.“参考内容”列中的条目表示什么意思?<em></em></strong> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> </p> <p> -在漏洞详情表内,“参考内容”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> </p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>前缀</th> - <th>参考内容</th> + <th>参考编号</th> </tr> <tr> <td>A-</td> @@ -218,10 +242,10 @@ </tr> </tbody></table> <p id="asterisk"> -<strong>4. 在“参考内容”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> </p> <p> -如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +如果问题尚未公开发布,则在“参考编号”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/nexus/drivers" class="external">Google Developers 网站</a>上针对 Pixel/ Nexus 设备提供的最新二进制驱动程序中通常包含用于解决相应问题的更新。 </p> <p> <strong>5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?</strong> diff --git a/zh-cn/security/bulletin/pixel/2018-12-01.html b/zh-cn/security/bulletin/pixel/2018-12-01.html new file mode 100644 index 00000000..22f14669 --- /dev/null +++ b/zh-cn/security/bulletin/pixel/2018-12-01.html @@ -0,0 +1,275 @@ +<html devsite><head> + <title>Pixel /Nexus 安全公告 - 2018 年 12 月</title> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> + </head> + <body> + <!-- + Copyright 2018 The Android Open Source Project + + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at + + //www.apache.org/licenses/LICENSE-2.0 + + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. + --> + +<p><em>发布时间:2018 年 12 月 3 日</em></p> + +<p> +本 Pixel/Nexus 安全公告详细介绍了会影响<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices" class="external">受支持的 Google Pixel 和 Nexus 设备</a>(Google 设备)的安全漏洞和功能改进。对于 Google 设备,如果安全补丁程序级别是 2018-12-05 或更新,则意味着已解决本公告以及 2018 年 12 月的 Android 安全公告中所述的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅<a href="https://support.google.com/pixelphone/answer/4457705" class="external">查看并更新 Android 版本</a>。 +</p> +<p> +所有受支持的 Google 设备都将会收到 2018-12-05 补丁程序级别的更新。建议所有用户都在自己的设备上接受这些更新。 +</p> +<p class="note"> +<strong>注意</strong>:可在 <a href="https://developers.google.com/android/images" class="external">Google Developers 网站</a>上找到 Google 设备固件映像。 +</p> + +<h2 id="announcements">通知</h2> + +<p>除了 <a href="/security/bulletin/2018-12-01">2018 年 12 月的 Android 安全公告</a>中所述的安全漏洞外,Google 设备中还包含针对下述安全漏洞的补丁程序。合作伙伴在至少一个月前就已收到关于这些问题的通知,并可以选择将针对这些问题的补丁程序纳入到其设备更新中。 +</p> + +<h2 id="security-patches">安全补丁程序</h2> +<p> +漏洞列在所影响的组件下,内容包括问题描述和一个表,该表中包含 CVE、相关参考编号、<a href="#type">漏洞类型</a>、<a href="/security/overview/updates-resources#severity">严重程度</a>和已更新的 Android 开源项目 (AOSP) 版本(如果适用)。如果有解决相应问题的公开更改记录(例如 AOSP 代码更改列表),我们会将 Bug ID 链接到该记录。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。 +</p> + +<h3 id="qualcomm-components">Qualcomm 组件</h3> + +<table> +<colgroup><col width="21%" /> +<col width="21%" /> +<col width="14%" /> +<col width="14%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>CVE</th> + <th>参考编号</th> + <th>类型</th> + <th>严重程度</th> + <th>组件</th> + </tr> + <tr> + <td>CVE-2018-11987</td> + <td>A-70638103<br /> +<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.9/commit/?id=5e9ffcfa152ecb2832990c42fcd8a0f2e63c2c04"> +QC-CR#2258691</a></td> + <td>EoP</td> + <td>中</td> + <td>ION</td> + </tr> +</tbody></table> + +<h2 id="functional-patches">功能补丁程序</h2> + +<p> +我们针对受影响的 Pixel 设备纳入了以下功能补丁程序,以解决与 Pixel 设备安全性无关的功能问题。下表中列出的补丁程序包含相关参考编号、受影响的类别和受影响的设备。</p> + +<table> +<colgroup><col width="15%" /> +<col width="15%" /> +<col width="40%" /> +<col width="30%" /> + </colgroup><tbody><tr> + <th>参考编号</th> + <th>类别</th> + <th>改进</th> + <th>设备</th> + </tr> + <tr> + <td>A-117522738</td> + <td>性能</td> + <td>改进了在某些情形下的内存性能</td> + <td>Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-110969183</td> + <td>相机</td> + <td>改进了相机捕获性能</td> + <td>Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-111008450</td> + <td>Pixel Stand</td> + <td>改进了使用 Pixel Stand 时的通知可见性</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-112376366</td> + <td>Android Auto</td> + <td>改进了 Android Auto 的兼容性</td> + <td>Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-115666282</td> + <td>相机</td> + <td>调整了自动对焦行为</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-115624433</td> + <td>Pixel Stand</td> + <td>改进了使用 Pixel Stand 时的启动指令性能</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-116758282</td> + <td>显示</td> + <td>改进了“显示屏始终保持开启状态”的触发性能</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-111964925</td> + <td>音频</td> + <td>改进了 USB-C 音频配件检测</td> + <td>Pixel 3 XL</td> + </tr> + <tr> + <td>A-111716107</td> + <td>蓝牙</td> + <td>调整了切换蓝牙时的音量行为</td> + <td>Pixel、Pixel XL、Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-111159723</td> + <td>Android Auto</td> + <td>改进了在某些车辆中使用 Android Auto 时的音频性能</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-112228430</td> + <td>媒体</td> + <td>改进了某些媒体应用上的 HDR 颜色轮廓</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-113151604</td> + <td>相机</td> + <td>改进了相机快门性能</td> + <td>Pixel 3、Pixel 3 XL</td> + </tr> + <tr> + <td>A-111277984</td> + <td>性能</td> + <td>改进使用蓝牙时的解锁性能</td> + <td>Pixel、Pixel XL、Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL</td> + </tr> +</tbody></table> + +<h2 id="common-questions-and-answers">常见问题和解答</h2> +<p> +这一部分解答了用户在阅读本公告后可能会提出的常见问题。 +</p> +<p> +<strong>1. 如何确定我的设备是否已通过更新解决这些问题? +</strong> +</p> +<p> +如果安全补丁程序级别是 2018-12-05 或更新,则意味着已解决 2018-12-05 以及之前的所有安全补丁程序级别涵盖的所有问题。要了解如何查看设备的安全补丁程序级别,请参阅 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices" class="external">Pixel 和 Nexus 更新时间表</a>中的说明。 +</p> +<p id="type"> +<strong>2.“类型”列中的条目表示什么意思?<em></em></strong> +</p> +<p> +在漏洞详情表内,“类型”列中的条目是安全漏洞的分类。<em></em> +</p> +<table> + <colgroup><col width="25%" /> + <col width="75%" /> + </colgroup><tbody><tr> + <th>缩写词</th> + <th>定义</th> + </tr> + <tr> + <td>RCE</td> + <td>远程代码执行</td> + </tr> + <tr> + <td>EoP</td> + <td>提权</td> + </tr> + <tr> + <td>ID</td> + <td>信息披露</td> + </tr> + <tr> + <td>DoS</td> + <td>拒绝服务</td> + </tr> + <tr> + <td>N/A</td> + <td>没有分类</td> + </tr> +</tbody></table> +<p> +<strong>3.“参考编号”列中的条目表示什么意思?<em></em></strong> +</p> +<p> +在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em> +</p> +<table> + <colgroup><col width="25%" /> + <col width="75%" /> + </colgroup><tbody><tr> + <th>前缀</th> + <th>参考编号</th> + </tr> + <tr> + <td>A-</td> + <td>Android Bug ID</td> + </tr> + <tr> + <td>QC-</td> + <td>Qualcomm 参考编号</td> + </tr> + <tr> + <td>M-</td> + <td>MediaTek 参考编号</td> + </tr> + <tr> + <td>N-</td> + <td>NVIDIA 参考编号</td> + </tr> + <tr> + <td>B-</td> + <td>Broadcom 参考编号</td> + </tr> +</tbody></table> +<p id="asterisk"> +<strong>4. 在“参考编号”列中,Android Bug ID 旁边的 * 表示什么意思?<em></em></strong> +</p> +<p> +如果问题尚未公开发布,则在“参考内容”列中,相应 Android Bug ID 旁边会显示 *。<em></em><a href="https://developers.google.com/android/drivers" class="external">Google Developers 网站</a>上针对 Nexus 设备提供的最新二进制驱动程序中通常包含旨在解决相应问题的更新。 +</p> +<p> +<strong>5. 为什么要将安全漏洞拆分到本公告和 Android 安全公告中?</strong> +</p> +<p> +要在 Android 设备上声明最新的安全补丁程序级别,必须修复 Android 安全公告中记录的安全漏洞。但在声明安全补丁程序级别时,并不是必须要修复其他安全漏洞(如本公告中记录的漏洞)。 +</p> +<h2 id="versions">版本</h2> +<table> + <colgroup><col width="25%" /> + <col width="25%" /> + <col width="50%" /> + </colgroup><tbody><tr> + <th>版本</th> + <th>日期</th> + <th>备注</th> + </tr> + <tr> + <td>1.0</td> + <td>2018 年 12 月 3 日</td> + <td>发布了本公告。</td> + </tr> +</tbody></table> + +</body></html>
\ No newline at end of file diff --git a/zh-cn/security/encryption/file-based.html b/zh-cn/security/encryption/file-based.html index 2622f3fe..8186f380 100644 --- a/zh-cn/security/encryption/file-based.html +++ b/zh-cn/security/encryption/file-based.html @@ -28,7 +28,7 @@ Android 7.0 及更高版本支持文件级加密 (FBE)。采用文件级加密 </p> <aside class="caution"> - <p><strong>注意</strong>:在运行 Android 7.0 - 8.1 的设备上,文件级加密无法用于<a href="/devices/storage/adoptable.html">可合并的存储设备</a>。在使用 FBE 的设备上,必须将新添加的存储媒介(例如 SD 卡)用作<a href="/devices/storage/traditional.html">传统存储设备</a>。</p> + <p><strong>注意</strong>:在运行 Android 7.0-8.1 的设备上,文件级加密无法用于<a href="/devices/storage/adoptable.html">可合并的存储设备</a>。在使用 FBE 的设备上,必须将新添加的存储媒介(例如 SD 卡)用作<a href="/devices/storage/traditional.html">传统存储设备</a>。</p> <p>运行 Android 9 及更高版本的设备可以使用可合并的存储设备和 FBE。</p> </aside> @@ -53,7 +53,7 @@ Android 7.0 及更高版本支持文件级加密 (FBE)。采用文件级加密 Direct Boot API 允许加密感知型应用访问上述任何一个存储空间。应用生命周期会发生一些变化,以便系统在用户的 CE 存储空间因用户在锁定屏幕上首次输入凭据而解锁<em></em>时,或者在工作资料提供<a href="https://developer.android.com/about/versions/nougat/android-7.0.html#android_for_work">工作资料安全验证</a>时,通知应用。无论是否实现了 FBE,运行 Android 7.0 的设备都必须要支持这些新的 API 和生命周期。不过,如果没有启用 FBE,DE 和 CE 存储空间将始终处于解锁状态。 </p> <p> -Android 开源项目 (AOSP) 中提供了 EXT4 文件系统中的文件级加密的完整实现。在满足相关要求的设备上,只需启用该实现即可使用该功能。选择使用 FBE 的制造商可能想要了解基于所用系统芯片 (SoC) 优化该功能的方法。 +Android 开源项目 (AOSP) 中提供了 Ext4 和 F2FS 文件系统中的文件级加密的完整实现。在满足相关要求的设备上,只需启用该实现即可使用该功能。选择使用 FBE 的制造商可能想要了解基于所用系统芯片 (SoC) 优化该功能的方法。 </p> <p> AOSP 中的所有必要程序包均已更新为直接启动感知型程序包。不过,如果设备制造商使用的是这些应用的定制版本,则需要确保至少存在能够提供以下服务的直接启动感知型程序包:</p> @@ -64,12 +64,13 @@ AOSP 中的所有必要程序包均已更新为直接启动感知型程序包。 <h2 id="examples-and-source">示例和源代码</h2> <p> -Android 提供了文件级加密的参考实现,其中 vold (<a href="https://android.googlesource.com/platform/system/vold/">system/vold</a>) 负责提供用于管理 Android 上的存储设备和存储卷的功能。添加 FBE 会为 vold 提供一些新命令,以便支持对多位用户的 CE 密钥和 DE 密钥进行密钥管理。除了为使用内核中的 <a href="#kernel-support">EXT4 加密</a>功能而进行的核心更改外,许多系统程序包(包括锁定屏幕和 SystemUI)也经过了修改,以支持 FBE 和“直接启动”功能。其中包括:</p> +Android 提供了文件级加密的参考实现,其中 vold (<a href="https://android.googlesource.com/platform/system/vold/">system/vold</a>) 负责提供用于管理 Android 上的存储设备和存储卷的功能。添加 FBE 会为 vold 提供一些新命令,以便支持对多位用户的 CE 密钥和 DE 密钥进行密钥管理。除了为使用内核中的<a href="#kernel-support">文件级加密</a>功能而进行的核心更改外,许多系统程序包(包括锁定屏幕和 SystemUI)也经过了修改,以支持 FBE 和“直接启动”功能。这些选项包括: +</p> <ul> <li>AOSP 拨号器 (packages/apps/Dialer)</li><li>桌面时钟 (packages/apps/DeskClock)</li><li>LatinIME (packages/inputmethods/LatinIME)*</li><li>“设置”应用 (packages/apps/Settings)*</li><li>SystemUI (frameworks/base/packages/SystemUI)*</li></ul> <p> -<em>*使用 <code><a href="#supporting-direct-boot-in-system-applications">defaultToDeviceProtectedStorage</a></code> 清单属性的系统应用</em> +<em>* 使用 <code><a href="#supporting-direct-boot-in-system-applications">defaultToDeviceProtectedStorage</a></code> 清单属性的系统应用</em> </p> <p> 通过在 AOSP 源代码树的框架或程序包目录中运行 <code>mangrep directBootAware</code> 命令,可以找到更多加密感知型应用和服务的示例。 @@ -79,7 +80,8 @@ Android 提供了文件级加密的参考实现,其中 vold (<a href="https:// 要安全地使用 AOSP 提供的 FBE 实现,设备需要满足以下依赖关系:</p> <ul> -<li>对 EXT4 加密的<strong>内核支持</strong>(内核配置选项:EXT4_FS_ENCRYPTION)</li><li>基于 1.0 或 2.0 版 HAL 的 <strong><a href="/security/keystore/index.html">Keymaster 支持</a></strong>。不支持 Keymaster 0.3,因为它既不提供必要的功能,也不能保证为加密密钥提供充分保护。 +<li>对 Ext4 加密或 F2FS 加密的<strong>内核支持</strong>(内核配置选项:<code>EXT4_FS_ENCRYPTION</code> 或 <code>F2FS_FS_ENCRYPTION</code>) +</li><li>基于 1.0 或 2.0 版 HAL 的 <strong><a href="/security/keystore/index.html">Keymaster 支持</a></strong>。不支持 Keymaster 0.3,因为它既不提供必要的功能,也不能保证为加密密钥提供充分保护。 </li><li>必须在<a href="/security/trusty/index.html">可信执行环境</a> (TEE) 中实现 <strong>Keymaster/<a href="/security/keystore/index.html">Keystore</a> 和 Gatekeeper</strong>,以便为 DE 密钥提供保护,从而使未经授权的操作系统(刷写到设备上的定制操作系统)无法直接请求 DE 密钥。 </li><li>内核<strong>加密性能</strong>必须要在使用 AES XTS 时至少达到 50MB/s,以确保良好的用户体验。 </li><li><strong>硬件信任根</strong>和<strong>验证启动</strong>需要绑定到 Keymaster 初始化进程,以确保未经授权的操作系统无法获取设备加密凭据。</li> @@ -95,41 +97,10 @@ Android 提供了文件级加密的参考实现,其中 vold (<a href="https:// </p> <h3 id="kernel-support">内核支持</h3> <p> -AOSP 提供的文件级加密实现会用到 Linux 4.4 内核中的 EXT4 加密功能。推荐的解决方案是使用基于 4.4 或更高版本的内核。EXT4 加密还反向移植到了 Android 公共代码库内的 3.10 内核以及受支持的 Nexus 内核。 -</p> -<p> -对于希望将该功能引入到其设备内核的设备制造商来说,AOSP 内核/公共 Git 代码库中的 android-3.10.y 分支可作为一个很好的着手点。不过,务必要在最新的稳定版 Linux 内核(目前是 <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/log/?id=refs/tags/v4.6">linux-4.6</a>)中应用 EXT4 和 JBD2 项目提供的最新补丁程序。Nexus 设备内核已经包含其中很多补丁程序。 -</p> -<table> - <tbody><tr> - <th>设备</th> - <th>内核</th> - </tr> - <tr> - <td>Android Common</td> - <td><strong>kernel/common</strong> android-3.10.y (<a href="https://android.googlesource.com/kernel/common/+/android-3.10.y">git</a>) - </td> - </tr> - <tr> - <td>Nexus 5X (bullhead)</td> - <td><strong>kernel/msm</strong> android-msm-bullhead-3.10-n-preview-2 (<a href="https://android.googlesource.com/kernel/msm/+/android-msm-bullhead-3.10-n-preview-2">git</a>) - </td> - </tr> - <tr> - <td>Nexus 6P (angler)</td> - <td><strong>kernel/msm</strong> android-msm-angler-3.10-n-preview-2 (<a href="https://android.googlesource.com/kernel/msm/+/android-msm-angler-3.10-n-preview-2">git</a>) - </td> - </tr> -</tbody></table> -<p> -请注意,以上每个内核都使用了到 3.10 的反向移植。Linux 3.18 中的 EXT4 和 JBD2 驱动程序已移植到基于 3.10 的现有内核中。由于内核各个部分之间存在依赖关系,因此这种反向移植会导致系统停止支持 Nexus 设备不使用的一些功能。其中包括:</p> - -<ul> -<li>EXT3 驱动程序,不过 EXT4 仍可以装载并使用 EXT3 文件系统</li><li>全局文件系统 (GFS) 支持</li><li>EXT4 中的 ACL 支持</li> -</ul> - +Android 通用内核 3.18 版或更高版本中提供了对 Ext4 和 F2FS 加密的内核支持。 +</p> <p> -除了对 EXT4 加密提供功能支持外,设备制造商还可以考虑实现加密加速功能,以便加快文件级加密的速度并改善用户体验。 +除了对 Ext4 或 F2FS 加密提供功能支持外,设备制造商还可以考虑实现加密加速功能,以便加快文件级加密的速度并改善用户体验。 </p> <h3 id="enabling-file-based-encryption">启用文件级加密</h3> <p> @@ -153,11 +124,15 @@ AOSP 提供的文件级加密实现会用到 Linux 4.4 内核中的 EXT4 加密 <h3 id="encryption-policy">加密政策</h3> <p> -EXT4 加密在目录级应用加密政策。首次创建设备的 <code>userdata</code> 分区时,会由 <code>init</code> 脚本应用基本结构和政策。这些脚本将触发创建首位用户(用户 0)的 CE 密钥和 DE 密钥,并定义要使用这些密钥加密哪些目录。创建其他用户和资料时,会生成必要的其他密钥并将其存储在密钥代码库中;接下来会为密钥创建凭据和设备存储位置,并且加密政策会将这些密钥关联到相应目录。 +文件级加密在目录级应用加密政策。首次创建设备的 <code>userdata</code> 分区时,会由 <code>init</code> 脚本应用基本结构和政策。这些脚本将触发创建首位用户(用户 0)的 CE 密钥和 DE 密钥,并定义要使用这些密钥加密哪些目录。创建其他用户和资料时,会生成必要的其他密钥并将其存储在密钥代码库中;接下来会为密钥创建凭据和设备存储位置,并且加密政策会将这些密钥关联到相应目录。 </p> <p> 在 AOSP 当前提供的文件级加密实现中,加密政策被硬编码到了以下位置: </p> +<pre class="devsite-click-to-copy">/system/extras/libfscrypt/fscrypt_init_extensions.cpp</pre> +<p> +在 Android P 及更早版本中,该位置为: +</p> <pre class="devsite-click-to-copy">/system/extras/ext4_utils/ext4_crypt_init_extensions.cpp</pre> <p> 可以在该文件中添加例外情况,以彻底防止特定目录被加密,具体方法是将相应目录添加到 <code>directories_to_exclude</code> 列表中。如果进行了此类修改,设备制造商应添加 <a href="/security/selinux/device-policy.html">SELinux 政策</a>,以便仅向需要使用未加密目录的应用授予访问权限(应排除所有不可信的应用)。 @@ -225,13 +200,18 @@ EXT4 加密在目录级应用加密政策。首次创建设备的 <code>userdata 为了确保实现的 FBE 功能版本能够按预期工作,需要部署多种 <a href="https://android.googlesource.com/platform/cts/+/master/hostsidetests/appsecurity/src/android/appsecurity/cts/DirectBootHostTest.java">CTS 加密测试</a>。 </p> <p> -可以顺利为您的主板编译内核后,还需要为 x86 编译内核并在 QEMU 下运行该内核,以便使用以下命令通过 <a hre="https://git.kernel.org/cgit/fs/ext2/xfstests-bld.git/plain/quick-start?h=META">xfstest</a> 进行测试: +可以顺利为您的主板编译内核后,您还应该为 x86 编译内核并在 QEMU 下运行该内核,以便通过 <a hre="https://git.kernel.org/cgit/fs/ext2/xfstests-bld.git/plain/quick-start?h=META">kvm-xfstests</a> 进行测试。对于 Ext4,请使用: </p> <pre class="devsite-terminal devsite-click-to-copy"> -kvm-xfstests -c encrypt -g auto +kvm-xfstests -c ext4/encrypt -g auto </pre> <p> -此外,设备制造商可以执行这些手动测试。在启用了 FBE 的设备上进行以下手动测试:</p> +对于 F2FS,请使用: +</p> +<pre class="devsite-terminal devsite-click-to-copy"> +kvm-xfstests -c f2fs/encrypt -g auto +</pre> +<p>此外,设备制造商可以在启用了 FBE 的设备上进行以下手动测试:</p> <ul> <li>检查 <code>ro.crypto.state</code> 是否存在<ul> diff --git a/zh-cn/security/enhancements/enhancements42.html b/zh-cn/security/enhancements/enhancements42.html index 9c6383b8..c0444910 100644 --- a/zh-cn/security/enhancements/enhancements42.html +++ b/zh-cn/security/enhancements/enhancements42.html @@ -33,13 +33,13 @@ Android 提供了一个多层安全模型,<a href="/security/index.html">Andro <li><strong>改进后的 Android 权限显示方式</strong> - 权限划分到了多个对用户来说更清晰明了的组中。在审核权限时,用户可以点击权限来查看关于相应权限的更多详细信息。</li> -<li><strong>installd 安全强化</strong> - <code>installd</code> 守护进程不会以 Root 用户身份运行,从而可减小 Root 提权攻击的潜在攻击面。</li> +<li><strong>installd 安全强化</strong> - <code>installd</code> 守护进程不会以 Root 用户身份运行,从而可缩小 Root 提权攻击的潜在攻击面。</li> <li><strong>init 脚本安全强化</strong> - init 脚本现在应用 <code>O_NOFOLLOW</code> 语义来防范与符号链接相关的攻击。</li> <li><strong>FORTIFY_SOURCE</strong> - Android 现在实现了 <code>FORTIFY_SOURCE</code>,以供系统库和应用用于防范内存损坏。</li> -<li><strong>ContentProvider 默认配置</strong> - 采用 API 17 级的应用会针对每个<a href="https://developer.android.com/reference/android/content/ContentProvider.html">内容提供程序</a>默认将“export”设为“false”,从而减小应用的默认受攻击面。</li> +<li><strong>ContentProvider 默认配置</strong> - 采用 API 17 级的应用会针对每个<a href="https://developer.android.com/reference/android/content/ContentProvider.html">内容提供程序</a>默认将“export”设为“false”,从而缩小应用的默认受攻击面。</li> <li><strong>加密</strong> - 修改了 SecureRandom 和 Cipher.RSA 的默认实现,以便使用 OpenSSL。为使用 OpenSSL 1.0.1 的 TLSv1.1 和 TLSv1.2 添加了安全套接字支持</li> diff --git a/zh-cn/security/index.html b/zh-cn/security/index.html index 18573db5..5d699c58 100644 --- a/zh-cn/security/index.html +++ b/zh-cn/security/index.html @@ -1,5 +1,5 @@ <html devsite><head> - <title>安全</title> + <title>安全性</title> <meta name="project_path" value="/_project.yaml"/> <meta name="book_path" value="/_book.yaml"/> </head> diff --git a/zh-cn/security/keystore/tags.html b/zh-cn/security/keystore/tags.html index 1e847c89..2a9dcec4 100644 --- a/zh-cn/security/keystore/tags.html +++ b/zh-cn/security/keystore/tags.html @@ -93,7 +93,7 @@ typedef enum { <p><strong>版本</strong>:1、2、3、4</p> <p><strong>是否可重复使用</strong>?否</p> -<p>将此标记提供给 <a href="/security/keystore/implementer-ref#generate_key">generateKey</a> 或 <a href="/security/keystore/implementer-ref#import_key">importKey</a> 时,此标记可用于指定任何时候使用相应密钥时必需的数据。具体来说就是,调用 <a href="/security/keystore/implementer-ref#export_key">exportKey</a> 和 <a href="/security/keystore/implementer-ref#get_key_characteristics">getKeyCharacteristics</a> 时需要为 <code>clientId</code> 参数提供相同的值,而调用 <a href="/security/keystore/implementer-ref#begin">begin</a> 时则需要提供此标记以及相同的相关数据(作为 <code>inParams</code> 集的一部分)。如果未收到正确的数据,则该函数会返回 <code>ErrorCode::INVALID_KEY_BLOB</code>。</p> +<p>将此标记提供给 <a href="/security/keystore/implementer-ref#generate_key">generateKey</a> 或 <a href="/security/keystore/implementer-ref#import_key">importKey</a> 时,此标记可用于指定使用相应密钥时均必须要提供的数据。具体来说就是,调用 <a href="/security/keystore/implementer-ref#export_key">exportKey</a> 和 <a href="/security/keystore/implementer-ref#get_key_characteristics">getKeyCharacteristics</a> 时需要为 <code>clientId</code> 参数提供相同的值,而调用 <a href="/security/keystore/implementer-ref#begin">begin</a> 时则需要提供此标记以及相同的相关数据(作为 <code>inParams</code> 集的一部分)。如果未收到正确的数据,则该函数会返回 <code>ErrorCode::INVALID_KEY_BLOB</code>。</p> <p>此标记的内容以加密形式绑定到相应密钥,这意味着,如果有不轨人士有权访问安全域的所有机密内容,但无权访问此标记的内容,必须要确保他们在不对此标记的内容进行暴力破解攻击的情况下无法解密相应密钥,应用可通过指定足够的高熵内容来防范这一行为。<em></em></p> @@ -104,7 +104,7 @@ typedef enum { <p><strong>版本</strong>:1、2、3、4</p> <p><strong>是否可重复使用</strong>?否</p> -<p>将此标记提供给 <a href="/security/keystore/implementer-ref#generate_key">generateKey</a> 或 <a href="/security/keystore/implementer-ref#import_key">importKey</a> 时,此标记可用于指定任何时候使用相应密钥时必需的数据。具体来说就是,调用 <a href="/security/keystore/implementer-ref#export_key">exportKey</a> 和 <a href="/security/keystore/implementer-ref#get_key_characteristics">getKeyCharacteristics</a> 时需要为 <code>clientId</code> 参数提供相同的值,而调用 <a href="/security/keystore/implementer-ref#begin">begin</a> 时则需要提供此标记以及相同的相关数据(作为 <code>inParams</code> 集的一部分)。如果未收到正确的数据,则该函数会返回 <code>ErrorCode::INVALID_KEY_BLOB</code>。</p> +<p>将此标记提供给 <a href="/security/keystore/implementer-ref#generate_key">generateKey</a> 或 <a href="/security/keystore/implementer-ref#import_key">importKey</a> 时,此标记可用于指定使用相应密钥时均必须要提供的数据。具体来说就是,调用 <a href="/security/keystore/implementer-ref#export_key">exportKey</a> 和 <a href="/security/keystore/implementer-ref#get_key_characteristics">getKeyCharacteristics</a> 时需要为 <code>clientId</code> 参数提供相同的值,而调用 <a href="/security/keystore/implementer-ref#begin">begin</a> 时则需要提供此标记以及相同的相关数据(作为 <code>inParams</code> 集的一部分)。如果未收到正确的数据,则该函数会返回 <code>ErrorCode::INVALID_KEY_BLOB</code>。</p> <p>此标记的内容以加密形式绑定到相应密钥,这意味着,即使有不轨人士有权访问安全域的所有机密内容,也应无权访问此标记的内容,必须要确保他们无法解密相应密钥(在不对此标记的内容进行暴力破解攻击的情况下)。<em></em></p> @@ -213,7 +213,7 @@ typedef enum { <p><strong>版本</strong>:1、2、3、4</p> <p><strong>是否可重复使用</strong>?否</p> -<p>用于向 <a href="/security/keystore/authentication/#authentication_token_format">begin</a>、<a href="/security/keystore/implementer-ref#begin">update</a> 或 <a href="/security/keystore/implementer-ref#update">finish</a> 提供<a href="/security/keystore/implementer-ref#finish">身份验证令牌</a>,以便向要求用户通过身份验证的密钥操作(密钥带有 <a href="#user_secure_id">Tag::USER_SECURE_ID</a>)证明相应用户已通过身份验证。</p> +<p>用于向 <a href="/security/keystore/implementer-ref#begin">begin</a>、<a href="/security/keystore/implementer-ref#update">update</a> 或 <a href="/security/keystore/implementer-ref#finish">finish</a> 提供<a href="/security/keystore/authentication/#authentication_token_format">身份验证令牌</a>,以便向要求用户通过身份验证的密钥操作(密钥带有 <a href="#user_secure_id">Tag::USER_SECURE_ID</a>)证明相应用户已通过身份验证。</p> <p>此标记的值是一个包含 <code>hw_auth_token_t</code> 结构的 Blob。</p> @@ -286,7 +286,8 @@ typedef enum { </p> <p>在每次启动期间,引导加载程序都必须将启动映像的补丁程序级别提供给安全环境(相应机制是由实现定义的)。 </p> -<p>必须由硬件强制执行。 +<p> +必须由硬件强制执行。 </p> <h2 id="bootloader_only">Tag::BOOTLOADER_ONLY</h2> @@ -714,7 +715,8 @@ typedef enum { <p>该标记的值是形式为 YYYYMMDD 的整数,其中 YYYY 表示上次更新时间的四位数年份,MM 表示上次更新时间的两位数月份,DD 表示上次更新时间的两位数日期。例如,对于上次更新时间为 2018 年 6 月 5 日的 Android 设备上生成的密钥,其值将表示为 20180605。</p> <p>IKeymasterDevice HAL 必须从系统属性 <code>ro.vendor.build.security_patch</code> 读取当前供应商补丁程序级别,并在 HAL 首次加载时将其传递给安全环境(相应机制是由实现定义的)。在下次启动完成前,安全环境不得接受其他补丁程序级别。 </p> -<p>必须由硬件强制执行。 +<p> +必须由硬件强制执行。 </p> </body></html>
\ No newline at end of file diff --git a/zh-cn/security/overview/acknowledgements.html b/zh-cn/security/overview/acknowledgements.html index 28b1e22b..a9694d39 100644 --- a/zh-cn/security/overview/acknowledgements.html +++ b/zh-cn/security/overview/acknowledgements.html @@ -20,11 +20,56 @@ limitations under the License. --> -<p>Android 安全团队衷心感谢以下个人和团队帮助提高 Android 安全性。他们或发现安全漏洞,并负责地通过 AOSP 错误跟踪工具<a href="https://www.google.com/appserve/security-bugs/m2/new">安全错误报告</a>模板向我们报告,或提交对 Android 安全性具有积极影响的代码(包括符合<a href="https://www.google.com/about/appsecurity/patch-rewards/">补丁程序奖励</a>计划条件的代码),帮助提高了 Android 安全性。</p> +<p>Android 安全团队衷心感谢以下个人和团队帮助提高 Android 安全性。他们有的发现了安全漏洞,并负责地通过 AOSP 错误跟踪工具<a href="https://www.google.com/appserve/security-bugs/m2/new">安全错误报告</a>模板向我们报告,有的提交了对 Android 安全性具有积极影响的代码(包括符合<a href="https://www.google.com/about/appsecurity/patch-rewards/">补丁程序奖励</a>计划条件的代码),帮助提高了 Android 安全性。</p> <h2 id="2018">2018 年</h2> <p>2018 年的安全致谢信息将按月列出。过去几年的致谢信息是列在一起的。</p> +<h4 id="nov-2018">11 月</h4> + +<table> + <tbody><tr> + <th>研究人员</th> + <th>CVE</th> + </tr> + <tr> + <td><a href="https://labs.mwrinfosecurity.com/" class="external">MWR 实验室</a>的 <a href="https://twitter.com/amarekano" class="external">Amar Menezes</a></td> + <td>CVE-2018-9524</td> + </tr> + <tr> + <td>奇虎 360 科技有限公司 Alpha 团队的 Elphet 和龚广</td> + <td>CVE-2018-9569、CVE-2018-9570、CVE-2018-9573、CVE-2018-9576、CVE-2018-9577</td> + </tr> + <tr> + <td>MS509Team (<a href="http://www.ms509.com" class="external">www.ms509.com</a>) 的 En He (<a href="https://twitter.com/@heeeeen4x" class="external">@heeeeen4x</a>) 和 Bo Liu</td> + <td>CVE-2018-9457</td> + </tr> + <tr> + <td><a href="https://github.com/michalbednarski" class="external">Michał Bednarski</a></td> + <td>CVE-2018-9522、CVE-2018-9523</td> + </tr> + <tr> + <td>Niky1235 (<a href="https://twitter.com/jiych_guru" class="external">@jiych_guru</a>)</td> + <td>CVE-2018-9347</td> + </tr> + <tr> + <td>Zimperium zLabs 团队的 Tamir Zahavi-Brunner (<a href="https://twitter.com/tamir_zb" class="external">@tamir_zb</a>)</td> + <td>CVE-2018-9539</td> + </tr> + <tr> + <td>IIE 的项晓波;奇虎 360 科技有限公司 Alpha 团队的龚广</td> + <td>CVE-2018-9571、CVE-2018-9572、CVE-2018-9574、CVE-2018-9575</td> + </tr> + <tr> + <td><a href="https://xlab.tencent.com/en/" class="external">腾讯安全玄武实验室</a>的王永科 (<a href="https://twitter.com/rudykewang" class="external">@Rudykewang</a>) 和 Xiangqian Zhang (<a href="https://twitter.com/h3rb0x" class="external">@h3rb0x</a>)</td> + <td>CVE-2018-9540、CVE-2018-9541</td> + </tr> + <tr> + <td>奇虎 360 科技有限公司成都安全响应中心的韩子诺 (<a href="http://weibo.com/ele7enxxh" class="external">weibo.com/ele7enxxh</a>)</td> + <td>CVE-2018-9527、CVE-2018-9544、CVE-2018-9545、CVE-2018-9578</td> + </tr> +</tbody></table> + <h4 id="oct-2018">10 月</h4> <table> @@ -262,7 +307,7 @@ <td>CVE-2018-9418、CVE-2018-9419、CVE-2018-9413、CVE-2018-9365</td> </tr> <tr> - <td>奇虎 360 IceSword 实验室的 Jianqiang Zhao (<a href="https://twitter.com/jianqiangzhao" class="external">@jianqiangzhao</a>) 和 pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>)</td> + <td>奇虎 360 冰刃实验室的赵建强 (<a href="https://twitter.com/jianqiangzhao" class="external">@jianqiangzhao</a>) 和潘剑锋 (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>)</td> <td>CVE-2018-9417</td> </tr> <tr> @@ -410,7 +455,7 @@ <td>CVE-2017-6293、CVE-2018-6246</td> </tr> <tr> - <td>奇虎 360 科技有限公司 IceSword 实验室的陈耿佳 (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) 和 <a href="http://weibo.com/jfpan">pjf</a></td> + <td>奇虎 360 科技有限公司冰刃实验室的陈耿佳 (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) 和<a href="http://weibo.com/jfpan">潘剑锋</a></td> <td>CVE-2017-18153</td> </tr> <tr> @@ -449,8 +494,7 @@ <th>CVE</th> </tr> <tr> - <td>Google 的 Billy Lau - </td> + <td>Google 的 Billy Lau</td> <td>CVE-2017-13305</td> </tr> <tr> @@ -462,7 +506,7 @@ <td>CVE-2017-13289、CVE-2017-13286</td> </tr> <tr> - <td>Huawei L.O. 团队的 Cusas</td> + <td>华为公司 L.O. 团队的 Cusas</td> <td>CVE-2017-13279</td> </tr> <tr> @@ -478,8 +522,7 @@ <td>CVE-2017-13276</td> </tr> <tr> - <td><a href="http://www.ms509.com">MS509Team</a> 的 En He (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) 和 Bo Liu - </td> + <td><a href="http://www.ms509.com">MS509Team</a> 的 En He (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) 和 Bo Liu</td> <td>CVE-2017-13294</td> </tr> <tr> @@ -491,66 +534,47 @@ <td>CVE-2018-3596</td> </tr> <tr> - <td>Haosheng Wang (<a href="https://twitter.com/gnehsoah">@gnehsoah</a>)</td> - <td>CVE-2017-13280 - </td> + <td>王浩生 (<a href="https://twitter.com/gnehsoah">@gnehsoah</a>)</td> + <td>CVE-2017-13280</td> </tr> <tr> - <td>Jean-Baptiste Cayrou (<a href="https://twitter.com/jbcayrou">@jbcayrou</a>) - </td> - <td>CVE-2017-13284 - </td> + <td>Jean-Baptiste Cayrou (<a href="https://twitter.com/jbcayrou">@jbcayrou</a>)</td> + <td>CVE-2017-13284</td> </tr> <tr> - <td>奇虎 360 科技有限公司 Alpha 团队的戴建军 (<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>) 和龚广 - </td> - <td>CVE-2017-13291、CVE-2017-13283、CVE-2017-13282、CVE-2017-13281、CVE-2017-13267 - </td> + <td>奇虎 360 科技有限公司 Alpha 团队的戴建军 (<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>) 和龚广</td> + <td>CVE-2017-13291、CVE-2017-13283、CVE-2017-13282、CVE-2017-13281、CVE-2017-13267</td> </tr> <tr> - <td>Orange Labs 的 Patrick Delvenne (<a href="https://twitter.com/wintzx">@wintzx</a>) - </td> - <td>CVE-2018-3584 - </td> + <td>Orange Labs 的 Patrick Delvenne (<a href="https://twitter.com/wintzx">@wintzx</a>)</td> + <td>CVE-2018-3584</td> </tr> <tr> - <td>百度安全实验室的丁鹏飞、包沉浮和韦韬 - </td> - <td>CVE-2017-13306、CVE-2017-13290、CVE-2017-15837 - </td> + <td>百度安全实验室的丁鹏飞、包沉浮和韦韬</td> + <td>CVE-2017-13306、CVE-2017-13290、CVE-2017-15837</td> </tr> <tr> - <td>Tencent Blade 团队 - </td> - <td>CVE-2017-15853 - </td> + <td>Tencent Blade 团队</td> + <td>CVE-2017-15853</td> </tr> <tr> - <td>Vasily Vasiliev - </td> - <td>CVE-2017-13297 - </td> + <td>Vasily Vasiliev</td> + <td>CVE-2017-13297</td> </tr> <tr> - <td>阿里巴巴的 Weichao Sun (<a href="https://twitter.com/sunblate">@sunblate</a>) - </td> - <td>CVE-2017-13277 - </td> + <td>阿里巴巴的 Weichao Sun (<a href="https://twitter.com/sunblate">@sunblate</a>)</td> + <td>CVE-2017-13277</td> </tr> <tr> <td>奇虎 360 科技有限公司 Vulpecker 团队的<a href="mailto:huahuaisadog@gmail.com">戴阳</a>和<a href="http://weibo.com/panyu6325">潘宇</a></td> - <td>CVE-2017-13304 - </td> + <td>CVE-2017-13304</td> </tr> <tr> - <td>奇虎 360 科技有限公司 IceSword 实验室的郭永刚 (<a href="https://twitter.com/guoygang">@guoygang</a>) - </td> - <td>CVE-2017-8269、CVE-2017-13307、CVE-2018-5826 - </td> + <td>奇虎 360 科技有限公司冰刃实验室的郭永刚 (<a href="https://twitter.com/guoygang">@guoygang</a>)</td> + <td>CVE-2017-8269、CVE-2017-13307、CVE-2018-5826</td> </tr> <tr> - <td>Huawei L.O. 团队的 Zhongwen 和 Chao Dai - </td> + <td>华为公司 L.O. 团队的 Zhongwen 和 Chao Dai</td> <td>CVE-2017-13274</td> </tr> <tr> @@ -625,7 +649,7 @@ <td>CVE-2017-13249、CVE-2017-13248、CVE-2017-13264</td> </tr> <tr> - <td>蚂蚁金服巴斯光年安全实验室的<a href="http://www.weibo.com/wishlinux">吴潍浠</a> (<a href=" https://twitter.com/wish_wu">@wish_wu</a>)</td> + <td>蚂蚁金服巴斯光年安全实验室的<a href=" https://twitter.com/wish_wu">吴潍浠</a> (<a href="http://www.weibo.com/wishlinux">@wish_wu</a>)</td> <td>CVE-2017-13259、CVE-2017-13272</td> </tr> <tr> @@ -664,92 +688,64 @@ <td>CVE-2017-13235</td> </tr> <tr> - <td>奇虎 360 科技有限公司 Alpha 团队的 Elphet 和龚广 - </td> - <td>CVE-2017-13229 - </td> + <td>奇虎 360 科技有限公司 Alpha 团队的 Elphet 和龚广</td> + <td>CVE-2017-13229</td> </tr> <tr> - <td><a href="http://www.ms509.com">MS509Team</a> 的 En He (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) 和 Bo Liu - </td> - <td>CVE-2017-13242 - </td> + <td><a href="http://www.ms509.com">MS509Team</a> 的 En He (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) 和 Bo Liu</td> + <td>CVE-2017-13242</td> </tr> <tr> - <td>Google 的 Gal Beniamini - </td> - <td>CVE-2017-13236 - </td> + <td>Google 的 Gal Beniamini</td> + <td>CVE-2017-13236</td> </tr> <tr> <td>奇虎 360 科技有限公司 Alpha 团队的陈豪和龚广</td> - <td>CVE-2017-13245 - </td> + <td>CVE-2017-13245</td> </tr> <tr> - <td><a href="http://c0reteam.org">C0RE 团队</a>的 Hongli Han (<a href="https://twitter.com/HexB1n">@HexB1n</a>)、<a href="mailto:shaodacheng2016@gmail.com">Dacheng Shao</a> 和周明建 (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) - </td> - <td>CVE-2017-6258 - </td> + <td><a href="http://c0reteam.org">C0RE 团队</a>的 Hongli Han (<a href="https://twitter.com/HexB1n">@HexB1n</a>)、<a href="mailto:shaodacheng2016@gmail.com">Dacheng Shao</a> 和周明建 (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)</td> + <td>CVE-2017-6258</td> </tr> <tr> - <td><a href="http://c0reteam.org">C0RE 团队</a>的 Hongli Han (<a href="https://twitter.com/HexB1n">@HexB1n</a>)、周明建 (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) - </td> - <td>CVE-2017-17767、CVE-2017-6279 - </td> + <td><a href="http://c0reteam.org">C0RE 团队</a>的 Hongli Han (<a href="https://twitter.com/HexB1n">@HexB1n</a>)、周明建 (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)</td> + <td>CVE-2017-17767、CVE-2017-6279</td> </tr> <tr> - <td><a href="http://c0reteam.org">C0RE 团队</a>的周明建 (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) - </td> - <td>CVE-2017-13241、CVE-2017-13231 - </td> + <td><a href="http://c0reteam.org">C0RE 团队</a>的周明建 (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)</td> + <td>CVE-2017-13241、CVE-2017-13231</td> </tr> <tr> - <td>Nightwatch Cybersecurity Research - </td> - <td>CVE-2017-13243 - </td> + <td>Nightwatch Cybersecurity Research</td> + <td>CVE-2017-13243</td> </tr> <tr> <td><a href="mailto:jiych.guru@gmail.com">Niky1235</a> (<a href="https://twitter.com/jiych_guru">@jiych_guru</a>)</td> - <td>CVE-2017-13230、CVE-2017-13234 - </td> + <td>CVE-2017-13230、CVE-2017-13234</td> </tr> <tr> - <td>Outware - </td> - <td>CVE-2017-13239 - </td> + <td>Outware</td> + <td>CVE-2017-13239</td> </tr> <tr> - <td>PDD 安全团队的何淇丹 (<a href="https://twitter.com/flanker_hqd?lang=en">@flanker_hqd</a>) - </td> - <td>CVE-2017-13246 - </td> + <td>PDD 安全团队的何淇丹 (<a href="https://twitter.com/flanker_hqd?lang=en">@flanker_hqd</a>)</td> + <td>CVE-2017-13246</td> </tr> <tr> - <td>腾讯安全平台部门的 Xiling Gong - </td> - <td>CVE-2017-15852 - </td> + <td>腾讯安全平台部门的 Xiling Gong</td> + <td>CVE-2017-15852</td> </tr> <tr> - <td>奇虎 360 科技有限公司 IceSword 实验室的郭永刚 (<a href="https://twitter.com/guoygang">@guoygang</a>) - </td> - <td>CVE-2017-13273 - </td> + <td>奇虎 360 科技有限公司冰刃实验室的郭永刚 (<a href="https://twitter.com/guoygang">@guoygang</a>)</td> + <td>CVE-2017-13273</td> </tr> <tr> - <td>腾讯安全平台部门的张博 - </td> - <td>CVE-2015-9016 - </td> + <td>腾讯安全平台部门的张博</td> + <td>CVE-2015-9016</td> </tr> <tr> - <td>奇虎 360 科技有限公司成都安全响应中心的<a href="http://weibo.com/ele7enxxh">韩子诺</a> - </td> - <td>CVE-2017-13232 - </td> + <td>奇虎 360 科技有限公司成都安全响应中心的<a href="http://weibo.com/ele7enxxh">韩子诺</a></td> + <td>CVE-2017-13232</td> </tr> </tbody></table> @@ -1503,7 +1499,7 @@ <td>CVE-2017-0758、CVE-2017-0760</td> </tr> <tr> - <td><a href="http://www.nsfocus.com/">NSFocus</a> 的 <a href="mailto:zhouzhenster@gmail.com">Zhen Zhou</a> (<a href="https://twitter.com/henices">@henices</a>)</td> + <td><a href="http://www.nsfocus.com/">绿盟科技</a>的<a href="mailto:zhouzhenster@gmail.com">周振</a> (<a href="https://twitter.com/henices">@henices</a>)</td> <td>CVE-2017-0406</td> </tr> <tr> @@ -1511,7 +1507,7 @@ <td>CVE-2017-0752</td> </tr> <tr> - <td><a href="http://www.nsfocus.com/">NSFocus</a> 的 <a href="mailto:sundaywind2004@gmail.com">Zhixin Li</a></td> + <td><a href="http://www.nsfocus.com/">绿盟科技</a>的<a href="mailto:sundaywind2004@gmail.com">李志昕</a></td> <td>CVE-2017-0406</td> </tr> <tr> @@ -1815,7 +1811,7 @@ <p>阿里巴巴的 Weichao Sun (<a href="https://twitter.com/sunblate">@sunblate</a>)</p> -<p>腾讯科恩实验室 (<a href="https://twitter.com/keen_lab">@keen_lab</a>) 的 Wen Niu (<a href="https://twitter.com/NWMonster">@NWMonster</a>)</p> +<p>腾讯科恩实验室 (<a href="https://twitter.com/keen_lab">@keen_lab</a>) 的钮文 (<a href="https://twitter.com/NWMonster">@NWMonster</a>)</p> <p><a href="http://c0reteam.org">C0RE 团队</a>的 <a href="mailto:vancouverdou@gmail.com">Wenke Dou</a></p> @@ -1835,7 +1831,7 @@ <p>北京大学的 <a href="mailto:hanxinhui@pku.edu.cn">Xinhui Han</a></p> -<p><a href="http://www.360safe.com/">奇虎 360</a><a href="http://c0reteam.org">C0RE 团队</a>的 Xuxian Jiang</p> +<p><a href="http://www.360safe.com/">奇虎 360</a> <a href="http://c0reteam.org">C0RE 团队</a>的 Xuxian Jiang</p> <p>Android Bionic 团队的 Yabin Cui</p> @@ -2048,7 +2044,8 @@ <p><a href="http://www.sonymobile.com">索尼移动</a></p> -<p><a href="https://www.sit.fraunhofer.de/">Fraunhofer SIT</a> 移动安全测试实验室的 Stephan Huber (<a href="mailto:Stephan.Huber@sit.fraunhofer.de">Stephan.Huber@sit.fraunhofer.de</a>)</p> +<p><a href="https://www.sit.fraunhofer.de/">Fraunhofer SIT</a> 移动安全测试实验室的 Stephan Huber (<a href="mailto:Stephan.Huber@sit.fraunhofer.de">Stephan.Huber@sit.fraunhofer.de</a>) +</p> <p>美国国家安全局<a href="https://www.nsa.gov/research/ia_research/">可信系统研究团队</a>的 Stephen Smalley <a href="https://android-review.googlesource.com/#/q/owner:%22Stephen+Smalley+%253Csds%2540tycho.nsa.gov%253E%22+status:merged"> diff --git a/zh-cn/security/overview/app-security.html b/zh-cn/security/overview/app-security.html index 1bfa5288..a0393120 100644 --- a/zh-cn/security/overview/app-security.html +++ b/zh-cn/security/overview/app-security.html @@ -28,13 +28,13 @@ <p><strong>AndroidManifest.xml</strong>:<a href="https://developer.android.com/guide/topics/manifest/manifest-intro.html">AndroidManifest.xml</a> 文件是一个控制文件,用于告诉系统如何处理应用中的所有顶层组件(具体来说就是下面介绍的 Activity、服务、广播接收器和内容提供程序)。该文件还用于指定需要哪些权限。</p> </li> <li> - <p><strong>Activity</strong>:<a href="https://developer.android.com/guide/topics/fundamentals/activities.html">Activity</a> 通常是指面向用户的单个任务的代码,通常包括向用户显示界面,但并不一定会这样,有些 Activity 就从不显示界面。通常情况下,应用的入口点是应用的其中一项活动。</p> + <p><strong>Activity</strong>:<a href="https://developer.android.com/guide/topics/fundamentals/activities.html">Activity</a> 通常是指面向用户的单个任务的代码,通常包括向用户显示界面,但也并不一定这样,有些 Activity 就从不显示界面。通常情况下,应用的入口点是应用的其中一项活动。</p> </li> <li> <p><strong>服务</strong>:<a href="https://developer.android.com/guide/topics/fundamentals/services.html">服务</a>是指在后台运行的一段代码。服务可以在自己的进程中运行,也可以在其他应用的进程中运行。其他组件会“绑定”到某项服务,并通过远程过程调用来调用该服务的方法。比如媒体播放器就是一项服务:即使用户退出媒体选择界面,也可能仍然希望音乐继续播放。即使界面已关闭,服务也可使音乐继续播放。</p> </li> <li> - <p><strong>广播接收器</strong>:<a href="https://developer.android.com/reference/android/content/BroadcastReceiver.html">广播接收器</a>是一种对象,在操作系统或其他应用发出称为 <a href="https://developer.android.com/reference/android/content/Intent.html">Intent</a> 的 IPC 机制时进行实例化。例如,应用可以注册一个接收器来接收电量不足的消息,并可以根据该信息改变自己的行为。</p> + <p><strong>广播接收器</strong>:<a href="https://developer.android.com/reference/android/content/BroadcastReceiver.html">广播接收器</a>是一种对象,该对象会在操作系统或其他应用发出称为 <a href="https://developer.android.com/reference/android/content/Intent.html">Intent</a> 的 IPC 机制时实例化。例如,应用可以注册一个接收器来接收电量不足的消息,并可以根据该信息改变自己的行为。</p> </li> </ul> <h2 id="the-android-permission-model-accessing-protected-apis">Android 权限模式:访问受保护的 API</h2> @@ -60,8 +60,8 @@ <h2 id="how-users-understand-third-party-applications">用户如何了解第三方应用</h2> <p>当用户与第三方应用互动时,Android 会尽力让用户清楚这一情况,并让用户知道这些应用具备的功能。在安装任何应用之前,系统都会向用户显示一条明晰的消息,让用户知道要安装的应用请求获得的各项权限。安装完毕后,系统不会再次提示用户确认任何权限。</p> <p>在安装前一刻显示权限的原因有很多。这时用户正在主动查看应用、开发者和功能方面的信息,以确定其是否符合自己的需求和期望。同样非常重要的一点是,他们尚未对要安装的应用做出心理或财务方面的承诺,并且可以轻松地将要安装的应用与其他替代应用进行比较。</p> -<p>有些其他平台会使用不同的方式通知用户,即在每个会话开始时或用户正在使用应用时请求权限。Android 的愿景是让用户能够随意在应用之间无缝切换。每次都让用户确认会拖慢用户的操作速度,而且会导致 Android 无法提供良好的用户体验。如果让用户在安装应用时查看权限,用户便可以在不愿意授予相应权限时选择不进行安装。</p> -<p>此外,许多界面研究表明,过度提示用户会导致用户开始在看到任何对话框时都选择“确定”。Android 的安全目标之一是向用户有效地传达重要的安全信息,而使用让用户习惯性忽略的对话框则无法做到这一点。如果只向用户提供一次重要信息并且仅在重要时刻提供,用户更有可能慎重思考他们要同意的是什么。</p> +<p>有些其他平台会使用不同的方式通知用户,即在每个会话开始时或用户正在使用应用时请求权限。Android 的愿景是让用户能够随意在应用之间无缝切换。每次都要求用户确认会拖慢用户的操作速度,而且会导致 Android 无法提供良好的用户体验。如果让用户在安装应用时查看权限,用户便可以在不愿意授予权限时选择不予安装。</p> +<p>此外,许多界面研究表明,过度提示用户会导致用户在看到任何对话框时都选择“确定”。Android 的安全目标之一是向用户有效地传达重要的安全信息,而使用让用户习惯性忽略的对话框则无法做到这一点。如果只向用户提供一次重要信息并且仅在重要时刻提供,用户更有可能慎重思考他们要同意的是什么。</p> <p>有些平台会选择完全不显示与应用功能有关的任何信息。这种方式会导致用户无法轻松了解和讨论应用功能。尽管无法使所有用户都是在充分了解相关信息的情况下做出决定,但 Android 权限模式可让众多用户轻松获取与应用相关的信息。例如,如果遇到意外的权限请求,经验更丰富的用户可能会询问有关应用功能的关键问题,并在 <a href="htts://play.google.com">Google Play</a> 等所有用户都可以看到的位置分享他们的疑问。</p> <table> <tbody><tr> @@ -114,10 +114,10 @@ <p>默认情况下,收集个人信息的所有应用都会仅限特定应用访问这些数据。如果某个应用选择通过 IPC 将数据提供给其他应用,那么这个授予访问权限的应用便可以限制由操作系统强制执行的 IPC 机制的权限。</p> <h2 id="sensitive-data-input-devices">敏感数据输入设备</h2> <p>Android 设备经常会提供可让应用与周围环境进行互动的敏感数据输入设备(例如,摄像头、麦克风或 GPS)。对于要使用这些设备的第三方应用,必须先由用户通过使用 Android 操作系统权限向其明确提供使用权限。安装应用时,安装程序会以提供名称的方式请求用户授予使用相应传感器的权限。</p> -<p>如果某个应用想要知道用户所在的位置,则需要获得获取用户位置信息的权限。安装应用时,安装程序会询问用户是否允许相应应用获取用户的位置信息。如果用户不希望任何应用获取其位置信息,可以随时运行“设置”应用,转到“位置和安全”,然后取消选中“使用无线网络”和“启用 GPS 卫星”。这将针对用户设备上的所有应用停用需要使用位置信息的服务。</p> +<p>如果某个应用想要知道用户所在的位置,则需要获得获取用户位置信息的权限。安装应用时,安装程序会询问用户是否允许该应用获取用户的位置信息。如果用户不希望任何应用获取其位置信息,可以随时运行“设置”应用,转到“位置和安全”,然后取消选中“使用无线网络”和“启用 GPS 卫星”。这将针对用户设备上的所有应用停用需要使用位置信息的服务。</p> <h2 id="device-metadata">设备元数据</h2> -<p>Android 还会尽力限制访问本身并不属于敏感数据,但可能会间接透露用户特征、用户偏好以及用户使用设备的方式的数据。</p> -<p>默认情况下,应用无权访问操作系统日志、浏览器历史记录、电话号码以及硬件/网络标识信息。如果应用在安装时请求获得访问此类信息的权限,安装程序会询问用户是否允许相应应用访问此类信息。如果用户没有授予该权限,系统将不会安装相应应用。</p> +<p>Android 还会尽力限制访问本身并不属于敏感数据,但可能会间接透露用户特征、用户偏好以及设备使用方式的数据。</p> +<p>默认情况下,应用无权访问操作系统日志、浏览器历史记录、电话号码以及硬件/网络标识信息。如果应用在安装时请求获得访问此类信息的权限,安装程序会询问用户是否允许该应用访问此类信息。如果用户没有授予该权限,系统将不会安装应用。</p> <h2 id="certificate-authorities">证书授权中心</h2> <p>Android 中收录了一组已安装的系统证书授权中心,这些授权中心在整个系统范围内均可信。在 Android 7.0 之前的版本中,设备制造商可以修改其设备上搭载的 CA 组。不过,运行 7.0 及更高版本的设备将具有一组统一的系统 CA,并且不再允许设备制造商对其进行修改。 </p> diff --git a/zh-cn/security/overview/reports.html b/zh-cn/security/overview/reports.html index a9c1ccce..16eb3b73 100644 --- a/zh-cn/security/overview/reports.html +++ b/zh-cn/security/overview/reports.html @@ -1,5 +1,5 @@ <html devsite><head> - <title>安全状况报告</title> + <title>安全报告</title> <meta name="project_path" value="/_project.yaml"/> <meta name="book_path" value="/_book.yaml"/> </head> @@ -19,40 +19,56 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p>Android 安全团队有时会发布报告或白皮书。以下是一些最新发布的内容。</p> +<p>Android 安全团队有时会发布安全报告或白皮书。以下是一些最新发布的内容。</p> + +<h2 id="enterprise-2018">Android Enterprise 安全性白皮书</h2> + +<p>这份安全性白皮书概述了 Android 为企业客户提供移动安全服务时采用的方法,并详细介绍了 Android 平台的优势、可用于实施控制的管理 API 范围,以及 Google Play 保护机制在检测威胁方面发挥的作用。</p> +<p> +<a href="/security/reports/Google_Android_Enterprise_Security_Whitepaper_2018.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="Enterprise" data-action="download">下载此白皮书</a></p> + +<a href="/security/reports/Google_Android_Enterprise_Security_Whitepaper_2018.pdf" class="gc-analytics-event" data-category="AOSP" data-label="Enterprise"><img src="/security/images/enterprise-whitepaper-cover.png" class="screenshot"/></a> + <h2 id="yir-2017">2017 年度回顾</h2> <p>此报告介绍了 Google 在 2017 年为 Android 安全所做的一切。</p> <p> -<a href="/security/reports/Google_Android_Security_2017_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2017" data-action="download">下载该报告</a></p> +<a href="/security/reports/Google_Android_Security_2017_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2017" data-action="download">下载此报告</a></p> <a href="/security/reports/Google_Android_Security_2017_Report_Final.pdf" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2017"><img src="/security/images/yir-2017.png" class="screenshot"/></a> <h2 id="yir-2016">2016 年度回顾</h2> <p>此报告介绍了 Google 在 2016 年为 Android 安全所做的一切。</p> -<p><a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2016" data-action="download">下载该报告</a></p> +<p><a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2016" data-action="download">下载此报告</a></p> <a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2016"><img src="/security/images/yir-2016.png" class="screenshot"/></a> <h2 id="yir-2015">2015 年度回顾</h2> <p>此报告介绍了 Google 在 2015 年为 Android 安全所做的一切。</p> -<p><a href="/security/reports/Google_Android_Security_2015_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2015" data-action="download">下载该报告</a></p> +<p><a href="/security/reports/Google_Android_Security_2015_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2015" data-action="download">下载此报告</a></p> <a href="/security/reports/Google_Android_Security_2015_Report_Final.pdf" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2015"><img src="/security/images/yir-2015.png" class="screenshot"/></a> <h2 id="yir-2014">2014 年度回顾</h2> <p>此报告介绍了 Google 在 2014 年为 Android 安全所做的一切。</p> -<p><a href="/security/reports/Google_Android_Security_2014_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2014" data-action="download">下载该报告</a></p> +<p><a href="/security/reports/Google_Android_Security_2014_Report_Final.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2014" data-action="download">下载此报告</a></p> <a href="/security/reports/Google_Android_Security_2014_Report_Final.pdf" class="gc-analytics-event" data-category="AOSP" data-label="YIR-2014"><img src="/security/images/yir-2014.png" class="screenshot"/></a> +<h2 id="keeping-harmful-apps-out-of-play">确保有害应用无法在 Google Play 上架</h2> + +<p>此白皮书介绍了 Android 安全团队在审核和检测可能会给用户或其数据带来安全风险的应用时所采用的一些方法。</p> +<p><a href="/security/reports/Android_WhitePaper_Final_02092016.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="GPP" data-action="download">下载此白皮书</a></p> + +<a href="/security/reports/Android_WhitePaper_Final_02092016.pdf" class="gc-analytics-event" data-category="AOSP" data-label="GPP"><img src="/security/images/gpp.png" class="screenshot"/></a> + <h2 id="PHA-classifications">潜在有害应用分类</h2> <p>此报告介绍了 Android 安全团队所采用的应用分类法,可让您了解我们如何对可能会给用户或其数据带来安全风险的应用进行分类。</p> -<p><a href="/security/reports/Google_Android_Security_PHA_classifications.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="PHA-classifications" data-action="download">下载该报告</a></p> +<p><a href="/security/reports/Google_Android_Security_PHA_classifications.pdf" class="button" class="gc-analytics-event" data-category="AOSP" data-label="PHA-classifications" data-action="download">下载此报告</a></p> <a href="/security/reports/Google_Android_Security_PHA_classifications.pdf" class="gc-analytics-event" data-category="AOSP" data-label="PHA-classifications"><img src="/security/images/PHA-classification.png" class="screenshot"/></a> diff --git a/zh-cn/security/selinux/compatibility.html b/zh-cn/security/selinux/compatibility.html index 98a66e16..227d14e0 100644 --- a/zh-cn/security/selinux/compatibility.html +++ b/zh-cn/security/selinux/compatibility.html @@ -140,9 +140,7 @@ AOSP SELinux 政策已经为平台与之交互的 <code>vendor</code> 分区部 </tr> </tbody></table> <aside class="note"> - <strong>*</strong> 有关更多示例,请参阅 -<a href="https://android.googlesource.com/platform/system/sepolicy/+/master/private/file_contexts" class="external"> - <code>system/sepolicy/private/file_contexts</code></a>。</aside> + <strong>*</strong>有关更多示例,请参阅 <a href="https://android.googlesource.com/platform/system/sepolicy/+/master/private/file_contexts" class="external"><code>system/sepolicy/private/file_contexts</code></a>。</aside> <p> 因此,您在 <code>vendor</code> 分区中标记额外的文件时,必须遵循特定规则(通过 <code>neverallows</code> 强制执行): @@ -243,7 +241,7 @@ Vendor: allow v_domain sysfs:class perm;</pre> <h3 id="policy-writability">政策可写性</h3> <p> -为了实现无需了解具体版本变化即可制定政策的目标,Android 8.0 包含平台公共政策类型与其属性之间的映射。类型 <code>foo</code> 映射到属性 <code>foo_v<em>N</em></code>,其中 <code><em>N</em></code> 是目标版本。<code>vN</code> 对应于 <code>PLATFORM_SEPOLICY_VERSION</code> 编译变量,格式为 <code>MM.NN</code>(其中 <code>MM</code> 对应于平台 SDK 编号,<code>NN</code> 是平台 sepolicy 特定版本)。 +为了实现无需了解具体版本变化即可制定政策的目标,Android 8.0 包含平台公共政策类型与其属性之间的映射。类型 <code>foo</code> 映射到属性 <code>foo_v<em>N</em></code>,其中 <code><em>N</em></code> 是目标版本 ,<code>vN</code> 对应于 <code>PLATFORM_SEPOLICY_VERSION</code> 编译变量,格式为 <code>MM.NN</code>(其中 <code>MM</code> 对应于平台 SDK 编号,<code>NN</code> 是平台 sepolicy 特定版本)。 </p> <p> 公共政策中的属性未进行版本化,而是以 API 形式存在(可以据此构建平台和供应商政策,以使两个分区之间的接口保持稳定)。平台和供应商政策写入程序都可以像当前那样继续写入政策。 @@ -259,7 +257,7 @@ perm</em>;</code> 形式导出的平台公共政策包含在供应商政策中 <h3 id="policy-diffs">政策差异</h3> <p> -如果不在各版本差异中将属性映射到类型,那么通过向每种类型的末尾添加 <code>_v<em>N</em></code> 来自动创建属性不起任何作用。Android 维护着属性版本之间的映射以及类型到这些属性的映射。这是在前面提到的包含语句的映射文件(例如 (CIL))中完成的: +如果不在各版本差异中将属性映射到类型,那么通过在每种类型的末尾添加 <code>_v<em>N</em></code> 来自动创建属性不起任何作用。Android 维护着属性版本之间的映射以及类型到这些属性的映射。这是在前面提到的包含语句的映射文件(例如 (CIL))中完成的: </p> <pre class="prettyprint">(typeattributeset foo_vN (foo))</pre> diff --git a/zh-cn/security/selinux/customize.html b/zh-cn/security/selinux/customize.html index 58b17172..fa4414f2 100644 --- a/zh-cn/security/selinux/customize.html +++ b/zh-cn/security/selinux/customize.html @@ -54,7 +54,7 @@ <li>仅针对您向 Android 添加的内容调整 SELinux 政策。默认政策能够自动适用于 <a href="https://android.googlesource.com/">Android 开源项目</a>代码库。</li> <li>将各个软件组件拆分成多个负责执行单项任务的模块。</li> <li>创建用于将这些任务与无关功能隔离开来的 SELinux 政策。</li> - <li>将这些政策放在 <code>/device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 目录下的 <code>*.te</code> 文件(SELinux 政策源代码文件的扩展)中,然后使用 <code>BOARD_SEPOLICY</code> 变量将其纳入到您的细分版本。</li> + <li>将这些政策放在 <code>/device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 目录下的 <code>*.te</code> 文件(te 是 SELinux 政策源代码文件使用的扩展名)中,然后使用 <code>BOARD_SEPOLICY</code> 变量将它们纳入到您的版本中。</li> <li>先将新域设为宽容域。为此,可以在该域的 <code>.te</code> 文件中使用宽容声明。</li> <li>分析结果并优化域定义。</li> <li>当 userdebug 版本中不再出现拒绝事件时,移除宽容声明。</li> @@ -227,7 +227,7 @@ audit_control setfcap</pre> <h2 id="neverallow">neverallow 规则</h2> -<p>SELinux <code>neverallow</code> 规则用于禁止在任何情况下都不应该发生的行为。通过<a href="/compatibility/cts/">兼容性</a>测试,现在会在各种设备上强制执行 SELinux <code>neverallow</code> 规则。</p> +<p>SELinux <code>neverallow</code> 规则用于禁止在任何情况下都不应该发生的行为。通过执行<a href="/compatibility/cts/">兼容性</a>测试,现在各种设备上都会强制执行 SELinux <code>neverallow</code> 规则。</p> <p>以下准则旨在协助制造商在自定义过程中避免出现与 <code>neverallow</code> 规则相关的错误。此处使用的规则编号与 Android 5.1 中使用的编号一致,并且会因版本而异。</p> @@ -251,7 +251,7 @@ audit_control setfcap</pre> <li><strong>system/sepolicy/public</strong>。其中包括所导出的用于供应商特定政策的政策。所有内容都会纳入 Android 8.0 <a href="/security/selinux/compatibility">兼容性基础架构</a>。公共政策会保留在不同版本上,因此您可以在自定义政策的 <code>/public</code> 中添加任何内容。正因如此,可存放在 <code>/public</code> 中的政策类型的限制性更强。将此目录视为相应平台的已导出政策 API:处理 <code>/system</code> 与 <code>/vendor</code> 之间的接口的所有内容都位于这里。</li> <li><strong>system/sepolicy/private</strong>。包括系统映像正常运行所必需(但供应商映像政策应该不知道)的政策。</li> <li><strong>system/sepolicy/vendor</strong>。包括位于 <code>/vendor</code> 但存在于核心平台树(非设备特定目录)中的组件的相关政策。这是编译系统区分设备和全局组件的软件工件;从概念上讲,这是下述设备专用政策的一部分。</li> - <li><strong>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</strong>。包含设备专用政策,以及对政策进行的设备自定义(在 Android 8.0 及更高版本中,该政策对应于供应商映像组件的相关政策)。</li> + <li>device/manufacturer/device-name/sepolicy<strong></strong><var></var><var></var>。包含设备专用政策,以及对政策进行的设备自定义(在 Android 8.0 及更高版本中,该政策对应于供应商映像组件的相关政策)。</li> </ul> <h3 id="supported-policy-scenarios">支持的政策场景</h3> <p> @@ -301,7 +301,7 @@ audit_control setfcap</pre> <strong>示例</strong>:添加新的非 AOSP HAL 以供无需 AOSP 模拟的客户端进程使用(因此,该进程需要自己的域)。 </p> <p> -与 <a href="#vendor-image-extensions-that-serve-extended-aosp-components">AOSP 扩展示例</a>类似,系统与供应商之间的互动政策必须位于供应商分区上的 <code>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 目录中(以确保系统政策不知道与特定供应商有关的详细信息)。您可以在 <code>system/sepolicy/public</code> 中添加新的用于扩展该政策的公共类型;只能在现有 AOSP 政策的基础上进行添加,即不要移除 AOSP 公共政策。新添加的公共类型随后可用于 <code>system/sepolicy/private</code> 和 <code>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 中的政策。 +与 <a href="#vendor-image-extensions-that-serve-extended-aosp-components">AOSP 扩展示例</a>类似,系统与供应商之间的互动政策必须位于供应商分区上的 <code>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 目录中(以确保系统政策不知道与特定供应商相关的详细信息)。您可以在 <code>system/sepolicy/public</code> 中添加新的用于扩展该政策的公共类型;只能在现有 AOSP 政策的基础上进行添加,即不要移除 AOSP 公共政策。新添加的公共类型随后可用于 <code>system/sepolicy/private</code> 和 <code>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 中的政策。 </p> <p> 请注意,每次向 <code>system/sepolicy/public</code> 添加内容都会增加复杂程度,因为这会增加必须在映射文件中跟踪的新兼容性保证(会受到其他限制)。只有新类型和相关项允许在 <code>system/sepolicy/public</code> 中添加规则;属性和其他政策声明不受支持。此外,新的公共类型不能用于直接为 <code>/vendor</code> 政策中的对象添加标签。 @@ -321,6 +321,6 @@ audit_control setfcap</pre> <strong>示例</strong>:对系统进程(AOSP 或非 AOSP)的更改必须更改它与新的非 AOSP 供应商组件进行互动的方式。 </p> <p> -在编写系统映像上的政策时必须对供应商独有的自定义不知情。因此,系统会通过 system/sepolicy/public 中的属性公开 AOSP 中涉及特定接口的政策,以便供应商政策可以选择启用将来使用这些属性的系统政策。不过,<strong><code>system/sepolicy/public</code> 中的属性扩展不受支持</strong>,因此指明系统组件与新供应商组件如何交互的所有政策(这些政策不通过 AOSP <code>system/sepolicy/public</code> 中已存在的属性进行处理)都必须位于 <code>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 中。这意味着系统类型无法在仅针对框架的 OTA 中更改已为供应商类型授予的访问权限。</p> +在编写系统映像上的政策时必须对供应商独有的自定义不知情。因此,系统会通过 system/sepolicy/public 中的属性公开 AOSP 中涉及特定接口的政策,以便供应商政策可以选择启用将来使用这些属性的系统政策。不过,<strong><code>system/sepolicy/public</code> 中的属性扩展不受支持</strong>,因此用于指明系统组件与新供应商组件之间交互方式的所有政策(这些政策不通过 AOSP <code>system/sepolicy/public</code> 中已存在的属性进行处理)都必须位于 <code>device/<var>manufacturer</var>/<var>device-name</var>/sepolicy</code> 中。这意味着系统类型无法在仅针对框架的 OTA 中更改已为供应商类型授予的访问权限。</p> </body></html>
\ No newline at end of file diff --git a/zh-cn/security/selinux/validate.html b/zh-cn/security/selinux/validate.html index eaf1f492..f154945b 100644 --- a/zh-cn/security/selinux/validate.html +++ b/zh-cn/security/selinux/validate.html @@ -24,7 +24,7 @@ <p>实施新政策后,您可以通过执行 <code>getenforce</code> 命令来确认 SELinux 在设备上的运行模式是否正确。</p> -<p>该命令会显示全局 SELinux 模式:强制或宽容。要确定每个域的 SELinux 模式,您必须查看相应的文件,或运行带有适当 (<code>-p</code>) 标记的最新版 <code>sepolicy-analyze</code>(位于 <a href="https://android.googlesource.com/platform/system/sepolicy/+/master/tools/" class="external"><code>/platform/system/sepolicy/tools/</code></a> 中)。</p> +<p>该命令会显示全局 SELinux 模式:强制或宽容。要确定每个域的 SELinux 模式,您必须查看相应的文件,或运行带有适当 (<code>-p</code>) 标记的最新版 <code>sepolicy-analyze</code> (位于 <a href="https://android.googlesource.com/platform/system/sepolicy/+/master/tools/" class="external"><code>/platform/system/sepolicy/tools/</code></a> 中)。</p> <h2 id="reading_denials">读取拒绝事件</h2> @@ -60,8 +60,8 @@ tcontext=u:object_r:kmem_device:s0 tclass=chr_file <p>以下是此拒绝事件的关键元素:</p> <ul> - <li>操作 - 试图进行的操作会使用括号突出显示:<code>read write</code> 或 <code>setenforce</code>。<em></em> - </li><li>操作方 - <code>scontext</code>(来源环境)条目表示操作方;在此例中为<code> rmt_storage</code> 守护进程。<em></em> + <li><em></em>操作 - 试图进行的操作会使用括号突出显示:<code>read write</code> 或 <code>setenforce</code>。 + </li><li><em></em>操作方 - <code>scontext</code>(来源环境)条目表示操作方;在此例中为<code> rmt_storage</code> 守护进程。 </li><li>对象 - <code>tcontext</code>(目标环境)条目表示是对哪个对象执行操作;在此例中为 kmem。<em></em> </li><li>结果 - <code>tclass</code>(目标类别)条目表示操作对象的类型;在此例中为 <code>chr_file</code>(字符设备)。<em></em> </li></ul> |