เผยแพร่เมื่อ 04 เมษายน 2016 | อัปเดตเมื่อวันที่ 19 ธันวาคม 2559
เราได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่กระดานข่าวความปลอดภัยของ Android ประจำเดือน อิมเมจเฟิร์มแวร์ของ Nexus ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์รักษาความปลอดภัยของวันที่ 2 เมษายน 2016 หรือใหม่กว่าแก้ไขปัญหาเหล่านี้ (โปรดดูคำแนะนำในการตรวจสอบระดับแพตช์ความปลอดภัย ในเอกสารประกอบของ Nexus )
พันธมิตรได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 16 มีนาคม 2016 หรือก่อนหน้านั้น หากมีการเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP)
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
คำแนะนำด้านความปลอดภัยของ Android 18-03-2559 กล่าวถึงการใช้ CVE-2015-1805 โดยการรูทแอปพลิเคชันก่อนหน้านี้ CVE-2015-1805 ได้รับการแก้ไขแล้วในการอัปเดตนี้ ยังไม่มีรายงานการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาอื่น ๆ ที่เพิ่งรายงานใหม่ โปรดดูส่วน การบรรเทาผลกระทบ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
การบรรเทาผลกระทบ
นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android กำลังตรวจสอบการละเมิดอย่างแข็งขันด้วย Verify Apps และ SafetyNet ซึ่งจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายที่ตรวจพบว่ากำลังจะถูกติดตั้ง ห้ามใช้เครื่องมือรูทอุปกรณ์ภายใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ยืนยันแอปจะเปิดใช้งานตามค่าเริ่มต้น และจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันรูทที่รู้จัก ตรวจสอบความพยายามของแอปในการระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันดังกล่าว
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น เซิร์ฟเวอร์สื่อโดยอัตโนมัติ
รับทราบ
ทีมความปลอดภัยของ Android ขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
- Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) จาก CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger และ Santos Cordon จากทีม Google Telecom: CVE-2016-0847
- Dominik Schürmann จาก สถาบันระบบปฏิบัติการและเครือข่ายคอมพิวเตอร์ TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) แห่ง IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas แห่ง École polytechnique fédérale de Lausanne : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) ของ Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw จาก Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao( @jianqiangzhao ), pjf และ Gengjia Chen ( @chengjia4574 ) จาก IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang จาก Vertu Corporation LTD: CVE-2016-0837
- นาซิม ซามีร์ : CVE-2016-2409
- Nico Golde ( @iamnion ) จาก Qualcomm Product Security Initiative: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- ริชาร์ด ชูภัค: CVE-2016-2415
- Romain Trouvé จาก MWR Labs : CVE-2016-0850
- สจ๊วต เฮนเดอร์สัน: CVE-2016-2422
- Vishwath Mohan จากความปลอดภัยของ Android: CVE-2016-2424
- Weichao Sun ( @sunblate ) จาก Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) จาก Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee และ Xiaofeng Wang จาก Indiana University Bloomington, Tongxin Li และ Xinhui Han จากมหาวิทยาลัยปักกิ่ง: CVE-2016-0848
ทีมความปลอดภัยของ Android ยังขอขอบคุณ Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE และ Zimperium ที่ให้การสนับสนุน CVE-2015-1805
รายละเอียดช่องโหว่ด้านความปลอดภัย
ส่วนด้านล่างนี้ประกอบด้วยรายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2016-04-02 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE, จุดบกพร่องที่เกี่ยวข้อง, ความรุนแรง, เวอร์ชันที่ได้รับผลกระทบ และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยง AOSP Commit ที่แก้ไขปัญหากับรหัสจุดบกพร่อง เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลัง ID จุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดระยะไกลใน DHCPCD
ช่องโหว่ในบริการ Dynamic Host Configuration Protocol อาจทำให้ผู้โจมตีทำให้เกิดความเสียหายของหน่วยความจำ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของไคลเอ็นต์ DHCP บริการ DHCP มีสิทธิ์เข้าถึงที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ
| ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-6060 | หุ่นยนต์-15268738 | วิกฤต | 4.4.4 | 30 กรกฎาคม 2014 |
| CVE-2014-6060 | หุ่นยนต์-16677003 | วิกฤต | 4.4.4 | 30 กรกฎาคม 2014 |
| CVE-2016-1503 | หุ่นยนต์-26461634 | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 มกราคม 2559 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Media Codec
ในระหว่างการประมวลผลไฟล์สื่อและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ในตัวแปลงสัญญาณสื่อที่ใช้โดยเซิร์ฟเวอร์สื่ออาจทำให้ผู้โจมตีสร้างความเสียหายให้กับหน่วยความจำและการเรียกใช้โค้ดจากระยะไกลในฐานะกระบวนการของเซิร์ฟเวอร์สื่อ
ฟังก์ชันการทำงานที่ได้รับผลกระทบถือเป็นส่วนหลักของระบบปฏิบัติการ และมีแอปพลิเคชันหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์
ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อเซิร์ฟเวอร์ บริการมีเดียเซิร์ฟเวอร์สามารถเข้าถึงสตรีมเสียงและวิดีโอ รวมถึงสิทธิ์การเข้าถึงที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0834 | แอนดรอยด์-26220548* | วิกฤต | 6.0, 6.0.1 | 16 ธันวาคม 2558 |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเรียกใช้โค้ดระยะไกลใน Mediaserver
ในระหว่างการประมวลผลไฟล์มีเดียและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ในมีเดียเซิร์ฟเวอร์อาจทำให้ผู้โจมตีทำให้หน่วยความจำเสียหายและการเรียกใช้โค้ดจากระยะไกลเป็นกระบวนการของมีเดียเซิร์ฟเวอร์
ฟังก์ชันการทำงานที่ได้รับผลกระทบถือเป็นส่วนหลักของระบบปฏิบัติการ และมีแอปพลิเคชันหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์
ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อเซิร์ฟเวอร์ บริการมีเดียเซิร์ฟเวอร์สามารถเข้าถึงสตรีมเสียงและวิดีโอ รวมถึงสิทธิ์การเข้าถึงที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ
| ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0835 | หุ่นยนต์-26070014 [ 2 ] | วิกฤต | 6.0, 6.0.1 | 6 ธันวาคม 2558 |
| CVE-2016-0836 | หุ่นยนต์-25812590 | วิกฤต | 6.0, 6.0.1 | 19 พ.ย. 2558 |
| CVE-2016-0837 | หุ่นยนต์-27208621 | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 กุมภาพันธ์ 2559 |
| CVE-2016-0838 | หุ่นยนต์-26366256 [ 2 ] | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
| CVE-2016-0839 | หุ่นยนต์-25753245 | วิกฤต | 6.0, 6.0.1 | ภายในของ Google |
| CVE-2016-0840 | หุ่นยนต์-26399350 | วิกฤต | 6.0, 6.0.1 | ภายในของ Google |
| CVE-2016-0841 | หุ่นยนต์-26040840 | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libstagefright
ในระหว่างการประมวลผลไฟล์สื่อและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ใน libstagefright อาจทำให้ผู้โจมตีสร้างความเสียหายให้กับหน่วยความจำและการเรียกใช้โค้ดจากระยะไกลเป็นกระบวนการของเซิร์ฟเวอร์สื่อ
ฟังก์ชันการทำงานที่ได้รับผลกระทบถือเป็นส่วนหลักของระบบปฏิบัติการ และมีแอปพลิเคชันหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลได้ โดยเฉพาะ MMS และการเล่นสื่อผ่านเบราว์เซอร์
ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของบริการสื่อเซิร์ฟเวอร์ บริการมีเดียเซิร์ฟเวอร์สามารถเข้าถึงสตรีมเสียงและวิดีโอ รวมถึงสิทธิ์การเข้าถึงที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0842 | หุ่นยนต์-25818142 | วิกฤต | 6.0, 6.0.1 | 23 พฤศจิกายน 2558 |
การยกระดับช่องโหว่ของสิทธิพิเศษในเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงระดับวิกฤตเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวรในเครื่อง และอุปกรณ์อาจจำเป็นต้องได้รับการซ่อมแซมโดยการแฟลชระบบปฏิบัติการอีกครั้ง ปัญหานี้อธิบายไว้ใน คำแนะนำด้านความปลอดภัยของ Android 2016-03-18
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-1805 | หุ่นยนต์-27275324* | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 กุมภาพันธ์ 2559 |
* แพตช์ใน AOSP พร้อมใช้งานสำหรับเคอร์เนลเวอร์ชันเฉพาะ: 3.14 , 3.10 และ 3.4
การยกระดับช่องโหว่ของสิทธิพิเศษในโมดูลประสิทธิภาพของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในองค์ประกอบตัวจัดการเหตุการณ์ประสิทธิภาพสำหรับโปรเซสเซอร์ ARM จาก Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงระดับวิกฤตเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวรในเครื่อง และอุปกรณ์อาจจำเป็นต้องได้รับการซ่อมแซมโดยการแฟลชระบบปฏิบัติการอีกครั้ง
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0843 | แอนดรอยด์-25801197* | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 พ.ย. 2558 |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ Qualcomm RF
มีช่องโหว่ในไดรเวอร์ Qualcomm RF ที่อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงระดับวิกฤตเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวรในเครื่อง และอุปกรณ์อาจจำเป็นต้องได้รับการซ่อมแซมโดยการแฟลชระบบปฏิบัติการอีกครั้ง
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0844 | หุ่นยนต์-26324307 * | วิกฤต | 6.0, 6.0.1 | 25 ธันวาคม 2558 |
* แพตช์เพิ่มเติมสำหรับปัญหานี้อยู่ใน Linux upstream
การยกระดับช่องโหว่ของสิทธิพิเศษในเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนลทั่วไปอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองในเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นระดับความรุนแรงขั้นวิกฤตเนื่องจากความเป็นไปได้ที่อุปกรณ์ถาวรจะเสียหาย และอุปกรณ์อาจจำเป็นต้องได้รับการซ่อมแซมโดยการแฟลชระบบปฏิบัติการอีกครั้ง
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9322 | หุ่นยนต์-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | วิกฤต | 6.0, 6.0.1 | 25 ธันวาคม 2558 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน IMemory Native Interface
การยกระดับช่องโหว่ของสิทธิพิเศษใน IMemory Native Interface อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองได้ภายในบริบทของแอปพลิเคชันระบบที่มีการยกระดับ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันบุคคลที่สามไม่สามารถเข้าถึงได้
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0846 | หุ่นยนต์-26877992 | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 มกราคม 2559 |
การยกระดับสิทธิพิเศษในส่วนประกอบโทรคมนาคม
การยกระดับช่องโหว่ของสิทธิ์ในส่วนประกอบโทรคมนาคมอาจทำให้ผู้โจมตีสามารถโทรออกดูเหมือนว่ามาจากหมายเลขใดก็ได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่องได้ เช่น สิทธิ์การอนุญาต Signature หรือ SignatureOrSystem ซึ่งไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0847 | หุ่นยนต์-26864502 [ 2 ] | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิ์ใน Download Manager
การยกระดับช่องโหว่ของสิทธิ์ใน Download Manager อาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ที่ไม่ได้รับอนุญาตในพื้นที่จัดเก็บข้อมูลส่วนตัวได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่องได้ เช่น สิทธิ์การอนุญาต Signature หรือ SignatureOrSystem ซึ่งไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0848 | หุ่นยนต์-26211054 | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 ธันวาคม 2558 |
การยกระดับช่องโหว่ของสิทธิ์ในขั้นตอนการกู้คืน
การยกระดับช่องโหว่ของสิทธิพิเศษในขั้นตอนการกู้คืนอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันระบบที่มีการยกระดับได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันบุคคลที่สามไม่สามารถเข้าถึงได้
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0849 | หุ่นยนต์-26960931 | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 กุมภาพันธ์ 2559 |
การยกระดับช่องโหว่สิทธิพิเศษใน Bluetooth
การยกระดับช่องโหว่ของสิทธิพิเศษใน Bluetooth อาจทำให้อุปกรณ์ที่ไม่น่าเชื่อถือสามารถจับคู่กับโทรศัพท์ได้ในระหว่างกระบวนการจับคู่ครั้งแรก ซึ่งอาจนำไปสู่การเข้าถึงทรัพยากรของอุปกรณ์โดยไม่ได้รับอนุญาต เช่น การเชื่อมต่ออินเทอร์เน็ต ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูงที่ไม่สามารถเข้าถึงได้โดยอุปกรณ์ที่ไม่น่าเชื่อถือ
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0850 | หุ่นยนต์-26551752 | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 มกราคม 2559 |
การยกระดับช่องโหว่สิทธิพิเศษในไดรเวอร์ Haptic ของ Texas Instruments
มีการยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เคอร์เนลแฮปติกของ Texas Instruments ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนล โดยปกติจุดบกพร่องในการเรียกใช้โค้ดเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็นระดับวิกฤต แต่เนื่องจากในขั้นแรกจะต้องมีการประนีประนอมบริการที่สามารถเรียกใช้ไดรเวอร์ได้ จึงได้รับการจัดอันดับเป็นความรุนแรงสูงแทน
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2409 | หุ่นยนต์-25981545* | สูง | 6.0, 6.0.1 | 25 ธันวาคม 2558 |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับสิทธิ์ช่องโหว่ในไดรเวอร์เคอร์เนลวิดีโอ Qualcomm
มีการยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เคอร์เนลวิดีโอ Qualcomm ที่อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนล โดยปกติแล้ว ช่องโหว่ในการเรียกใช้โค้ดเคอร์เนลจะได้รับการจัดอันดับเป็นระดับวิกฤต แต่เนื่องจากจำเป็นต้องประนีประนอมบริการที่สามารถเรียกใช้ไดรเวอร์ได้ จึงได้รับการจัดอันดับให้เป็นระดับความรุนแรงสูงแทน
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2410 | หุ่นยนต์-26291677* | สูง | 6.0, 6.0.1 | 21 ธันวาคม 2558 |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในองค์ประกอบการจัดการพลังงานของ Qualcomm
มีการยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เคอร์เนล Qualcomm Power Management ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนล โดยปกติจุดบกพร่องในการเรียกใช้โค้ดเคอร์เนลเช่นนี้จะได้รับการจัดอันดับเป็นระดับวิกฤต แต่เนื่องจากจะต้องประนีประนอมอุปกรณ์ก่อนและยกระดับไปที่รูท จึงได้รับการจัดอันดับเป็นความรุนแรงสูงแทน
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2411 | หุ่นยนต์-26866053* | สูง | 6.0, 6.0.1 | 28 มกราคม 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับสิทธิ์ช่องโหว่ใน System_server
การยกระดับช่องโหว่ของสิทธิ์การใช้งานใน System_server อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของแอปพลิเคชันระบบที่มีการยกระดับ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันบุคคลที่สามไม่สามารถเข้าถึงได้
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2412 | หุ่นยนต์-26593930 | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 มกราคม 2559 |
การยกระดับช่องโหว่สิทธิพิเศษใน Mediaserver
การยกระดับช่องโหว่ของสิทธิพิเศษใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองได้ภายในบริบทของแอปพลิเคชันระบบที่มีการยกระดับ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันบุคคลที่สามไม่สามารถเข้าถึงได้
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2413 | หุ่นยนต์-26403627 | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 มกราคม 2559 |
การปฏิเสธช่องโหว่การบริการใน Minikin
การปฏิเสธช่องโหว่การบริการในไลบรารี Minikin อาจทำให้ผู้โจมตีในพื้นที่สามารถบล็อกการเข้าถึงอุปกรณ์ที่ได้รับผลกระทบชั่วคราวได้ ผู้โจมตีอาจทำให้มีการโหลดแบบอักษรที่ไม่น่าเชื่อถือ และทำให้เกิดการโอเวอร์โฟลว์ในส่วนประกอบ Minikin ซึ่งนำไปสู่การหยุดทำงาน สิ่งนี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากการปฏิเสธการบริการจะนำไปสู่การรีบูตอย่างต่อเนื่อง
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2414 | หุ่นยนต์-26413177 [ 2 ] | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 พฤศจิกายน 2558 |
ช่องโหว่การเปิดเผยข้อมูลใน Exchange ActiveSync
ช่องโหว่การเปิดเผยข้อมูลใน Exchange ActiveSync อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากช่วยให้สามารถเข้าถึงข้อมูลที่ได้รับการป้องกันจากระยะไกลได้
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2415 | หุ่นยนต์-26488455 | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 มกราคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้มีการหลีกเลี่ยงมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากของผู้โจมตีในการใช้ประโยชน์จากแพลตฟอร์ม ปัญหาเหล่านี้ได้รับการจัดอันดับว่ามีความรุนแรงสูง เนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูงได้ เช่น สิทธิ์การอนุญาต Signature หรือ SignatureOrSystem ซึ่งแอปพลิเคชันของบริษัทอื่นไม่สามารถเข้าถึงได้
| ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2416 | หุ่นยนต์-27046057 [ 2 ] | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 กุมภาพันธ์ 2559 |
| CVE-2016-2417 | หุ่นยนต์-26914474 | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 กุมภาพันธ์ 2559 |
| CVE-2016-2418 | หุ่นยนต์-26324358 | สูง | 6.0, 6.0.1 | 24 ธันวาคม 2558 |
| CVE-2016-2419 | หุ่นยนต์-26323455 | สูง | 6.0, 6.0.1 | 24 ธันวาคม 2558 |
การยกระดับสิทธิ์ช่องโหว่ในคอมโพเนนต์ Debuggerd
การยกระดับช่องโหว่ของสิทธิ์ในองค์ประกอบ Debuggerd อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองได้ ซึ่งอาจนำไปสู่การบุกรุกอุปกรณ์อย่างถาวร ด้วยเหตุนี้ อุปกรณ์จึงอาจจำเป็นต้องได้รับการซ่อมแซมโดยการแฟลชระบบปฏิบัติการอีกครั้ง โดยปกติข้อผิดพลาดในการเรียกใช้โค้ดเช่นนี้จะได้รับการจัดอันดับเป็นวิกฤต แต่เนื่องจากข้อผิดพลาดดังกล่าวทำให้สามารถยกระดับสิทธิ์จากระบบไปยังรูทเฉพาะใน Android เวอร์ชัน 4.4.4 เท่านั้น จึงได้รับการจัดอันดับเป็นปานกลางแทน ใน Android เวอร์ชัน 5.0 ขึ้นไป กฎ SELinux จะป้องกันไม่ให้แอปพลิเคชันบุคคลที่สามเข้าถึงโค้ดที่ได้รับผลกระทบ
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2420 | หุ่นยนต์-26403620 [ 2 ] | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 มกราคม 2559 |
การยกระดับสิทธิ์ของช่องโหว่ในตัวช่วยสร้างการตั้งค่า
ช่องโหว่ในตัวช่วยสร้างการตั้งค่าอาจทำให้ผู้โจมตีสามารถเลี่ยงผ่านการป้องกันการรีเซ็ตเป็นค่าจากโรงงานและเข้าถึงอุปกรณ์ได้ สิ่งนี้ได้รับการจัดอันดับว่ามีความรุนแรงปานกลาง เนื่องจากอาจทำให้ผู้ที่สามารถเข้าถึงอุปกรณ์สามารถเลี่ยงการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน ซึ่งจะทำให้ผู้โจมตีสามารถรีเซ็ตอุปกรณ์ได้สำเร็จ โดยจะลบข้อมูลทั้งหมด
| ซีวีอี | แมลง | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2421 | แอนดรอยด์-26154410* | ปานกลาง | 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไบนารีรุ่นล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่สิทธิพิเศษใน Wi-Fi
การยกระดับช่องโหว่ของสิทธิพิเศษใน Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองได้ภายในบริบทของแอปพลิเคชันระบบที่มีการยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงระดับปานกลาง เนื่องจากสามารถใช้เพื่อรับความสามารถระดับสูง เช่น สิทธิ์ ลายเซ็น หรือ SignatureOrSystem ซึ่งแอปพลิเคชันของบริษัทอื่นไม่สามารถเข้าถึงได้
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2422 | หุ่นยนต์-26324357 | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 ธันวาคม 2558 |
การยกระดับช่องโหว่สิทธิพิเศษในระบบโทรศัพท์
ช่องโหว่ใน Telephony อาจทำให้ผู้โจมตีสามารถเลี่ยงผ่านการป้องกันการรีเซ็ตเป็นค่าจากโรงงานและเข้าถึงอุปกรณ์ได้ สิ่งนี้ได้รับการจัดอันดับว่ามีความรุนแรงปานกลางเนื่องจากอาจทำให้ผู้ที่สามารถเข้าถึงอุปกรณ์สามารถเลี่ยงการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน ซึ่งจะทำให้ผู้โจมตีสามารถรีเซ็ตอุปกรณ์ได้สำเร็จ โดยจะลบข้อมูลทั้งหมด
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2423 | หุ่นยนต์-26303187 | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
การปฏิเสธช่องโหว่การบริการใน SyncStorageEngine
การปฏิเสธช่องโหว่การบริการใน SyncStorageEngine อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทำให้เกิดการวนซ้ำการรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงปานกลาง เนื่องจากสามารถใช้เพื่อทำให้เกิดการปฏิเสธบริการชั่วคราวในท้องถิ่นซึ่งอาจจำเป็นต้องได้รับการแก้ไขแม้ว่าจะรีเซ็ตเป็นค่าจากโรงงาน
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2424 | หุ่นยนต์-26513719 | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงปานกลาง เนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์ "อันตราย" อย่างไม่เหมาะสม
| ซีวีอี | ข้อบกพร่องที่มีลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2425 | หุ่นยนต์-26989185 | ปานกลาง | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 มกราคม 2559 |
| CVE-2016-2425 | แอนดรอยด์-7154234* | ปานกลาง | 5.0.2 | 29 มกราคม 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไบนารีรุ่นล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในกรอบงาน
ช่องโหว่การเปิดเผยข้อมูลในองค์ประกอบของ Framework อาจทำให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้ได้รับการจัดอันดับความรุนแรงปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลอย่างไม่เหมาะสมโดยไม่ได้รับอนุญาต
| ซีวีอี | ข้อผิดพลาดกับลิงก์ AOSP | ความรุนแรง | เวอร์ชันที่อัปเดต | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2426 | หุ่นยนต์-26094635 | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 ธันวาคม 2558 |
คำถามและคำตอบทั่วไป
ส่วนนี้จะทบทวนคำตอบของคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
ระดับแพตช์รักษาความปลอดภัยของวันที่ 2 เมษายน 2016 หรือใหม่กว่าแก้ไขปัญหาเหล่านี้ (โปรดดูคำแนะนำในการตรวจสอบระดับแพตช์ความปลอดภัย ในเอกสารประกอบของ Nexus ) ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น: [ro.build.version.security_patch]:[2016-04-02]
2. เหตุใดระดับแพตช์ความปลอดภัยนี้จึงเป็นระดับวันที่ 2 เมษายน 2016
ระดับแพตช์ความปลอดภัยสำหรับการอัปเดตความปลอดภัยรายเดือนปกติจะตั้งค่าเป็นวันแรกของเดือน สำหรับเดือนเมษายน ระดับแพตช์ความปลอดภัยในวันที่ 1 เมษายน 2016 ระบุว่าปัญหาทั้งหมดที่อธิบายไว้ในกระดานข่าวนี้ ยกเว้น CVE-2015-1805 ตามที่อธิบายไว้ใน คำแนะนำด้านความปลอดภัยของ Android 2016-03-18 ได้รับการแก้ไขแล้ว ระดับแพตช์รักษาความปลอดภัยของวันที่ 2 เมษายน 2016 ระบุว่าปัญหาทั้งหมดที่อธิบายไว้ในกระดานข่าวนี้ รวมถึง CVE-2015-1805 ตามที่อธิบายไว้ใน คำแนะนำด้านความปลอดภัยของ Android 2016-03-18 ได้รับการแก้ไขแล้ว
การแก้ไข
- 04 เมษายน 2559: เผยแพร่กระดานข่าว
- 6 เมษายน 2559: กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP
- 7 เมษายน 2559: กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP เพิ่มเติม
- 11 กรกฎาคม 2559: อัปเดตคำอธิบายของ CVE-2016-2427
- 1 สิงหาคม 2559: อัปเดตคำอธิบายของ CVE-2016-2427
- 19 ธันวาคม 2559: อัปเดตเพื่อลบ CVE-2016-2427 ซึ่งถูกเปลี่ยนกลับ