เผยแพร่เมื่อวันที่ 1 สิงหาคม 2016 | อัปเดตเมื่อวันที่ 21 ตุลาคม 2016
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวสารแล้ว เรายังได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตผ่านอากาศ (OTA) ด้วย เราได้เผยแพร่เฟิร์มแวร์ของ Nexus ในรูปแบบรูปภาพไปยังเว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google ด้วย ระดับแพตช์ความปลอดภัยของวันที่ 5 สิงหาคม 2016 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ โปรดดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยในเอกสารประกอบ
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารเมื่อวันที่ 6 กรกฎาคม 2016 หรือก่อนหน้านั้น เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ในที่เก็บโครงการโอเพนซอร์ส Android (AOSP) แล้ว (หากมี) กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลในอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ที่ส่วนการลดความเสี่ยงของบริการ Android และ Google ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
ประกาศ
- ปรับปรุงกระดานข่าวสารเพื่อแก้ไข CVE-2016-3856 เป็น CVE-2016-2060
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการดำเนินการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดูข้อมูลเพิ่มเติมได้ในคำถามที่พบบ่อยและคำตอบ ดังนี้
- 2016-08-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ด้านความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-08-01 (และสตริงระดับแพตช์ด้านความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2016-08-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ด้านความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-08-01 และ 2016-08-05 (และสตริงระดับแพตช์ด้านความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 5 สิงหาคม 2016
การลดผลกระทบต่อบริการของ Android และ Google
ข้อมูลต่อไปนี้เป็นสรุปของการลดความเสี่ยงที่ได้จากแพลตฟอร์มการรักษาความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วยการยืนยันแอปและ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย ยืนยันแอปจะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์ไม่ได้รับอนุญาตใน Google Play แต่แอปตรวจสอบจะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าแอปพลิเคชันนั้นจะมาจากที่ใดก็ตาม นอกจากนี้ ฟีเจอร์ตรวจสอบแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว ฟีเจอร์ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันที่ตรวจพบออก
- แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติตามความเหมาะสม
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
- Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome ทีม: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld และคณะจาก Check Point Software Technologies Ltd. CVE-2016-2504
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3844
- Chiachih Wu (@chiachih_wu), Yuan-Tsung Lo (computernik@gmail.com) และ Xuxian Jiang จากทีม C0RE: CVE-2016-3857
- David Benjamin และ Kenny Root จาก Google: CVE-2016-3840
- Dawei Peng (Vinc3nt4H) จากทีมรักษาความปลอดภัยของอุปกรณ์เคลื่อนที่ Alibaba: CVE-2016-3822
- Di Shen (@returnsme) จาก KeenLab (@keen_lab), Tencent: CVE-2016-3842
- Dianne Hackborn จาก Google: CVE-2016-2497
- Dmitry Vyukov จากทีมเครื่องมือแบบไดนามิกของ Google: CVE-2016-3841
- Gengjia Chen (@chengjia4574) pjf (weibo.com/jfpan) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. CVE-2016-3852
- Guang Gong (龚广) (@oldfresher)จากทีม Alpha ของ Qihoo 360 Technology Co. Ltd CVE-2016-3834
- Kai Lu (@K3vinLuSec) จากทีม FortiGuard Labs ของ Fortinet: CVE-2016-3820
- Kandala Shivaram reddy, DS และ Uppi: CVE-2016-3826
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Nathan Crandall (@natecray) จากทีมรักษาความปลอดภัยของผลิตภัณฑ์ Tesla Motors: CVE-2016-3847, CVE-2016-3848
- Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang Song จาก Alibaba Mobile Security Group: CVE-2016-3845
- Peter Pi (@heisecode) จาก Trend Micro: CVE-2016-3849
- Qianwei Hu (rayxcp@gmail.com) จาก WooYun TangLab: CVE-2016-3846
- Qidan He (@flanker_hqd) จาก KeenLab (@keen_lab), Tencent: CVE-2016-3832
- Sharvil Nanavati จาก Google: CVE-2016-3839
- Shinjo Park (@ad_ili_rai) และ Altaf Shaik จากSecurity in Telecommunications: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasily Vasiliev: CVE-2016-3819
- Weichao Sun (@sunblate) จาก Alibaba Inc. CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Wish Wu (吴潍浠) (@wish_wu) จาก Trend Micro Inc CVE-2016-3843
- Yongke Wang (@Rudykewang) จาก Xuanwu LAB ของ Tencent: CVE-2016-3836
ขอขอบคุณ Daniel Micay จาก Copperhead Security, Jeff Vander Stoep และ Yabin Cui จาก Google ที่ได้มีส่วนร่วมในการอัปเดตระดับแพลตฟอร์มเพื่อบรรเทาช่องโหว่ระดับคลาส เช่น CVE-2016-3843 การลดความเสี่ยงนี้อิงตามผลงานของ Brad Spengler จาก Grsecurity
ระดับแพตช์ความปลอดภัยของวันที่ 01-08-2016 - รายละเอียดช่องโหว่ด้านความปลอดภัย
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-08-2016 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP (หากมี) เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver กระบวนการ Mediaserver มีสิทธิ์เข้าถึงสตรีมเสียงและวิดีโอ รวมถึงเข้าถึงสิทธิ์ที่แอปของบุคคลที่สามเข้าถึงไม่ได้ตามปกติ
ฟังก์ชันการทำงานที่ได้รับผลกระทบเป็นส่วนสำคัญของระบบปฏิบัติการ และมีแอปพลิเคชันหลายรายการที่เข้าถึงเนื้อหาจากระยะไกลได้ โดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อในเบราว์เซอร์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | วิกฤต | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 พฤษภาคม 2016 |
| CVE-2016-3820 | A-28673410 | วิกฤต | Nexus ทั้งหมด | 6.0, 6.0.1 | 6 พฤษภาคม 2016 |
| CVE-2016-3821 | A-28166152 | วิกฤต | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libjhead
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน libjhead อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 พฤษภาคม 2016 |
| CVE-2016-3824 | A-28816827 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 พฤษภาคม 2016 |
| CVE-2016-3825 | A-28816964 | สูง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 พฤษภาคม 2016 |
| CVE-2016-3826 | A-29251553 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 มิ.ย. 2016 |
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกลชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | สูง | Nexus ทั้งหมด | 6.0.1 | 16 พฤษภาคม 2016 |
| CVE-2016-3828 | A-28835995 | สูง | Nexus ทั้งหมด | 6.0, 6.0.1 | 17 พฤษภาคม 2016 |
| CVE-2016-3829 | A-29023649 | สูง | Nexus ทั้งหมด | 6.0, 6.0.1 | 27 พฤษภาคม 2016 |
| CVE-2016-3830 | A-29153599 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การปฏิเสธการให้บริการในนาฬิการะบบ
ช่องโหว่การปฏิเสธบริการในนาฬิการะบบอาจทำให้ผู้โจมตีระยะไกลทำให้อุปกรณ์ขัดข้องได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกลชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 พฤษภาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน API ของเฟรมเวิร์ก
ช่องโหว่ด้านการเพิ่มสิทธิ์ใน API ของเฟรมเวิร์กอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันของระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ของแอปพลิเคชันได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 พฤษภาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Shell
การเพิ่มสิทธิ์ในเชลล์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อจำกัดของอุปกรณ์ เช่น ข้อจำกัดของผู้ใช้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากเป็นการลบล้างสิทธิ์ของผู้ใช้ในระดับเครื่อง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [2] | ปานกลาง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การเปิดเผยข้อมูลใน OpenSSL
ช่องโหว่การเปิดเผยข้อมูลใน OpenSSL อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | ไม่มี* | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1 | 29 มี.ค. 2016 |
* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลใน API ของกล้อง
ช่องโหว่ในการเปิดเผยข้อมูลใน API ของกล้องอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงโครงสร้างข้อมูลที่อยู่นอกระดับสิทธิ์ของแอปพลิเคชันนั้นได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 เม.ย. 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 พฤษภาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน SurfaceFlinger
ช่องโหว่ในการเปิดเผยข้อมูลในบริการ SurfaceFlinger อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | ปานกลาง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 พฤษภาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน Wi-Fi
ช่องโหว่ในการเปิดเผยข้อมูลใน Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | ปานกลาง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การปฏิเสธการให้บริการใน UI ของระบบ
ช่องโหว่การปฏิเสธบริการใน UI ของระบบอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องป้องกันไม่ให้โทรหา 911 จากหน้าจอที่ล็อกอยู่ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจมีการปฏิเสธการให้บริการในฟังก์ชันที่สำคัญ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | ปานกลาง | Nexus ทั้งหมด | 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การปฏิเสธการให้บริการในบลูทูธ
ช่องโหว่การปฏิเสธบริการในบลูทูธอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องป้องกันไม่ให้โทรหา 911 จากอุปกรณ์บลูทูธได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากมีโอกาสที่จะมีการปฏิเสธการให้บริการในฟังก์ชันสําคัญ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ระดับแพตช์ความปลอดภัยของวันที่ 05-08-2016 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 2016-08-05 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในไดรเวอร์ Wi-Fi ของ Qualcomm
ช่องโหว่การดำเนินการกับโค้ดจากระยะไกลในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะถูกบุกรุกอย่างถาวร
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | วิกฤต | Nexus 7 (2013) | 31 มี.ค. 2014 |
การดำเนินการกับโค้ดจากระยะไกล ช่องโหว่ใน Conscrypt
ช่องโหว่การดำเนินการกับโค้ดจากระยะไกลใน Conscrypt อาจทำให้ผู้โจมตีจากระยะไกลเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเสี่ยงที่จะมีการดำเนินการกับโค้ดจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | วิกฤต | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ Qualcomm
ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm ซึ่งอาจรวมถึงบูตโหลดเดอร์ ไดรเวอร์กล้อง ไดรฟ์อักขระ เครือข่าย ไดรเวอร์เสียง และไดรเวอร์วิดีโอ
ปัญหาที่ร้ายแรงที่สุดเหล่านี้จะได้รับการจัดประเภทเป็น "ร้ายแรง" เนื่องจากแอปพลิเคชันที่เป็นอันตรายในเครื่องอาจเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนล ซึ่งนำไปสู่การบุกรุกอุปกรณ์ในเครื่องอย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | วิกฤต | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9864 | A-28747998 | สูง | Nexus 5, Nexus 7 (2013) | 27 มี.ค. 2014 |
| CVE-2014-9865 | A-28748271 | สูง | Nexus 5, Nexus 7 (2013) | 27 มี.ค. 2014 |
| CVE-2014-9866 | A-28747684 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9867 | A-28749629 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9868 | A-28749721 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9869 | A-28749728 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9870 | A-28749743 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9871 | A-28749803 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9872 | A-28750155 | สูง | Nexus 5 | 31 มี.ค. 2014 |
| CVE-2014-9873 | A-28750726 | สูง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9874 | A-28751152 | สูง | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9875 | A-28767589 | สูง | Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9876 | A-28767796 | สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9877 | A-28768281 | สูง | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9878 | A-28769208 | สูง | Nexus 5 | 30 เมษายน 2014 |
| CVE-2014-9879 | A-28769221 | สูง | Nexus 5 | 30 เมษายน 2014 |
| CVE-2014-9880 | A-28769352 | สูง | Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9881 | A-28769368 | สูง | Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9882 | A-28769546 | สูง | Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9883 | A-28769912 | สูง | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9884 | A-28769920 | สูง | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9885 | A-28769959 | สูง | Nexus 5 | 30 เมษายน 2014 |
| CVE-2014-9886 | A-28815575 | สูง | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9887 | A-28804057 | สูง | Nexus 5, Nexus 7 (2013) | 3 กรกฎาคม 2014 |
| CVE-2014-9888 | A-28803642 | สูง | Nexus 5, Nexus 7 (2013) | 29 สิงหาคม 2014 |
| CVE-2014-9889 | A-28803645 | สูง | Nexus 5 | 31 ต.ค. 2014 |
| CVE-2015-8937 | A-28803962 | สูง | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 มี.ค. 2015 |
| CVE-2015-8938 | A-28804030 | สูง | Nexus 6 | 31 มี.ค. 2015 |
| CVE-2015-8939 | A-28398884 | สูง | Nexus 7 (2013) | 30 เมษายน 2015 |
| CVE-2015-8940 | A-28813987 | สูง | Nexus 6 | 30 เมษายน 2015 |
| CVE-2015-8941 | A-28814502 | สูง | Nexus 6, Nexus 7 (2013) | 29 พฤษภาคม 2015 |
| CVE-2015-8942 | A-28814652 | สูง | Nexus 6 | 30 มิถุนายน 2015 |
| CVE-2015-8943 | A-28815158 | สูง | Nexus 5 | 11 ก.ย. 2015 |
| CVE-2014-9891 | A-28749283 | ปานกลาง | Nexus 5 | 13 มีนาคม 2014 |
| CVE-2014-9890 | A-28770207 | ปานกลาง | Nexus 5, Nexus 7 (2013) | 2 มิ.ย. 2014 |
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์เครือข่ายเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์เครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | วิกฤต | Nexus ทั้งหมด | 23 มีนาคม 2015 |
| CVE-2016-3841 | A-28746669 | วิกฤต | Nexus ทั้งหมด | 3 ธ.ค. 2015 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365
QC-CR#1002974 |
วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 เม.ย. 2016 |
| CVE-2016-3842 | A-28377352
QC-CR#1002974 |
วิกฤต | Nexus 5X, Nexus 6, Nexus 6P | 25 เมษายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ประสิทธิภาพของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ประสิทธิภาพของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
หมายเหตุ: ยังมีการอัปเดตระดับแพลตฟอร์มในกระดานข่าวสารนี้ด้วยภายใต้ A-29119870 ซึ่งออกแบบมาเพื่อลดช่องโหว่ระดับนี้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229*
QC-CR#1011071 |
วิกฤต | Nexus 5X, Nexus 6P | 7 เมษายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | วิกฤต | Nexus 7 (2013) | 2 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในระบบหน่วยความจำเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | สูง | Nexus Player | 13 ก.พ. 2015 |
| CVE-2016-3672 | A-28763575 | สูง | Nexus Player | 25 มี.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์เสียงเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์เสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | สูง | Nexus ทั้งหมด | 19 ม.ค. 2016 |
| CVE-2016-2546 | A-28694392 | สูง | Pixel C | 19 ม.ค. 2016 |
| CVE-2014-9904 | A-28592007 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 พฤษภาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | สูง | Nexus 5, Nexus 7 (2013) | 2 มี.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งแอปพลิเคชันของบุคคลที่สามเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517*
N-CVE-2016-3844 |
สูง | Nexus 9, Pixel C | 19 เม.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นัล ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | สูง | Nexus 5 | 20 เมษายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์อินเทอร์เฟซต่อพ่วงแบบอนุกรม
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Serial Peripheral Interface อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของเคิร์กเนล ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | สูง | Nexus 5X, Nexus 6P | 17 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์สื่อของ NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์สื่อของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433*
N-CVE-2016-3847 |
สูง | Nexus 9 | 19 พฤษภาคม 2016 |
| CVE-2016-3848 | A-28919417*
N-CVE-2016-3848 |
สูง | Nexus 9 | 19 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ ION
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ ION อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | สูง | Pixel C | 24 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมบูตของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ใน Bootloader ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | สูง | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 มี.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยด้านประสิทธิภาพของเคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยด้านประสิทธิภาพของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีช่องโหว่การโจมตีเคอร์เนลที่ผู้โจมตีสามารถใช้ประโยชน์ได้
หมายเหตุ: การอัปเดตนี้เป็นอัปเดตระดับแพลตฟอร์มที่ออกแบบมาเพื่อลดช่องโหว่ระดับคลาส เช่น CVE-2016-3843 (A-28086229)
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | สูง | Nexus ทั้งหมด | 6.0, 6.1 | ภายในของ Google |
* ยังไม่มีการเผยแพร่แพตช์สำหรับปัญหานี้ต่อสาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในบูตโหลดเดอร์ของ LG Electronics
ช่องโหว่การยกระดับสิทธิ์ในบูตโหลดเดอร์ของ LG Electronics อาจทำให้ผู้โจมตีเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | สูง | Nexus 5X | ภายในของ Google |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในคอมโพเนนต์ Qualcomm
ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm ซึ่งอาจรวมถึงบูตโหลดเดอร์ ไดรเวอร์กล้อง ไดรเวอร์อักขระ เครือข่าย ไดรเวอร์เสียง และไดรเวอร์วิดีโอ
ปัญหาที่ร้ายแรงที่สุดเหล่านี้จะได้รับการจัดประเภทเป็น "สูง" เนื่องจากมีความเป็นไปได้ที่แอปพลิเคชันที่เป็นอันตรายในเครื่องจะเข้าถึงข้อมูลนอกระดับสิทธิ์ เช่น ข้อมูลที่ละเอียดอ่อน โดยไม่ได้รับความยินยอมจากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | สูง | Nexus 5, Nexus 7 (2013) | 2 มิ.ย. 2014 |
| CVE-2015-8944 | A-28814213 | สูง | Nexus 6, Nexus 7 (2013) | 30 เมษายน 2015 |
| CVE-2014-9893 | A-28747914 | ปานกลาง | Nexus 5 | 27 มี.ค. 2014 |
| CVE-2014-9894 | A-28749708 | ปานกลาง | Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9895 | A-28750150 | ปานกลาง | Nexus 5, Nexus 7 (2013) | 31 มี.ค. 2014 |
| CVE-2014-9896 | A-28767593 | ปานกลาง | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9897 | A-28769856 | ปานกลาง | Nexus 5 | 30 เมษายน 2014 |
| CVE-2014-9898 | A-28814690 | ปานกลาง | Nexus 5, Nexus 7 (2013) | 30 เมษายน 2014 |
| CVE-2014-9899 | A-28803909 | ปานกลาง | Nexus 5 | 3 กรกฎาคม 2014 |
| CVE-2014-9900 | A-28803952 | ปานกลาง | Nexus 5, Nexus 7 (2013) | 8 ส.ค. 2014 |
ช่องโหว่การเปิดเผยข้อมูลในเครื่องมือจัดตารางเวลาเคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในตัวจัดตารางเวลาเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | สูง | Nexus 5X, Nexus 6P | 21 ก.พ. 2014 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ MediaTek (เฉพาะอุปกรณ์)
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147*
M-ALPS02751738 |
สูง | Android One | 12 เมษายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ USB
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ USB อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับสิทธิ์จากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | สูง | Nexus ทั้งหมด | 3 พฤษภาคม 2016 |
ช่องโหว่การปฏิเสธการให้บริการในคอมโพเนนต์ Qualcomm
ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อคอมโพเนนต์ Qualcomm ซึ่งอาจรวมถึงไดรเวอร์ Wi-Fi
ปัญหาที่ร้ายแรงที่สุดเหล่านี้จะได้รับการจัดประเภทเป็น "สูง" เนื่องจากมีความเป็นไปได้ว่าผู้โจมตีอาจทำให้เกิดการปฏิเสธการให้บริการจากระยะไกลชั่วคราว ซึ่งส่งผลให้อุปกรณ์ค้างหรือรีบูต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | สูง | Nexus 7 (2013) | 31 มี.ค. 2014 |
ช่องโหว่การยกระดับสิทธิ์ในบริการ Google Play
ช่องโหว่การยกระดับสิทธิ์ในบริการ Google Play อาจทำให้ผู้โจมตีในเครื่องสามารถเลี่ยงการปกป้องการรีเซ็ตเป็นค่าเริ่มต้นและเข้าถึงอุปกรณ์ได้ ระดับปานกลางเนื่องจากมีความเสี่ยงที่จะข้ามการปกป้องการรีเซ็ตเป็นค่าเริ่มต้น ซึ่งอาจนำไปสู่การรีเซ็ตอุปกรณ์และลบข้อมูลทั้งหมดออกได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | ปานกลาง | Nexus ทั้งหมด | ไม่มี | 4 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ใน Framework API
ช่องโหว่การยกระดับสิทธิ์ใน API ของเฟรมเวิร์กอาจทำให้แอปพลิเคชันที่ติดตั้งไว้ล่วงหน้าเพิ่มลําดับความสําคัญของตัวกรอง Intent เมื่อมีการอัปเดตแอปพลิเคชันโดยที่ผู้ใช้ไม่ได้รับการแจ้งเตือน ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเพิ่มความสามารถโดยไม่ได้ขอสิทธิ์จากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
ช่องโหว่การเปิดเผยข้อมูลในคอมโพเนนต์เครือข่ายเคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์เครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | ปานกลาง | Nexus ทั้งหมด | 3 พฤษภาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลในคอมโพเนนต์เสียงเคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์เสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | ปานกลาง | Nexus ทั้งหมด | 9 พฤษภาคม 2016 |
| CVE-2016-4578 | A-28980217 | ปานกลาง | Nexus ทั้งหมด | 11 พฤษภาคม 2016 |
ช่องโหว่ในคอมโพเนนต์ Qualcomm
ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm ซึ่งอาจรวมถึงบูตโหลดเดอร์ ไดรเวอร์กล้อง ไดรเวอร์อักขระ เครือข่าย ไดรเวอร์เสียง และไดรเวอร์วิดีโอ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | สูง | ไม่มี | ก.พ. 2016 |
| CVE-2016-3855 | QC-CR#990824 | สูง | ไม่มี | พฤษภาคม 2016 |
| CVE-2016-2060 | QC-CR#959631 | ปานกลาง | ไม่มี | เม.ย. 2016 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ระดับแพตช์ความปลอดภัยของวันที่ 01-08-2016 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 01-08-2016 ระดับแพตช์ความปลอดภัยของวันที่ 05-08-2016 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 05-08-2016 ดูวิธีการตรวจสอบระดับแพตช์ความปลอดภัยได้ที่ศูนย์ช่วยเหลือ ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น [ro.build.version.security_patch]:[2016-08-01] หรือ [ro.build.version.security_patch]:[2016-08-05]
2. เหตุใดกระดานข่าวสารนี้จึงมีสตริงระดับแพตช์ความปลอดภัย 2 รายการ
กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการดำเนินการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้สตริงระดับแพตช์ความปลอดภัยล่าสุด
อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 สิงหาคม 2016 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 สิงหาคม 2016 จะต้องแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 สิงหาคม 2016 อาจมีการแก้ไขชุดย่อยที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 5 สิงหาคม 2016 ด้วย
3 ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Nexus เครื่องใดได้รับผลกระทบจากปัญหาแต่ละข้อ
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยของวันที่ 01-08-2016 และ 05-08-2016 แต่ละตารางจะมีคอลัมน์อุปกรณ์ Nexus ที่อัปเดต ซึ่งครอบคลุมช่วงของอุปกรณ์ Nexus ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับปัญหาแต่ละรายการ คอลัมน์นี้มีตัวเลือก 2-3 รายการดังนี้
- อุปกรณ์ Nexus ทั้งหมด: หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมด ตารางจะมี "Nexus ทั้งหมด" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว "Nexus ทั้งหมด" หมายถึงอุปกรณ์ที่รองรับต่อไปนี้ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player และ Pixel C
- อุปกรณ์ Nexus บางรุ่น: หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Nexus บางรุ่น อุปกรณ์ Nexus ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
- ไม่มีอุปกรณ์ Nexus: หากไม่มีอุปกรณ์ Nexus ได้รับผลกระทบจากปัญหา ตารางจะมี "ไม่มี" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
4. รายการในคอลัมน์ข้อมูลอ้างอิงแมปกับอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าเหล่านี้จะแมปดังนี้
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
การแก้ไข
- 1 สิงหาคม 2016: เผยแพร่กระดานข่าวสาร
- 2 สิงหาคม 2016: แก้ไขกระดานข่าวสารเพื่อใส่ลิงก์ AOSP
- 16 สิงหาคม 2016: แก้ไข CVE-2016-3856 เป็น CVE-2016-2060 และอัปเดต URL อ้างอิง
- 21 ตุลาคม 2016: แก้ไขคำที่พิมพ์ผิดใน CVE-2016-4486