กระดานข่าวความปลอดภัยของ Android—พฤศจิกายน 2016

จัดทุกอย่างให้เป็นระเบียบอยู่เสมอด้วยคอลเล็กชัน บันทึกและจัดหมวดหมู่เนื้อหาตามค่ากำหนดของคุณ

Published พฤศจิกายน 07, 2016 | อัพเดทเมื่อ 21 ธันวาคม 2559

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 6 พฤศจิกายน 2016 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 20 ตุลาคม 2016 หรือก่อนหน้านั้น หากมี ซอร์สโค้ดแพตช์สำหรับปัญหาเหล่านี้ได้เผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) แล้ว กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ประกาศ

  • ด้วยการเปิดตัวอุปกรณ์ Pixel และ Pixel XL คำศัพท์สำหรับ อุปกรณ์ทั้งหมดที่ Google รองรับ คือ "อุปกรณ์ Google" แทนที่จะเป็น "อุปกรณ์ Nexus"
  • กระดานข่าวนี้มีโปรแกรมแก้ไขความปลอดภัยสามระดับเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2016-11-01 : ระดับแพตช์ความปลอดภัยบางส่วน ระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-01 (และระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2016-11-05 : จบระดับแพตช์ความปลอดภัย ระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-01 และ 2016-11-05 (และระดับโปรแกรมแก้ไขความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • ระดับแพตช์ความปลอดภัยเพิ่มเติม

      ระดับแพตช์ความปลอดภัยเพิ่มเติมมีไว้เพื่อระบุอุปกรณ์ที่มีการแก้ไขสำหรับปัญหาที่เปิดเผยต่อสาธารณะหลังจากกำหนดระดับแพตช์แล้ว การจัดการกับช่องโหว่ที่เปิดเผยล่าสุดเหล่านี้ไม่จำเป็นจนกว่าจะถึงระดับแพตช์ความปลอดภัย 2016-12-01

      • 2016-11-06 : ระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าอุปกรณ์ได้แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-05 และ CVE-2016-5195 ซึ่งเปิดเผยต่อสาธารณะเมื่อวันที่ 19 ตุลาคม 2559
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 พฤศจิกายน 2016

การลดบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมความปลอดภัยของ Android ตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใด นอกจากนี้ Verify Apps จะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว การตรวจสอบแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัย Google Chrome: CVE-2016-6722
  • Andrei Kapishnikov และ Miriam Gershenson จาก Google: CVE-2016-6703
  • Ao Wang ( @ArayzSegment ) และ Zinuo Han จาก PKAV , Silence Information Technology: CVE-2016-6700, CVE-2016-6702
  • Askyshang จากแผนก Security Platform, Tencent: CVE-2016-6713
  • Billy Lau จาก Android Security: CVE-2016-6737
  • Constantinos Patsakis และ Efthimios Alepis จากมหาวิทยาลัย Piraeus: CVE-2016-6715
  • dragonltx ของทีมรักษาความปลอดภัยมือถืออาลีบาบา: CVE-2016-6714
  • Gal Beniamini จาก Project Zero: CVE-2016-6707, CVE-2016-6717
  • Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
  • Guang Gong (龚广) ( @oldfresher ) จาก Alpha Team, Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf แห่ง IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698
  • Marco Grassi ( @marcograss ) จาก Keen Lab แห่ง Tencent ( @keen_lab ): CVE-2016-6828
  • ตราสินค้าของ Project Zero: CVE-2016-6706
  • Mark Renouf จาก Google: CVE-2016-6724
  • มิชาล เบดนาร์สกี้ ( github.com/michalbednarski ): CVE-2016-6710
  • Min Chong จาก Android Security: CVE-2016-6743
  • Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-6721
  • Qidan He (何淇丹) ( @flanker_hqd ) และ Gengming Liu (刘耕铭) ( @dmxcsnsbh ) จาก KeenLab, Tencent: CVE-2016-6705
  • โรบิน ลีแห่ง Google: CVE-2016-6708
  • สก็อตต์ บาวเออ ร์ ( @ScottyBauer1 ): CVE-2016-6751
  • Sergey Bobrov ( @Black2Fan ) จาก Kaspersky Lab: CVE-2016-6716
  • Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามมือถือของ Trend Micro: CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
  • Victor van der Veen, Herbert Bos, Kaveh Razavi และ Cristiano Giuffrida จาก Vrije Universiteit Amsterdam และ Yanick Fratantonio, Martina Lindorfer และ Giovanni Vigna จากมหาวิทยาลัยแคลิฟอร์เนีย ซานตาบาร์บารา: CVE-2016-6728
  • Weichao Sun ( @sunblate ) แห่ง Alibaba Inc: CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
  • Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-6720
  • Wish Wu (吴潍浠) ( @wish_wu ) จาก Trend Micro Inc.: CVE-2016-6704
  • Yakov Shafranovich จาก Nightwatch Cybersecurity : CVE-2016-6723
  • Yuan-Tsung Lo , Yao Jun , Tong Lin , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
  • Yuan-Tsung Lo , Yao Jun , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746

ขอขอบคุณเพิ่มเติมจาก Zach Riggle จาก Android Security สำหรับการมีส่วนร่วมในประเด็นต่างๆ ในกระดานข่าวนี้

ระดับแพตช์ความปลอดภัย 2016-11-01—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2016-11-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6699 A-31373622 วิกฤต ทั้งหมด 7.0 27 ก.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน libzipfile

การยกระดับช่องโหว่ของสิทธิ์ใน libzipfile อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6700 A-30916186 วิกฤต ไม่มี* 4.4.4, 5.0.2, 5.1.1 17 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Skia

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libskia อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการแกลเลอรี

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6701 A-30190637 สูง ทั้งหมด 7.0 Google ภายใน

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libjpeg

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libjpeg อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ libjpeg

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6702 A-30259087 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1 19 ก.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในรันไทม์ของ Android

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไลบรารีรันไทม์ของ Android สามารถเปิดใช้งานผู้โจมตีโดยใช้เพย์โหลดที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้รันไทม์ของ Android

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6703 A-30765246 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google ภายใน

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6704 A-30229821 [ 2 ] [ 3 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 ก.ค. 2559
CVE-2016-6705 A-30907212 [ 2 ] สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 ส.ค. 2559
CVE-2016-6706 A-31385713 สูง ทั้งหมด 7.0 8 ก.ย. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน System Server

ช่องโหว่การยกระดับสิทธิ์ใน System Server อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6707 A-31350622 สูง ทั้งหมด 6.0, 6.0.1, 7.0 7 ก.ย. 2559

การยกระดับช่องโหว่ของสิทธิ์ในระบบ UI

การยกระดับสิทธิ์ใน UI ของระบบอาจทำให้ผู้ใช้ที่ประสงค์ร้ายในเครื่องสามารถข้ามการแจ้งความปลอดภัยของโปรไฟล์งานในโหมดหลายหน้าต่างได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากเป็นการเลี่ยงผ่านข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่องสำหรับนักพัฒนาซอฟต์แวร์หรือการแก้ไขการตั้งค่าความปลอดภัย

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6708 A-30693465 สูง ทั้งหมด 7.0 Google ภายใน

ช่องโหว่การเปิดเผยข้อมูลใน Conscrypt

ช่องโหว่ในการเปิดเผยข้อมูลใน Conscrypt อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ หากแอปพลิเคชันใช้ API การเข้ารหัสแบบเดิม ปัญหานี้จัดอยู่ในประเภทสูงเพราะสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6709 A-31081987 สูง ทั้งหมด 6.0, 6.0.1, 7.0 9 ต.ค. 2558

ช่องโหว่การเปิดเผยข้อมูลในตัวจัดการการดาวน์โหลด

ช่องโหว่ในการเปิดเผยข้อมูลในตัวจัดการการดาวน์โหลดอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถหลีกเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6710 A-30537115 [ 2 ] สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 ก.ค. 2559

การปฏิเสธช่องโหว่ของบริการใน Bluetooth

การปฏิเสธช่องโหว่ของบริการใน Bluetooth อาจทำให้ผู้โจมตีใกล้เคียงสามารถบล็อกการเข้าถึง Bluetooth ไปยังอุปกรณ์ที่ได้รับผลกระทบ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2014-9908 A-28672558 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1 5 พฤษภาคม 2014

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การปฏิเสธช่องโหว่ของบริการใน OpenJDK

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน OpenJDK อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2015-0410 A-30703445 สูง ทั้งหมด 7.0 16 ม.ค. 2015

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6711 A-30593765 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 ส.ค. 2559
CVE-2016-6712 A-30593752 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 ส.ค. 2559
CVE-2016-6713 A-30822755 สูง ทั้งหมด 6.0, 6.0.1, 7.0 11 ส.ค. 2559
CVE-2016-6714 A-31092462 สูง ทั้งหมด 6.0, 6.0.1, 7.0 22 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ใน Framework APIs

ช่องโหว่การยกระดับสิทธิ์ใน Framework APIs อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถบันทึกเสียงโดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6715 A-29833954 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 มิ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน AOSP Launcher

ช่องโหว่การยกระดับสิทธิ์ใน AOSP Launcher อาจอนุญาตให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สร้างทางลัดที่มีสิทธิ์ยกระดับโดยไม่ได้รับความยินยอมจากผู้ใช้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6716 A-30778130 ปานกลาง ทั้งหมด 7.0 5 ส.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากต้องอาศัยช่องโหว่ที่แยกจากกันก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6717 A-31350239 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 7 ก.ย. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Account Manager Service

การยกระดับช่องโหว่ของสิทธิ์ในบริการผู้จัดการบัญชีอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถดึงข้อมูลที่สำคัญได้โดยไม่ต้องโต้ตอบกับผู้ใช้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันที่ปกติจะต้องเริ่มต้นผู้ใช้หรือได้รับอนุญาตจากผู้ใช้)

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6718 A-30455516 ปานกลาง ทั้งหมด 7.0 Google ภายใน

การยกระดับช่องโหว่ของสิทธิ์ใน Bluetooth

การยกระดับช่องโหว่ของสิทธิ์ในส่วนประกอบ Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถจับคู่กับอุปกรณ์ Bluetooth ใดๆ โดยไม่ได้รับความยินยอมจากผู้ใช้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6719 A-29043989 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google ภายใน

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6720 A-29422020 [ 2 ] [ 3 ] [ 4 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 มิ.ย. 2559
CVE-2016-6721 A-30875060 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0 13 ส.ค. 2559
CVE-2016-6722 A-31091777 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 ส.ค. 2559

การปฏิเสธช่องโหว่ของบริการใน Proxy Auto Config

ช่องโหว่การปฏิเสธบริการใน Proxy Auto Config อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6723 A-30100884 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 11 ก.ค. 2559

การปฏิเสธช่องโหว่ของบริการใน Input Manager Service

ช่องโหว่ของการปฏิเสธบริการใน Input Manager Service อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่ทำให้อุปกรณ์รีบูตอย่างต่อเนื่อง ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากเป็นการปฏิเสธบริการชั่วคราวที่ต้องรีเซ็ตเป็นค่าจากโรงงานเพื่อแก้ไข

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6724 A-30568284 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google ภายใน

2016-11-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2016-11-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ crypto ของ Qualcomm

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ crypto ของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6725 A-30515053
QC-CR#1050970
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 25 ก.ค. 2559

การยกระดับช่องโหว่ของระบบไฟล์เคอร์เนล

ช่องโหว่ในการยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8961 A-30952474
ต้นน้ำเคอร์เนล
วิกฤต Pixel, Pixel XL 18 ต.ค. 2558
CVE-2016-7911 A-30946378
ต้นน้ำเคอร์เนล
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 01 ก.ค. 2559
CVE-2016-7910 A-30942273
ต้นน้ำเคอร์เนล
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 29 ก.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์เคอร์เนล SCSI

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ SCSI ของเคอร์เนลสามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8962 A-30951599
ต้นน้ำเคอร์เนล
วิกฤต Pixel, Pixel XL 30 ต.ค. 2558

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์สื่อเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์สื่อเคอร์เนลสามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7913 A-30846097
ต้นน้ำเคอร์เนล
วิกฤต Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL 28 ม.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ USB ของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ USB ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7912 A-30950866
ต้นน้ำเคอร์เนล
วิกฤต Pixel C, Pixel, Pixel XL 14 เม.ย. 2559

การยกระดับช่องโหว่ของระบบย่อยเคอร์เนล ION

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6728 A-30400942* วิกฤต Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One 25 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader

การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6729 A-30977990*
QC-CR#977684
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 25 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6730 A-30904789*
N-CVE-2016-6730
วิกฤต Pixel C 16 ส.ค. 2559
CVE-2016-6731 A-30906023*
N-CVE-2016-6731
วิกฤต Pixel C 16 ส.ค. 2559
CVE-2016-6732 A-30906599*
N-CVE-2016-6732
วิกฤต Pixel C 16 ส.ค. 2559
CVE-2016-6733 A-30906694*
N-CVE-2016-6733
วิกฤต Pixel C 16 ส.ค. 2559
CVE-2016-6734 A-30807120*
N-CVE-2016-6734
วิกฤต Pixel C 16 ส.ค. 2559
CVE-2016-6735 A-30907701*
N-CVE-2016-6735
วิกฤต Pixel C 16 ส.ค. 2559
CVE-2016-6736 A-30953284*
N-CVE-2016-6736
วิกฤต Pixel C 18 ส.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

การยกระดับช่องโหว่ของระบบย่อยเครือข่ายเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6828 A-31183296
ต้นน้ำเคอร์เนล
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 18 ส.ค. 2559

การยกระดับช่องโหว่ของระบบย่อยเสียงเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-2184 A-30952477
ต้นน้ำเคอร์เนล
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 31 มี.ค. 2559

การยกระดับช่องโหว่ของระบบย่อยเคอร์เนล ION

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6737 A-30928456* วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Google ภายใน

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

ช่องโหว่ในส่วนประกอบ Qualcomm

ตารางด้านล่างมีช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อส่วนประกอบ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัย Qualcomm AMSS มิถุนายน 2016 และ Security Alert 80-NV606-17

CVE อ้างอิง ความรุนแรง* อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6727 A-31092400** วิกฤต Android One Qualcomm ภายใน
CVE-2016-6726 A-30775830** สูง Nexus 6, Android One Qualcomm ภายใน

* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้

** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Expat

ตารางด้านล่างมีช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อไลบรารี Expat ปัญหาที่ร้ายแรงที่สุดคือการยกระดับช่องโหว่ของสิทธิ์ใน Expat XML parser ซึ่งสามารถเปิดใช้งานผู้โจมตีโดยใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ของการใช้รหัสโดยอำเภอใจในแอปพลิเคชันที่ใช้ Expat

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-0718 A-28698301 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 พฤษภาคม 2016
CVE-2012-6702 A-29149404 ปานกลาง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 06 มี.ค. 2559
CVE-2016-5300 A-29149404 ปานกลาง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 04 มิ.ย. 2559
CVE-2015-1283 A-27818751 ต่ำ ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 ก.ค. 2558

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Webview

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Webview อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจเมื่อผู้ใช้นำทางไปยังเว็บไซต์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในกระบวนการที่ไม่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6754 A-31217937 สูง ไม่มี* 5.0.2, 5.1.1, 6.0, 6.0.1 23 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Freetype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถโหลดแบบอักษรที่ออกแบบมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ Freetype

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2014-9675 A-24296662 [ 2 ] สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google ภายใน

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของระบบย่อยประสิทธิภาพของเคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยประสิทธิภาพของเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8963 A-30952077
ต้นน้ำเคอร์เนล
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 15 ธ.ค. 2558

การยกระดับช่องโหว่ของระบบย่อยการตรวจสอบการเรียกระบบเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการตรวจสอบการเรียกระบบของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถขัดขวางการตรวจสอบการเรียกระบบในเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับเคอร์เนลในเชิงลึกหรือเทคโนโลยีลดช่องโหว่

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6136 A-30956807
ต้นน้ำเคอร์เนล
สูง Android One, Pixel C, Nexus Player 1 ก.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมเครื่องมือเข้ารหัสของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์เอ็นจินการเข้ารหัสลับของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6738 A-30034511
QC-CR#1050538
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 7 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้องของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6739 A-30074605*
QC-CR#1049826
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL 11 ก.ค. 2559
CVE-2016-6740 A-30143904
QC-CR#1056307
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 12 ก.ค. 2559
CVE-2016-6741 A-30559423
QC-CR#1060554
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์บัส Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์บัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-3904 A-30311977
QC-CR#1050455
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL 22 ก.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6742 A-30799828* สูง Nexus 5X, Android One 9 ส.ค. 2559
CVE-2016-6744 A-30970485* สูง Nexus 5X 19 ส.ค. 2559
CVE-2016-6745 A-31252388* สูง Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 1 ก.ย. 2559
CVE-2016-6743 A-30937462* สูง Nexus 9, Android One Google ภายใน

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล รวมถึงไดรเวอร์อุปกรณ์อินเทอร์เฟซของมนุษย์ ระบบไฟล์ และไดรเวอร์ Teletype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8964 A-30951112
ต้นน้ำเคอร์เนล
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 27 พ.ย. 2558
CVE-2016-7915 A-30951261
ต้นน้ำเคอร์เนล
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 19 ม.ค. 2016
CVE-2016-7914 A-30513364
ต้นน้ำเคอร์เนล
สูง Pixel C, Pixel, Pixel XL 06 เม.ย. 2559
CVE-2016-7916 A-30951939
ต้นน้ำเคอร์เนล
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 05 พฤษภาคม 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ NVIDIA GPU

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ GPU ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6746 A-30855105*
N-CVE-2016-6746
สูง Pixel C 18 ส.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6747 A-31244612*
N-CVE-2016-6747
สูง Nexus 9 Google ภายใน

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล รวมถึงระบบย่อยการจัดกลุ่มกระบวนการและระบบย่อยของเครือข่าย อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7917 A-30847055
ต้นน้ำเคอร์เนล
ปานกลาง Pixel C, Pixel, Pixel XL 02 ก.พ. 2559
CVE-2016-6753 A-30149174* ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL 13 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในส่วนประกอบ Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบ Qualcomm ซึ่งรวมถึงไดรเวอร์ GPU, ไดรเวอร์พลังงาน, ไดรเวอร์ SMSM Point-to-Point และไดรเวอร์เสียง อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6748 A-30076504
QC-CR#987018
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 12 ก.ค. 2559
CVE-2016-6749 A-30228438
QC-CR#1052818
ปานกลาง Nexus 5X, Nexus 6P, Pixel, Pixel XL 12 ก.ค. 2559
CVE-2016-6750 A-30312054
QC-CR#1052825
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 21 ก.ค. 2559
CVE-2016-3906 A-30445973
QC-CR#1054344
ปานกลาง Nexus 5X, Nexus 6P 27 ก.ค. 2559
CVE-2016-3907 A-30593266
QC-CR#1054352
ปานกลาง Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 ส.ค. 2559
CVE-2016-6698 A-30741851
QC-CR#1058826
ปานกลาง Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 2 ส.ค. 2559
CVE-2016-6751 A-30902162*
QC-CR#1062271
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 15 ส.ค. 2559
CVE-2016-6752 A-31498159
QC-CR#987051
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Google ภายใน

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer

2016-11-06 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ระบุไว้ใน ระดับแพตช์ความปลอดภัย 2016-11-06—สรุปช่องโหว่ ด้านบน มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

การเพิ่มช่องโหว่ของระบบย่อยหน่วยความจำเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

หมายเหตุ: ระดับแพตช์ความปลอดภัย 2016-11-06 ระบุว่าปัญหานี้ รวมถึงปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-01 และ 2016-11-05 ได้รับการแก้ไขแล้ว

CVE อ้างอิง ความรุนแรง อัปเดตเวอร์ชันเคอร์เนล วันที่รายงาน
CVE-2016-5195 A-32141528
เคอร์เนลต้นน้ำ [ 2 ]
วิกฤต 3.10, 3.18 12 ต.ค. 2559

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus

  • ระดับแพตช์ความปลอดภัย 2016-11-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2016-11-01
  • ระดับแพตช์ความปลอดภัย 2016-11-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2016-11-05 และระดับแพตช์ก่อนหน้าทั้งหมด
  • ระดับแพตช์ความปลอดภัย 2016-11-06 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2016-11-06 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าสตริงระดับแพตช์เป็น:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06].

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสามระดับ

กระดานข่าวนี้มีโปรแกรมแก้ไขความปลอดภัยสามระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 1 พฤศจิกายน 2559 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 5 พฤศจิกายน 2016 หรือใหม่กว่านั้นจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 6 พฤศจิกายน 2016 หรือใหม่กว่านั้นจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละปัญหา

ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัย 2016-11-01 , 2016-11-05 และ 2016-11-06 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกสองสามอย่าง:

  • อุปกรณ์ Google ทั้งหมด : หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus และ Pixel ทั้งหมด ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ย่อ อุปกรณ์ที่รองรับ ดังต่อไปนี้ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
  • อุปกรณ์ Google บางส่วน : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
  • ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต

4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร

รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่ คำนำหน้าเหล่านี้แมปดังนี้:

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิง Broadcom

การแก้ไข

  • 07 พฤศจิกายน 2559: เผยแพร่กระดานข่าว
  • 08 พฤศจิกายน: กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP และคำอธิบายที่อัปเดตสำหรับ CVE-2016-6709
  • 17 พฤศจิกายน: แก้ไขกระดานข่าวสารเพื่อรวมการแสดงที่มาสำหรับ CVE-2016-6828
  • 21 ธันวาคม: อัปเดตเครดิตนักวิจัย