เผยแพร่เมื่อวันที่ 3 มกราคม 2017 | อัปเดตเมื่อวันที่ 2 กุมภาพันธ์ 2017
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวสารแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยให้กับอุปกรณ์ Google ผ่านการอัปเดตผ่านอากาศ (OTA) ด้วย เราได้เผยแพร่อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google ไปยังเว็บไซต์สำหรับนักพัฒนาซอฟต์แวร์ของ Google ด้วย ระดับแพตช์ความปลอดภัยของวันที่ 5 มกราคม 2017 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดูกำหนดการอัปเดต Pixel และ Nexus เพื่อดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารเมื่อวันที่ 5 ธันวาคม 2016 หรือก่อนหน้านั้น เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บข้อมูลโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวสารนี้แล้ว กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์นอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลในอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ที่ส่วนการบรรเทาสำหรับ Android และบริการของ Google ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
ประกาศ
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดูข้อมูลเพิ่มเติมได้ในคำถามที่พบบ่อยและคำตอบ
- 2017-01-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-01-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 และ 2017-01-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 5 มกราคม 2017
สรุปช่องโหว่ด้านความปลอดภัย
ตารางด้านล่างแสดงรายการช่องโหว่ด้านความปลอดภัย รหัส Common Vulnerabilities and Exposures (CVE) ความรุนแรงที่ประเมิน และระบุว่าอุปกรณ์ Google ได้รับผลกระทบหรือไม่ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
การบรรเทาปัญหาเกี่ยวกับบริการ Android และ Google
ข้อมูลต่อไปนี้เป็นสรุปของมาตรการบรรเทาความเสี่ยงที่ได้จากแพลตฟอร์มการรักษาความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วยการยืนยันแอปและ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย ยืนยันแอปจะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เราไม่อนุญาตให้มีเครื่องมือการรูทอุปกรณ์ใน Google Play แต่แอป "ยืนยันแอป" จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าแอปพลิเคชันนั้นจะมาจากที่ใดก็ตาม นอกจากนี้ ฟีเจอร์ตรวจสอบแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว ฟีเจอร์ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันที่ตรวจพบออก
- แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติตามความเหมาะสม
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
- Alexandru Blanda: CVE-2017-0390
- Daniel Micay จาก Copperhead Security: CVE-2017-0397
- Daxing Guo (@freener0) จาก Xuanwu Lab, Tencent: CVE-2017-0386
- derrek (@derrekr6): CVE-2017-0392
- Di Shen (@returnsme) จาก KeenLab (@keen_lab), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- donfos (Aravind Machiry) จากทีม Shellphish Grill, UC Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- En He (@heeeeen4x) จาก MS509Team: CVE-2017-0394
- Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Tech. Co. Ltd. CVE-2016-8464
- ทีม Google WebM: CVE-2017-0393
- Guang Gong (龚广) (@oldfresher) จากทีม Alpha ของ Qihoo 360 Technology Co. Ltd. CVE-2017-0387
- Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd. CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465
- Jianqiang Zhao (@jianqiangzhao) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-8475
- Jon Sawyer (@jcase) และ Sean Beaupre (@firewaterdevs): CVE-2016-8462
- Jon Sawyer (@jcase), Sean Beaupre (@firewaterdevs) และ Ben Actis (@Ben_RA): CVE-2016-8461
- Mingjian Zhou (@Mingjian_Zhou), Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2017-0383
- Monk Avel: CVE-2017-0396, CVE-2017-0399
- Peter Pi (@heisecode) จาก Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474
- Qidan He (何淇丹) (@flanker_hqd) จาก KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- Roee Hay และ Michael Goberman จาก IBM Security X-Force: CVE-2016-8467
- Seven Shen (@lingtongshen) จากทีมวิจัยภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro: CVE-2016-8466
- Stephen Morrow: CVE-2017-0389
- V.E.O (@VYSEa) จากทีมวิจัยภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro: CVE-2017-0381
- Weichao Sun (@sunblate) จาก Alibaba Inc. CVE-2017-0391
- Wenke Dou, Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2017-0402, CVE-2017-0398
- Wenke Dou, Hanxiang Wen, Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2017-0400
- Wenke Dou, Hongli Han, Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2017-0384, CVE-2017-0385
- Wenke Dou, Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2017-0401
- Yao Jun, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- Yong Wang (王勇) (@ThomasKing2014) และ Jun Cheng จาก Alibaba Inc. CVE-2017-0404
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo, Yanfeng Wang, Chiachih Wu (@chiachih_wu) และ Xuxian Jiang จากทีม C0RE: CVE-2016-8430, CVE-2016-8482
- Yuxiang Li (@Xbalien29) จากแผนกแพลตฟอร์มความปลอดภัยของ Tencent: CVE-2017-0395
- Zhanpeng Zhao (行之) (@0xr0ot) จากทีมวิจัยความปลอดภัยของ Cheetah Mobile: CVE-2016-8451
นอกจากนี้ เรายังขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วมในกระดานข่าวสารนี้
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang และ Yang Song จากกลุ่มรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ของ Alibaba
- Peter Pi (@heisecode) จาก Trend Micro
- Zubin Mithra จาก Google
ระดับแพตช์ความปลอดภัยของวันที่ 01-01-2017 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดของช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-01-2017 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Google ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน c-ares
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน c-ares อาจทำให้ผู้โจมตีใช้คำขอที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | สูง | ทั้งหมด | 7.0 | 29 กันยายน 2016 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Framesequence
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลในไลบรารี Framesequence อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองได้ในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการดำเนินการโค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารี Framesequence
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 ต.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน API ของเฟรมเวิร์ก
ช่องโหว่การยกระดับสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | สูง | ทั้งหมด | 7.0, 7.1.1 | 21 กันยายน 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 ต.ค. 2016 |
| CVE-2017-0385 | A-32585400 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 ต.ค. 2016 |
การยกระดับสิทธิ์ ช่องโหว่ใน libnl
ช่องโหว่การยกระดับสิทธิ์ในคลัง libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ต.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 พ.ย. 2016 |
ช่องโหว่ในการเปิดเผยข้อมูลในผู้ให้บริการพื้นที่เก็บข้อมูลภายนอก
ช่องโหว่การเปิดเผยข้อมูลในผู้ให้บริการพื้นที่เก็บข้อมูลภายนอกอาจทำให้ผู้ใช้รองในเครื่องอ่านข้อมูลจากการ์ด SD ของพื้นที่เก็บข้อมูลภายนอกที่ผู้ใช้หลักเสียบไว้ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
การปฏิเสธการให้บริการ ช่องโหว่ในเครือข่ายหลัก
ช่องโหว่การปฏิเสธการให้บริการในเครือข่ายหลักอาจทำให้ผู้โจมตีระยะไกลใช้แพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [2] [3] | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 20 ก.ค. 2016 |
การปฏิเสธการให้บริการ vulnerability ใน Mediaserver
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 ก.ย. 2016 |
| CVE-2017-0391 | A-32322258 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 20 ต.ค. 2016 |
| CVE-2017-0392 | A-32577290 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 ต.ค. 2016 |
| CVE-2017-0393 | A-30436808 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
การปฏิเสธการให้บริการ ช่องโหว่ในโทรศัพท์
ช่องโหว่การปฏิเสธบริการในโทรศัพท์อาจทำให้ผู้โจมตีจากระยะไกลทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเสี่ยงที่จะถูกปฏิเสธการให้บริการจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 กันยายน 2016 |
การยกระดับสิทธิ์ ช่องโหว่ใน Contacts
ช่องโหว่การยกระดับสิทธิ์ในรายชื่อติดต่ออาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสร้างข้อมูลติดต่อโดยที่คุณไม่รู้ตัว ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากเป็นการลบล้างข้อกำหนดของการโต้ตอบของผู้ใช้ (การเข้าถึงฟังก์ชันการทำงานที่ปกติแล้วจะต้องเริ่มต้นโดยผู้ใช้หรือต้องได้รับสิทธิ์จากผู้ใช้)
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 ต.ค. 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ก.ย. 2016 |
| CVE-2017-0396 | A-31781965 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 ก.ย. 2016 |
| CVE-2017-0397 | A-32377688 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 ต.ค. 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน Audioserver
ช่องโหว่การเปิดเผยข้อมูลใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
| CVE-2017-0398 | A-32635664 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
| CVE-2017-0398 | A-32624850 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
| CVE-2017-0399 | A-32247948 [2] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ต.ค. 2016 |
| CVE-2017-0400 | A-32584034 [2] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
| CVE-2017-0401 | A-32448258 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 ต.ค. 2016 |
| CVE-2017-0402 | A-32436341 [2] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
ระดับแพตช์ความปลอดภัยของวันที่ 05-01-2017 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่เกี่ยวข้องกับระดับแพตช์ 05-01-2017 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Google ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 เคอร์เนลจาก upstream |
วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel และ Pixel XL | 9 กรกฎาคม 2015 |
ช่องโหว่การยกระดับสิทธิ์ใน bootloader ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ใน Bootloader ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 |
วิกฤต | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 กรกฎาคม 2016 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 |
วิกฤต | Nexus 6P, Pixel, Pixel XL | 24 สิงหาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 เคอร์เนลจาก upstream |
วิกฤต | ไม่มี* | 1 ส.ค. 2016 |
* อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
วิกฤต | Nexus 9 | 17 ก.ย. 2016 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
วิกฤต | Nexus 9 | 28 กันยายน 2016 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
วิกฤต | Nexus 9 | 28 กันยายน 2016 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
วิกฤต | Nexus 9 | 28 กันยายน 2016 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
วิกฤต | Nexus 9 | 28 กันยายน 2016 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
วิกฤต | Nexus 9 | 6 ต.ค. 2016 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
วิกฤต | Nexus 9 | 13 ต.ค. 2016 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
วิกฤต | Nexus 9 | 17 ต.ค. 2016 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
วิกฤต | Pixel C | 25 ต.ค. 2016 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
วิกฤต | Pixel C | 26 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดร์เวอร์ MediaTek
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
วิกฤต | ไม่มี** | 24 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 |
วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 ต.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
วิกฤต | Pixel C | 7 พ.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 |
วิกฤต | ไม่มี* | 13 ต.ค. 2016 |
* อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ในคอมโพเนนต์ของ Qualcomm
ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และอธิบายไว้อย่างละเอียดในกระดานข่าวสารด้านความปลอดภัยของ Qualcomm AMSS เดือนพฤศจิกายน 2015, สิงหาคม 2016, กันยายน 2016 และตุลาคม 2016
| CVE | ข้อมูลอ้างอิง | ความรุนแรง* | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | วิกฤต | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8442 | A-31625910** | วิกฤต | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8443 | A-32576499** | วิกฤต | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8437 | A-31623057** | สูง | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8439 | A-31625204** | สูง | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8440 | A-31625306** | สูง | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8441 | A-31625904** | สูง | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-8398 | A-31548486** | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | ภายใน Qualcomm |
| CVE-2016-8459 | A-32577972** | สูง | ไม่มี*** | ภายใน Qualcomm |
| CVE-2016-5080 | A-31115235** | ปานกลาง | Nexus 5X | ภายใน Qualcomm |
* ระดับความรุนแรงของช่องโหว่เหล่านี้กำหนดโดยผู้ให้บริการ
** การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในกล้อง Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในกล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 สิงหาคม 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 |
สูง | Nexus 5X, Nexus 6, Nexus 6P | 26 สิงหาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ MediaTek
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ของ MediaTek ซึ่งรวมถึงไดรเวอร์ความร้อนและไดรเวอร์วิดีโอ อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
สูง | ไม่มี** | 25 กันยายน 2016 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
สูง | ไม่มี** | 25 กันยายน 2016 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
สูง | ไม่มี** | 25 กันยายน 2016 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
สูง | ไม่มี** | 28 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 |
สูง | Nexus 5X, Pixel, Pixel XL | 26 ก.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
สูง | Nexus 9 | 28 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมเสียง Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 ต.ค. 2016 |
การยกระดับสิทธิ์ ช่องโหว่ในไดรเวอร์หน้าจอสัมผัส Synaptics
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | สูง | ไม่มี** | 13 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยด้านความปลอดภัยของเคิร์นัล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยด้านความปลอดภัยของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัล ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 เคอร์เนล Upstream |
สูง | Pixel C | 14 ต.ค. 2016 |
การยกระดับสิทธิ์ ช่องโหว่ในระบบย่อยด้านประสิทธิภาพของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยด้านประสิทธิภาพของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยเสียงเคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | สูง | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 |
สูง | Nexus 5X, Android One, Pixel, Pixel XL | 28 ต.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์วิทยุ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์วิทยุ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 |
สูง | Android One | 3 พ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยโปรไฟล์เคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยโปรไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 เคอร์เนล Upstream |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4 พ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 |
สูง | Nexus 6 | ภายในของ Google |
| CVE-2016-8454 | A-32174590* B-RB#107142 |
สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 ต.ค. 2016 |
| CVE-2016-8455 | A-32219121* B-RB#106311 |
สูง | Nexus 6P | 15 ต.ค. 2016 |
| CVE-2016-8456 | A-32219255* B-RB#105580 |
สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 ต.ค. 2016 |
| CVE-2016-8457 | A-32219453* B-RB#106116 |
สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
การยกระดับสิทธิ์ ช่องโหว่ในไดรเวอร์หน้าจอสัมผัส Synaptics
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | สูง | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | ภายในของ Google |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA
ช่องโหว่ในการเปิดเผยข้อมูลในโปรแกรมควบคุมวิดีโอของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
สูง | Nexus 9 | 21 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมบูต
ช่องโหว่การเปิดเผยข้อมูลในบูตโหลดเดอร์อาจทำให้ผู้โจมตีในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เข้าถึงข้อมูลที่ละเอียดอ่อนได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | สูง | Nexus 9, Pixel, Pixel XL | 21 ต.ค. 2016 |
| CVE-2016-8462 | A-32510383* | สูง | Pixel, Pixel XL | 27 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การปฏิเสธการให้บริการในระบบไฟล์ FUSE ของ Qualcomm
ช่องโหว่การปฏิเสธบริการในระบบไฟล์ FUSE ของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 |
สูง | ไม่มี* | 3 ม.ค. 2014 |
* อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การปฏิเสธการให้บริการใน Bootloader
ช่องโหว่การปฏิเสธการให้บริการในบูตโหลดเดอร์อาจทำให้ผู้โจมตีทำให้เกิดการปฏิเสธการให้บริการแบบถาวรในเครื่อง ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีแนวโน้มที่จะเกิดการปฏิเสธการให้บริการถาวรในพื้นที่
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | สูง | Nexus 6, Nexus 6P | 29 มิ.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์และได้รับการบรรเทาโดยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 |
ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 พฤษภาคม 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 |
ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 กันยายน 2016 |
| CVE-2016-8465 | A-32474971* B-RB#106053 |
ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ใน Binder
ช่องโหว่การยกระดับสิทธิ์ใน Binder อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ในขั้นต้น และได้รับการบรรเทาโดยการกําหนดค่าแพลตฟอร์มปัจจุบัน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | ปานกลาง | Pixel C, Pixel, Pixel XL | ภายในของ Google |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง NVIDIA
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้องอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
ปานกลาง | Nexus 9 | 7 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
ปานกลาง | ไม่มี** | 15 กันยายน 2016 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
ปานกลาง | ไม่มี** | 15 กันยายน 2016 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
ปานกลาง | ไม่มี** | 15 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ STMicroelectronics
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ของ STMicroelectronics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | ปานกลาง | Nexus 5X, Nexus 6P | 28 กันยายน 2016 |
| CVE-2016-8474 | A-31799972* | ปานกลาง | Nexus 5X, Nexus 6P | 28 กันยายน 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
การเปิดเผยข้อมูล vulnerability ในโปรแกรมประมวลผลเสียง Qualcomm
ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมประมวลผลเสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [2] | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ต.ค. 2016 |
| CVE-2017-0400 | A-32438598 [2] | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
| CVE-2017-0401 | A-32588016 | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 ต.ค. 2016 |
| CVE-2017-0402 | A-32588352 [2] | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2016 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์อินพุต HTC
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์อินพุต HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | ปานกลาง | Pixel, Pixel XL | 30 ต.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การปฏิเสธการให้บริการในเคอร์เนล ระบบไฟล์
ช่องโหว่การปฏิเสธบริการในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทําให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากเป็นการปฏิเสธการให้บริการชั่วคราวที่ต้องรีเซ็ตเป็นค่าเริ่มต้นเพื่อแก้ไข
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Google ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 เคอร์เนลจาก upstream |
ปานกลาง | Pixel C | 25 ธ.ค. 2014 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านวิธีการในกำหนดการอัปเดตของ Pixel และ Nexus
- ระดับแพตช์ความปลอดภัยของวันที่ 01-01-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 01-01-2017
- ระดับแพตช์ความปลอดภัยของวันที่ 05-01-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-01-2017 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงการแก้ไขเป็น
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 มกราคม 2017 ต้องมีทุกปัญหาที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับทุกปัญหาที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
- อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 มกราคม 2017 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในอัปเดตเดียว
3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google เครื่องใดได้รับผลกระทบจากปัญหาแต่ละข้อ
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยของวันที่ 2017-01-01 และ 2017-01-05 แต่ละตารางจะมีคอลัมน์อุปกรณ์ Google ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับปัญหาแต่ละรายการ คอลัมน์นี้มีตัวเลือก 2-3 รายการดังนี้
- อุปกรณ์ Google ทั้งหมด: หากปัญหาส่งผลกระทบต่ออุปกรณ์ทั้งหมดและ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์อุปกรณ์ Google ที่อัปเดตแล้ว "ทั้งหมด" จะรวมอุปกรณ์ที่รองรับต่อไปนี้ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
- อุปกรณ์ Google บางรุ่น: หากปัญหาไม่ได้ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์อุปกรณ์ Google ที่อัปเดตแล้ว
- ไม่มีอุปกรณ์ Google: หากไม่มีอุปกรณ์ Google ที่ใช้ Android เวอร์ชันล่าสุดที่พร้อมใช้งานได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์อุปกรณ์ Google ที่อัปเดตแล้ว
4. รายการในคอลัมน์ข้อมูลอ้างอิงแมปกับอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าเหล่านี้จะแมปดังนี้
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
การแก้ไข
- 3 มกราคม 2017: เผยแพร่กระดานข่าวสาร
- 4 มกราคม 2017: แก้ไขกระดานข่าวสารให้รวมลิงก์ AOSP
- 5 มกราคม 2017: ชี้แจงหมายเลขเวอร์ชัน AOSP จาก 7.1 เป็น 7.1.1
- 12 มกราคม 2017: นํารายการที่ซ้ำกันของ CVE-2016-8467 ออก
- 24 มกราคม 2017: อัปเดตคำอธิบายและความรุนแรงสำหรับ CVE-2017-0381
- 2 กุมภาพันธ์ 2017: อัปเดต CVE-2017-0389 พร้อมลิงก์แพตช์เพิ่มเติม