Published มกราคม 03, 2017 | อัปเดตเมื่อ 2 กุมภาพันธ์ 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 05 มกราคม 2017 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 5 ธันวาคม 2016 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 2017-01-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-01-05 : สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 และ 2017-01-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 มกราคม 2017
สรุปช่องโหว่ด้านความปลอดภัย
ตารางด้านล่างประกอบด้วยรายการช่องโหว่ด้านความปลอดภัย Common Vulnerability and Exposures ID (CVE) ความรุนแรงที่ประเมิน และอุปกรณ์ Google จะได้รับผลกระทบหรือไม่ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
การลดบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android ตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใด นอกจากนี้ Verify Apps จะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว การตรวจสอบแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:
- อเล็กซานดรู บลันดา: CVE-2017-0390
- Daniel Micay จาก Copperhead Security: CVE-2017-0397
- Daxing Guo ( @freener0 ) จาก Xuanwu Lab, Tencent: CVE-2017-0386
- derrek ( @derrekr6 ): CVE-2017-0392
- Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- donfos (Aravind Machiry) ของทีม Shellphish Grill, UC Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- En He ( @heeeeen4x ) of MS509Team : CVE-2017-0394
- Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- ทีมงาน Google WebM: CVE-2017-0393
- Guang Gong (龚广) ( @oldfresher ) จาก Alpha Team, Qihoo 360 Technology Co. Ltd. : CVE-2017-0387
- Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016 -8465
- Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-8475
- Jon Sawyer ( @jcase ) และ Sean Beaupre ( @firewaterdevs ): CVE-2016-8462
- Jon Sawyer ( @jcase ), Sean Beaupre ( @firewaterdevs ) และ Ben Actis ( @Ben_RA ): CVE-2016-8461
- Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0383
- พระ Avel: CVE-2017-0396, CVE-2017-0399
- Peter Pi ( @heisecode ) ของ Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016- 8474
- Qidan He (何淇丹) ( @flanker_hqd ) จาก KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- Roee Hay และ Michael Goberman จาก IBM Security X-Force: CVE-2016-8467
- Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามมือถือของ Trend Micro: CVE-2016-8466
- Stephen Morrow: CVE-2017-0389
- VEO ( @VYSEa ) จาก Mobile Threat Research Team, Trend Micro : CVE-2017-0381
- Weichao Sun ( @sunblate ) แห่ง Alibaba Inc.: CVE-2017-0391
- Wenke Dou , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0402, CVE-2017-0398
- Wenke Dou , Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0400
- Wenke Dou , Hongli Han , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0384, CVE-2017-0385
- Wenke Dou , Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0401
- Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- Yong Wang (王勇) ( @ThomasKing2014 ) และ Jun Cheng จาก Alibaba Inc.: CVE-2017-0404
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo , Yanfeng Wang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-8430, CVE-2016-8482
- Yuxiang Li ( @Xbalien29 ) จาก Tencent Security Platform Department: CVE-2017-0395
- Zhanpeng Zhao (行之) ( @0xr0ot ) จาก Security Research Lab, Cheetah Mobile : CVE-2016-8451
เราขอขอบคุณนักวิจัยต่อไปนี้สำหรับการมีส่วนร่วมในกระดานข่าวนี้:
- Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang และ Yang Song แห่ง Alibaba Mobile Security Group
- Peter Pi ( @heisecode ) แห่ง Trend Micro
- Zubin Mithra จาก Google
ระดับแพตช์ความปลอดภัย 2017-01-01—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-01-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน c-ares
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน c-ares อาจทำให้ผู้โจมตีใช้คำขอที่สร้างขึ้นมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | สูง | ทั้งหมด | 7.0 | 29 ก.ย. 2559 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Framesequence
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารี Framesequence
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Framework APIs
ช่องโหว่การยกระดับสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-3677614 | สูง | ทั้งหมด | 7.0, 7.1.1 | 21 ก.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-3095626 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 ต.ค. 2559 |
| CVE-2017-0385 | A-32585400 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในlibnl
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไลบรารี libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในผู้ให้บริการจัดเก็บข้อมูลภายนอก
ช่องโหว่ในการเปิดเผยข้อมูลในผู้ให้บริการจัดเก็บข้อมูลภายนอกอาจทำให้ผู้ใช้รองในเครื่องสามารถอ่านข้อมูลจากการ์ด SD ที่จัดเก็บข้อมูลภายนอกที่ผู้ใช้หลักเสียบเข้าไปได้ ปัญหานี้จัดอยู่ในประเภทสูงเพราะสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
การปฏิเสธช่องโหว่ของบริการในเครือข่ายหลัก
การปฏิเสธช่องโหว่ของบริการในเครือข่ายหลักอาจทำให้ผู้โจมตีจากระยะไกลใช้แพ็กเก็ตเครือข่ายที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [ 2 ] [ 3 ] | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 20 ก.ค. 2559 |
การปฏิเสธช่องโหว่ของบริการใน Mediaserver
ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 ก.ย. 2559 |
| CVE-2017-0391 | A-32322258 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 20 ต.ค. 2559 |
| CVE-2017-0392 | A-32577290 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 ต.ค. 2559 |
| CVE-2017-0393 | A-30436808 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
ช่องโหว่การปฏิเสธบริการในระบบโทรศัพท์
ช่องโหว่ของการปฏิเสธบริการใน Telephony อาจทำให้ผู้โจมตีจากระยะไกลทำให้อุปกรณ์แฮงค์หรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 ก.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Contacts
การยกระดับช่องโหว่ของสิทธิ์ใน Contacts อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สร้างข้อมูลติดต่อแบบเงียบๆ ได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ก.ย. 2559 |
| CVE-2017-0396 | A-31781965 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 ก.ย. 2559 |
| CVE-2017-0397 | A-32377688 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Audioserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
| CVE-2017-0398 | A-32635664 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
| CVE-2017-0398 | A-32624850 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
| CVE-2017-0399 | A-32247948 [ 2 ] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ต.ค. 2559 |
| CVE-2017-0400 | A-32584034 [ 2 ] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
| CVE-2017-0401 | A-32448258 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 ต.ค. 2559 |
| CVE-2017-0402 | A-32436341 [ 2 ] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
2017-01-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่เกี่ยวข้องกับระดับแพตช์ 2017-01-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
การเพิ่มช่องโหว่ของระบบย่อยหน่วยความจำเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 ต้นน้ำเคอร์เนล | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 ก.ค. 2558 |
การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader
การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 | วิกฤต | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 ก.ค. 2559 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 | วิกฤต | Nexus 6P, Pixel, Pixel XL | 24 ส.ค. 2559 |
การยกระดับช่องโหว่ของระบบไฟล์เคอร์เนล
ช่องโหว่ในการยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 ต้นน้ำเคอร์เนล | วิกฤต | ไม่มี* | 1 ส.ค. 2559 |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 | วิกฤต | Nexus 9 | 17 ก.ย. 2559 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 | วิกฤต | Nexus 9 | 28 ก.ย. 2559 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 | วิกฤต | Nexus 9 | 28 ก.ย. 2559 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 | วิกฤต | Nexus 9 | 28 ก.ย. 2559 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 | วิกฤต | Nexus 9 | 28 ก.ย. 2559 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 | วิกฤต | Nexus 9 | 6 ต.ค. 2559 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 | วิกฤต | Nexus 9 | 13 ต.ค. 2559 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 | วิกฤต | Nexus 9 | 17 ต.ค. 2559 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 | วิกฤต | Pixel C | 25 ต.ค. 2559 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 | วิกฤต | Pixel C | 26 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ MediaTek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 | วิกฤต | ไม่มี** | 24 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 ต.ค. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 | วิกฤต | Pixel C | 7 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 | วิกฤต | ไม่มี* | 13 ต.ค. 2559 |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ในส่วนประกอบ Qualcomm
ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมใน Qualcomm AMSS พฤศจิกายน 2015 สิงหาคม 2016 กันยายน 2016 และตุลาคม 2016 กระดานข่าวความปลอดภัย
| CVE | อ้างอิง | ความรุนแรง* | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8442 | A-3625910** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8443 | A-32576499** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8437 | A-31623057** | สูง | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8439 | A-31625204** | สูง | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8440 | A-31625306** | สูง | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8441 | A-3625904** | สูง | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8398 | A-31548486** | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | Qualcomm ภายใน |
| CVE-2016-8459 | A-32577972** | สูง | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-5080 | A-31115235** | ปานกลาง | Nexus 5X | Qualcomm ภายใน |
* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้
** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในกล้อง Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในกล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 ส.ค. 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 | สูง | Nexus 5X, Nexus 6, Nexus 6P | 26 ส.ค. 2016 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในส่วนประกอบ MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในส่วนประกอบ MediaTek รวมถึงไดรเวอร์ความร้อนและไดรเวอร์วิดีโอ อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 | สูง | ไม่มี** | 25 ก.ย. 2559 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 | สูง | ไม่มี** | 25 ก.ย. 2559 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 | สูง | ไม่มี** | 25 ก.ย. 2559 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 | สูง | ไม่มี** | 28 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 | สูง | Nexus 5X, Pixel, Pixel XL | 26 ก.ย. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 | สูง | Nexus 9 | 28 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 ต.ค. 2559 |
การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | สูง | ไม่มี** | 13 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของระบบย่อยการรักษาความปลอดภัยของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยความปลอดภัยของเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 ต้นน้ำเคอร์เนล | สูง | Pixel C | 14 ต.ค. 2559 |
การเพิ่มช่องโหว่ของระบบย่อยประสิทธิภาพของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยประสิทธิภาพของเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของระบบย่อยเสียงเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | สูง | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 | สูง | Nexus 5X, Android One, Pixel, Pixel XL | 28 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมวิทยุ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิทยุของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 | สูง | Android One | 3 พ.ย. 2559 |
การยกระดับช่องโหว่ของระบบย่อยการทำโปรไฟล์เคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการทำโปรไฟล์เคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 ต้นน้ำเคอร์เนล | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 | สูง | Nexus 6 | Google ภายใน |
| CVE-2016-8454 | A-32174590* B-RB#107142 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 ต.ค. 2559 |
| CVE-2016-8455 | A-32219121* B-RB#106311 | สูง | Nexus 6P | 15 ต.ค. 2559 |
| CVE-2016-8456 | A-32219255* B-RB#105580 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 ต.ค. 2559 |
| CVE-2016-8457 | A-32219453* B-RB#106116 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | สูง | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 | สูง | Nexus 9 | 21 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลใน bootloader
ช่องโหว่ในการเปิดเผยข้อมูลในโปรแกรมโหลดบูตอาจทำให้ผู้โจมตีในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูงเพราะสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | สูง | Nexus 9, Pixel, Pixel XL | 21 ต.ค. 2559 |
| CVE-2016-8462 | A-32510383* | สูง | Pixel, Pixel XL | 27 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การปฏิเสธช่องโหว่ของบริการในระบบไฟล์ Qualcomm FUSE
ช่องโหว่การปฏิเสธบริการในระบบไฟล์ Qualcomm FUSE อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 | สูง | ไม่มี* | 03 ม.ค. 2557 |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การปฏิเสธช่องโหว่ของบริการใน bootloader
ช่องโหว่การปฏิเสธบริการในโปรแกรมโหลดบูตอาจทำให้ผู้โจมตีสามารถทำให้เกิดการปฏิเสธบริการถาวรในเครื่อง ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการอย่างถาวรในท้องที่
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | สูง | Nexus 6, Nexus 6P | 29 มิ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ และบรรเทาได้ด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8464 | A-2900183* B-RB#106314 | ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 พฤษภาคม 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 | ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 ก.ย. 2559 |
| CVE-2016-8465 | A-32474971* B-RB#106053 | ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษใน Binder
การยกระดับช่องโหว่ของสิทธิ์ใน Binder อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ และบรรเทาได้ด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | ปานกลาง | Pixel C, Pixel, Pixel XL | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง NVIDIA
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้องอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 | ปานกลาง | Nexus 9 | 7 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 | ปานกลาง | ไม่มี** | 15 ก.ย. 2559 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 | ปานกลาง | ไม่มี** | 15 ก.ย. 2559 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 | ปานกลาง | ไม่มี** | 15 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ STMicroelectronics
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ STMicroelectronics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | ปานกลาง | Nexus 5X, Nexus 6P | 28 ก.ย. 2559 |
| CVE-2016-8474 | A-31799972* | ปานกลาง | Nexus 5X, Nexus 6P | 28 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่ในการเปิดเผยข้อมูลในตัวประมวลผลเสียงของ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในตัวประมวลผลโพสต์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [ 2 ] | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 ต.ค. 2559 |
| CVE-2017-0400 | A-32438598 [ 2 ] | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
| CVE-2017-0401 | A-32588016 | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 ต.ค. 2559 |
| CVE-2017-0402 | A-32588352 [ 2 ] | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ต.ค. 2559 |
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์อินพุตของ HTC
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์อินพุตของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | ปานกลาง | Pixel, Pixel XL | 30 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การปฏิเสธช่องโหว่ของระบบไฟล์เคอร์เนล
การปฏิเสธช่องโหว่ของบริการในระบบไฟล์เคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องทำให้อุปกรณ์แฮงค์หรือรีบูต ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากเป็นการปฏิเสธบริการชั่วคราวที่ต้องรีเซ็ตเป็นค่าจากโรงงานเพื่อแก้ไข
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 ต้นน้ำเคอร์เนล | ปานกลาง | Pixel C | 25 ธ.ค. 2557 |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
- ระดับแพตช์ความปลอดภัย 2017-01-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-01-01
- ระดับแพตช์ความปลอดภัย 2017-01-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-01-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 1 มกราคม 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 5 มกราคม 2017 หรือใหม่กว่านั้นจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว
3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละปัญหา
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัย 2017-01-01 และ 2017-01-05 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกสองสามอย่าง:
- อุปกรณ์ Google ทั้งหมด : หากปัญหาส่งผลกระทบต่ออุปกรณ์ทั้งหมดและอุปกรณ์ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ย่อมาจาก อุปกรณ์ที่รองรับ ดังต่อไปนี้ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
- อุปกรณ์ Google บางส่วน : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
- ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android เวอร์ชันล่าสุดที่พร้อมใช้งานซึ่งได้รับผลกระทบจากปัญหาดังกล่าว ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่ คำนำหน้าเหล่านี้แมปดังนี้:
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
การแก้ไข
- 03 มกราคม 2017: เผยแพร่กระดานข่าวสาร
- 04 มกราคม 2017: กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP
- 05 มกราคม 2017: ชี้แจงหมายเลขเวอร์ชัน AOSP จาก 7.1 เป็น 7.1.1
- 12 มกราคม 2017: ลบรายการที่ซ้ำกันสำหรับ CVE-2016-8467
- 24 มกราคม 2017: อัปเดตคำอธิบายและความรุนแรงสำหรับ CVE-2017-0381
- 2 กุมภาพันธ์ 2017: อัปเดต CVE-2017-0389 พร้อมลิงก์แก้ไขเพิ่มเติม