Published กุมภาพันธ์ 06, 2017 | อัปเดตเมื่อ 8 กุมภาพันธ์ 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 05 กุมภาพันธ์ 2017 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 3 มกราคม 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 2017-02-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-02-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-02-05 : สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-02-01 และ 2017-02-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 กุมภาพันธ์ 2017
การลดบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android ตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใด นอกจากนี้ Verify Apps จะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว การตรวจสอบแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:
- แดเนียล ดักห์โน: CVE-2017-0420
- Daniel Micay จาก Copperhead Security: CVE-2017-0410
- ดซมิตรี ลูกาเนนก้า : CVE- 2017-0414
- Frank Liberato แห่ง Chrome: CVE-2017-0409
- Gal Beniamini จาก Project Zero: CVE-2017-0411, CVE-2017-0412
- Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- Guang Gong (龚广) ( @oldfresher ) จาก Alpha Team, Qihoo 360 Technology Co.Ltd : CVE-2017-0415
- Hanxiang Wen , Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0418
- Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016 -8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
- Jeff Sharkey จาก Google: CVE-2017-0421, CVE-2017-0423
- เจฟฟ์ ทริม: CVE-2017-0422
- Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2017-0445
- ma.la และ Nikolay Elenkov จาก LINE Corporation: CVE-2016-5552
- แม็กซ์สเปคเตอร์ของ Google: CVE-2017-0416
- Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @nikos233 ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0425
- Qidan He (何淇丹) ( @flanker_hqd ) และ Di Shen (申迪) ( @returnsme ) จาก KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427
- Sagi Kedmi จาก IBM X-Force Research: CVE-2017-0433
- Scott Bauer ( @ScottyBauer1 ) และ Daniel Micay จาก Copperhead Security: CVE-2017-0405
- Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามมือถือของ Trend Micro: CVE-2017-0449, CVE-2016-8418
- Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- VEO ( @VYSEa ) จาก Mobile Threat Response Team , Trend Micro : CVE-2017-0424
- Weichao Sun ( @sunblate ) แห่ง Alibaba Inc.: CVE-2017-0407
- Wenke Dou , Hongli Han , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0450
- Wenke Dou , Yuqi Lu ( @nikos233 ), Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0417
- Wish Wu ( @wish_wu ) (吴潍浠此彼) จาก Ant-financial Light-Year Security Lab: CVE-2017-0408
- Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-8480
- Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0444
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0428
- Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0448, CVE-2017-0429
- Zhen Zhou ( @henices ) และ Zhixin Li จาก NSFocus : CVE-2017-0406
เราขอขอบคุณผู้มีส่วนได้ส่วนเสียในกระดานข่าวนี้ด้วย:
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) และ Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室)
2017-02-01 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-02-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Surfaceflinger
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Surfaceflinger อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Surfaceflinger
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0405 | A-31960359 | วิกฤต | ทั้งหมด | 7.0, 7.1.1 | 4 ต.ค. 2559 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0406 | A-32915871 [ 2 ] | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 14 พ.ย. 2559 |
CVE-2017-0407 | A-32873375 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 12 พ.ย. 2559 |
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libgdx
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libgdx อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0408 | A-32769670 | สูง | ทั้งหมด | 7.1.1 | 9 พ.ย. 2559 |
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libstagefright
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libstagefright อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0409 | A-31999646 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
การเพิ่มช่องโหว่ของสิทธิ์ใน Java.Net
การยกระดับสิทธิ์ในไลบรารี Java.Net สามารถเปิดใช้งานเนื้อหาเว็บที่เป็นอันตรายเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นโดยไม่ได้รับอนุญาตอย่างชัดเจน ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากเป็นการเลี่ยงผ่านข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกล
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2016-5552 | A-31858037 | สูง | ทั้งหมด | 7.0, 7.1.1 | 30 ก.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Framework APIs
ช่องโหว่ของการยกระดับสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0410 | A-31929765 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 ต.ค. 2559 |
CVE-2017-0411 | A-33042690 [ 2 ] | สูง | ทั้งหมด | 7.0, 7.1.1 | 21 พ.ย. 2559 |
CVE-2017-0412 | A-33039926 [ 2 ] | สูง | ทั้งหมด | 7.0, 7.1.1 | 21 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0415 | A-32706020 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 4 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0416 | A-32886609 [ 2 ] | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
CVE-2017-0417 | A-32705438 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 พ.ย. 2559 |
CVE-2017-0418 | A-32703959 [ 2 ] | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 พ.ย. 2559 |
CVE-2017-0419 | A-32220769 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail
ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Mail อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถหลีกเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0420 | A-32615212 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 12 ก.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Messaging
ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงผ่านการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0413 | A-32161610 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 13 ต.ค. 2559 |
CVE-2017-0414 | A-32807795 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 10 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Framework APIs
ช่องโหว่ในการเปิดเผยข้อมูลใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถหลีกเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0421 | A-32555637 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
การปฏิเสธช่องโหว่ของบริการใน Bionic DNS
การปฏิเสธช่องโหว่ของบริการใน Bionic DNS อาจทำให้ผู้โจมตีจากระยะไกลใช้แพ็กเก็ตเครือข่ายที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0422 | A-32322088 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Bluetooth
การยกระดับช่องโหว่ของสิทธิ์ใน Bluetooth อาจทำให้ผู้โจมตีใกล้เคียงสามารถจัดการการเข้าถึงเอกสารบนอุปกรณ์ได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากก่อนอื่นต้องมีการใช้ประโยชน์จากช่องโหว่ที่แยกจากกันในสแต็ก Bluetooth
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0423 | A-32612586 | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Messaging
ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นพิเศษเพื่อเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาต ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับผู้ใช้ในเชิงลึกหรือการใช้ประโยชน์จากเทคโนโลยีลดช่องโหว่ในกระบวนการที่มีสิทธิพิเศษ
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0424 | A-32322450 | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 20 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Audioserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0425 | A-32720785 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในระบบไฟล์
ช่องโหว่ในการเปิดเผยข้อมูลในระบบไฟล์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
---|---|---|---|---|---|
CVE-2017-0426 | A-32799236 [ 2 ] | ปานกลาง | ทั้งหมด | 7.0, 7.1.1 | Google ภายใน |
2017-02-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-02-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ crypto ของ Qualcomm
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ crypto ของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2016-8418 | A-32652894 QC-CR#1077457 | วิกฤต | ไม่มี* | 10 ต.ค. 2559 |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของระบบไฟล์เคอร์เนล
ช่องโหว่ในการยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0427 | A-31495866* | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0428 | A-32401526* N-CVE-2017-0428 | วิกฤต | Nexus 9 | 25 ต.ค. 2559 |
CVE-2017-0429 | A-32636619* N-CVE-2017-0429 | วิกฤต | Nexus 9 | 3 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของระบบย่อยเครือข่ายเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2014-9914 | A-32882659 ต้นน้ำเคอร์เนล | วิกฤต | Nexus 6, Nexus Player | 9 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0430 | A-32838767* B-RB#107459 | วิกฤต | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่ในส่วนประกอบ Qualcomm
ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัย Qualcomm AMSS กันยายน 2016
CVE | อ้างอิง | ความรุนแรง* | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0431 | A-32573899** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้
** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ MediaTek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0432 | A-28332719* M-ALPS02708925 | สูง | ไม่มี** | 21 เม.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของชิปเซ็ตหน้าจอสัมผัส ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0433 | A-31913571* | สูง | Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 ก.ย. 2559 |
CVE-2017-0434 | A-33001936* | สูง | Pixel, Pixel XL | 18 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Secure Execution Environment Communicator
การยกระดับช่องโหว่ของสิทธิ์ในไดรฟ์ Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2016-8480 | A-31804432 QC-CR#1086186 [ 2 ] | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 ก.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2016-8481 | A-31906415* QC-CR#1078000 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 ต.ค. 2559 |
CVE-2017-0435 | A-31906657* QC-CR#1078000 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 ต.ค. 2559 |
CVE-2017-0436 | A-32624661* QC-CR#1078000 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0437 | A-32402310 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | 25 ต.ค. 2559 |
CVE-2017-0438 | A-32402604 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | 25 ต.ค. 2559 |
CVE-2017-0439 | A-32450647 QC-CR#1092059 | สูง | Nexus 5X, Pixel, Pixel XL | 25 ต.ค. 2559 |
CVE-2016-8419 | A-32454494 QC-CR#1087209 | สูง | Nexus 5X, Pixel, Pixel XL | 26 ต.ค. 2559 |
CVE-2016-8420 | A-32451171 QC-CR#1087807 | สูง | Nexus 5X, Pixel, Pixel XL | 26 ต.ค. 2559 |
CVE-2016-8421 | A-32451104 QC-CR#1087797 | สูง | Nexus 5X, Pixel, Pixel XL | 26 ต.ค. 2559 |
CVE-2017-0440 | A-33252788 QC-CR#1095770 | สูง | Nexus 5X, Pixel, Pixel XL | 11 พ.ย. 2559 |
CVE-2017-0441 | A-32872662 QC-CR#1095009 | สูง | Nexus 5X, Pixel, Pixel XL | 11 พ.ย. 2559 |
CVE-2017-0442 | A-32871330 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | 13 พ.ย. 2559 |
CVE-2017-0443 | A-32877494 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | 13 พ.ย. 2559 |
CVE-2016-8476 | A-32879283 QC-CR#1091940 | สูง | Nexus 5X, Pixel, Pixel XL | 14 พ.ย. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์เสียง Realtek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์เสียง Realtek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0444 | A-32705232* | สูง | Nexus 9 | 7 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส HTC
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0445 | A-32769717* | สูง | Pixel, Pixel XL | 9 พ.ย. 2559 |
CVE-2017-0446 | A-32917445* | สูง | Pixel, Pixel XL | 15 พ.ย. 2559 |
CVE-2017-0447 | A-32919560* | สูง | Pixel, Pixel XL | 15 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0448 | A-32721029* N-CVE-2017-0448 | สูง | Nexus 9 | 7 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ และบรรเทาได้ด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0449 | A-31707909* B-RB#32094 | ปานกลาง | Nexus 6, Nexus 6P | 23 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ถูกจัดประเภทเป็นปานกลางเนื่องจากถูกบรรเทาโดยการกำหนดค่าแพลตฟอร์มปัจจุบัน
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0450 | A-32917432* | ปานกลาง | Nexus 9 | 15 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของระบบไฟล์เคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงผ่านการป้องกันที่ป้องกันการยกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับผู้ใช้ในเชิงลึกหรือเทคโนโลยีลดช่องโหว่
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2016-10044 | A-31711619* | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm Secure Execution Environment Communicator
ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2016-8414 | A-31704078 QC-CR#1076407 | ปานกลาง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 ก.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เสียงของ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
---|---|---|---|---|
CVE-2017-0451 | A-31796345 QC-CR#1073129 [ 2 ] | ปานกลาง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 27 ก.ย. 2559 |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
- ระดับแพตช์ความปลอดภัย 2017-02-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-02-01
- ระดับแพตช์ความปลอดภัย 2017-02-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-02-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:
-
[ro.build.version.security_patch]:[2017-02-01]
-
[ro.build.version.security_patch]:[2017-02-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 1 กุมภาพันธ์ 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมทั้งการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 5 กุมภาพันธ์ 2017 หรือใหม่กว่านั้นจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว
3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละปัญหา
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัย 2017-02-01 และ 2017-02-05 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกสองสามอย่าง:
- อุปกรณ์ Google ทั้งหมด : หากปัญหาส่งผลกระทบต่ออุปกรณ์ทั้งหมดและอุปกรณ์ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ย่อมาจาก อุปกรณ์ที่รองรับ ดังต่อไปนี้ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
- อุปกรณ์ Google บางส่วน : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
- ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่ คำนำหน้าเหล่านี้แมปดังนี้:
คำนำหน้า | อ้างอิง |
---|---|
เอ- | รหัสข้อบกพร่องของ Android |
QC- | หมายเลขอ้างอิง Qualcomm |
ม- | หมายเลขอ้างอิง MediaTek |
น- | หมายเลขอ้างอิง NVIDIA |
ข- | หมายเลขอ้างอิง Broadcom |
การแก้ไข
- 06 กุมภาพันธ์ 2017: เผยแพร่กระดานข่าว
- 08 กุมภาพันธ์ 2017: กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP
Published กุมภาพันธ์ 06, 2017 | อัปเดตเมื่อ 8 กุมภาพันธ์ 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 05 กุมภาพันธ์ 2017 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 3 มกราคม 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 2017-02-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-02-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-02-05 : สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-02-01 และ 2017-02-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 กุมภาพันธ์ 2017
การลดบริการ Android และ Google
This is a summary of the mitigations provided by the Android security platform and service protections, such as SafetyNet. ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- The Android Security team actively monitors for abuse with Verify Apps and SafetyNet , which are designed to warn users about Potentially Harmful Applications . Verify Apps is enabled by default on devices with Google Mobile Services and is especially important for users who install applications from outside of Google Play. Device rooting tools are prohibited within Google Play, but Verify Apps warns users when they attempt to install a detected rooting application—no matter where it comes from. Additionally, Verify Apps attempts to identify and block installation of known malicious applications that exploit a privilege escalation vulnerability. If such an application has already been installed, Verify Apps will notify the user and attempt to remove the detected application.
- As appropriate, Google Hangouts and Messenger applications do not automatically pass media to processes such as Mediaserver.
Acknowledgements
We would like to thank these researchers for their contributions:
- Daniel Dakhno: CVE-2017-0420
- Daniel Micay of Copperhead Security: CVE-2017-0410
- Dzmitry Lukyanenka : CVE-2017-0414
- Frank Liberato of Chrome: CVE-2017-0409
- Gal Beniamini of Project Zero: CVE-2017-0411, CVE-2017-0412
- Gengjia Chen ( @chengjia4574 ) and pjf of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- Guang Gong (龚广) ( @oldfresher ) of Alpha Team, Qihoo 360 Technology Co.Ltd : CVE-2017-0415
- Hanxiang Wen , Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), and Xuxian Jiang of C0RE Team : CVE-2017-0418
- Hao Chen and Guang Gong of Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
- Jeff Sharkey of Google: CVE-2017-0421, CVE-2017-0423
- Jeff Trim: CVE-2017-0422
- Jianqiang Zhao ( @jianqiangzhao ) and pjf of IceSword Lab, Qihoo 360: CVE-2017-0445
- ma.la and Nikolay Elenkov of LINE Corporation: CVE-2016-5552
- Max Spector of Google: CVE-2017-0416
- Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @nikos233 ), and Xuxian Jiang of C0RE Team : CVE-2017-0425
- Qidan He (何淇丹) ( @flanker_hqd ) and Di Shen (申迪) ( @returnsme ) of KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427
- Sagi Kedmi of IBM X-Force Research: CVE-2017-0433
- Scott Bauer ( @ScottyBauer1 ) and Daniel Micay of Copperhead Security: CVE-2017-0405
- Seven Shen ( @lingtongshen ) of Trend Micro Mobile Threat Research Team: CVE-2017-0449, CVE-2016-8418
- Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ), and Xuxian Jiang of C0RE Team : CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- VEO ( @VYSEa ) of Mobile Threat Response Team , Trend Micro : CVE-2017-0424
- Weichao Sun ( @sunblate ) of Alibaba Inc.: CVE-2017-0407
- Wenke Dou , Hongli Han , Mingjian Zhou ( @Mingjian_Zhou ), and Xuxian Jiang of C0RE Team : CVE-2017-0450
- Wenke Dou , Yuqi Lu ( @nikos233 ), Mingjian Zhou ( @Mingjian_Zhou ), and Xuxian Jiang of C0RE Team : CVE-2017-0417
- Wish Wu ( @wish_wu ) (吴潍浠此彼) of Ant-financial Light-Year Security Lab: CVE-2017-0408
- Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ), and Xuxian Jiang of C0RE Team : CVE-2016-8480
- Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ), and Xuxian Jiang of C0RE Team : CVE-2017-0444
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ), and Xuxian Jiang of C0RE Team : CVE-2017-0428
- Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ), and Xuxian Jiang of C0RE Team : CVE-2017-0448, CVE-2017-0429
- Zhen Zhou ( @henices ) and Zhixin Li of NSFocus : CVE-2017-0406
We would also like to thank the following for their contributions to this bulletin:
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), and Lenx Wei (韦韬) of Baidu X-Lab (百度安全实验室)
2017-02-01 security patch level—Vulnerability details
In the sections below, we provide details for each of the security vulnerabilities that apply to the 2017-02-01 patch level. There is a description of the issue, a severity rationale, and a table with the CVE, associated references, severity, updated Google devices, updated AOSP versions (where applicable), and date reported. When available, we will link the public change that addressed the issue to the bug ID, like the AOSP change list. เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
Remote code execution vulnerability in Surfaceflinger
A remote code execution vulnerability in Surfaceflinger could enable an attacker using a specially crafted file to cause memory corruption during media file and data processing. This issue is rated as Critical due to the possibility of remote code execution within the context of the Surfaceflinger process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0405 | A-31960359 | วิกฤต | All | 7.0, 7.1.1 | Oct 4, 2016 |
Remote code execution vulnerability in Mediaserver
A remote code execution vulnerability in Mediaserver could enable an attacker using a specially crafted file to cause memory corruption during media file and data processing. This issue is rated as Critical due to the possibility of remote code execution within the context of the Mediaserver process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0406 | A-32915871 [ 2 ] | วิกฤต | All | 6.0, 6.0.1, 7.0, 7.1.1 | Nov 14, 2016 |
CVE-2017-0407 | A-32873375 | วิกฤต | All | 6.0, 6.0.1, 7.0, 7.1.1 | Nov 12, 2016 |
Remote code execution vulnerability in libgdx
A remote code execution vulnerability in libgdx could enable an attacker using a specially crafted file to execute arbitrary code in the context of an unprivileged process. This issue is rated as High due to the possibility of remote code execution in an application that uses this library.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0408 | A-32769670 | สูง | All | 7.1.1 | Nov 9, 2016 |
Remote code execution vulnerability in libstagefright
A remote code execution vulnerability in libstagefright could enable an attacker using a specially crafted file to execute arbitrary code in the context of an unprivileged process. This issue is rated as High due to the possibility of remote code execution in an application that uses this library.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0409 | A-31999646 | สูง | All | 6.0, 6.0.1, 7.0, 7.1.1 | Google internal |
Elevation of privilege vulnerability in Java.Net
An elevation of privilege in the Java.Net library could enable malicious web content to redirect a user to another website without explicit permission. This issue is rated as High because it is a remote bypass of user interaction requirements.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2016-5552 | A-31858037 | สูง | All | 7.0, 7.1.1 | Sep 30, 2016 |
Elevation of privilege vulnerability in Framework APIs
An elevation of privilege vulnerability in the Framework APIs could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as High because it could be used to gain local access to elevated capabilities, which are not normally accessible to a third-party application.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0410 | A-31929765 | สูง | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 2, 2016 |
CVE-2017-0411 | A-33042690 [ 2 ] | สูง | All | 7.0, 7.1.1 | Nov 21, 2016 |
CVE-2017-0412 | A-33039926 [ 2 ] | สูง | All | 7.0, 7.1.1 | Nov 21, 2016 |
Elevation of privilege vulnerability in Mediaserver
An elevation of privilege vulnerability in Mediaserver could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as High because it could be used to gain local access to elevated capabilities, which are not normally accessible to a third-party application.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0415 | A-32706020 | สูง | All | 6.0, 6.0.1, 7.0, 7.1.1 | Nov 4, 2016 |
Elevation of privilege vulnerability in Audioserver
An elevation of privilege vulnerability in Audioserver could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as High because it could be used to gain local access to elevated capabilities, which are not normally accessible to a third-party application.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0416 | A-32886609 [ 2 ] | สูง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google internal |
CVE-2017-0417 | A-32705438 | สูง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Nov 7, 2016 |
CVE-2017-0418 | A-32703959 [ 2 ] | สูง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Nov 7, 2016 |
CVE-2017-0419 | A-32220769 | สูง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 15, 2016 |
Information disclosure vulnerability in AOSP Mail
An information disclosure vulnerability in AOSP Mail could enable a local malicious application to bypass operating system protections that isolate application data from other applications. This issue is rated as High because it could be used to gain access to data that the application does not have access to.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0420 | A-32615212 | สูง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Sep 12, 2016 |
Information disclosure vulnerability in AOSP Messaging
An information disclosure vulnerability in AOSP Messaging could enable a local malicious application to bypass operating system protections that isolate application data from other applications. This issue is rated as High because it could be used to gain access to data that the application does not have access to.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0413 | A-32161610 | สูง | All | 6.0, 6.0.1, 7.0, 7.1.1 | Oct 13, 2016 |
CVE-2017-0414 | A-32807795 | สูง | All | 6.0, 6.0.1, 7.0, 7.1.1 | Nov 10, 2016 |
Information disclosure vulnerability in Framework APIs
An information disclosure vulnerability in the Framework APIs could enable a local malicious application to bypass operating system protections that isolate application data from other applications. This issue is rated as High because it could be used to gain access to data that the application does not have access to.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0421 | A-32555637 | สูง | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google internal |
Denial of service vulnerability in Bionic DNS
A denial of service vulnerability in Bionic DNS could enable a remote attacker to use a specially crafted network packet to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0422 | A-32322088 | สูง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 20, 2016 |
Elevation of privilege vulnerability in Bluetooth
An elevation of privilege vulnerability in Bluetooth could enable a proximate attacker to manage access to documents on the device. This issue is rated as Moderate because it first requires exploitation of a separate vulnerability in the Bluetooth stack.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0423 | A-32612586 | ปานกลาง | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Nov 2, 2016 |
Information disclosure vulnerability in AOSP Messaging
An information disclosure vulnerability in AOSP Messaging could enable a remote attacker using a special crafted file to access data outside of its permission levels. This issue is rated as Moderate because it is a general bypass for a user level defense in depth or exploit mitigation technology in a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0424 | A-32322450 | ปานกลาง | All | 6.0, 6.0.1, 7.0, 7.1.1 | Oct 20, 2016 |
Information disclosure vulnerability in Audioserver
An information disclosure vulnerability in Audioserver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0425 | A-32720785 | ปานกลาง | All | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Nov 7, 2016 |
Information disclosure vulnerability in Filesystem
An information disclosure vulnerability in the Filesystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | อัปเดตเวอร์ชัน AOSP | Date reported |
---|---|---|---|---|---|
CVE-2017-0426 | A-32799236 [ 2 ] | ปานกลาง | All | 7.0, 7.1.1 | Google internal |
2017-02-05 security patch level—Vulnerability details
In the sections below, we provide details for each of the security vulnerabilities that apply to the 2017-02-05 patch level. There is a description of the issue, a severity rationale, and a table with the CVE, associated references, severity, updated Google devices, updated AOSP versions (where applicable), and date reported. When available, we will link the public change that addressed the issue to the bug ID, like the AOSP change list. เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
Remote code execution vulnerability in Qualcomm crypto driver
A remote code execution vulnerability in the Qualcomm crypto driver could enable a remote attacker to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of remote code execution in the context of the kernel.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8418 | A-32652894 QC-CR#1077457 | วิกฤต | None* | Oct 10, 2016 |
* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Elevation of privilege vulnerability in kernel file system
An elevation of privilege vulnerability in the kernel file system could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0427 | A-31495866* | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Sep 13, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in NVIDIA GPU driver
An elevation of privilege vulnerability in the NVIDIA GPU driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0428 | A-32401526* N-CVE-2017-0428 | วิกฤต | Nexus 9 | Oct 25, 2016 |
CVE-2017-0429 | A-32636619* N-CVE-2017-0429 | วิกฤต | Nexus 9 | Nov 3, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in kernel networking subsystem
An elevation of privilege vulnerability in the kernel networking subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2014-9914 | A-32882659 ต้นน้ำเคอร์เนล | วิกฤต | Nexus 6, Nexus Player | Nov 9, 2016 |
Elevation of privilege vulnerability in Broadcom Wi-Fi driver
An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0430 | A-32838767* B-RB#107459 | วิกฤต | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Vulnerabilities in Qualcomm components
The following vulnerability affects Qualcomm components and is described in further detail in Qualcomm AMSS September 2016 security bulletin.
CVE | อ้างอิง | Severity* | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0431 | A-32573899** | วิกฤต | None*** | Qualcomm internal |
* The severity rating for these vulnerabilities was determined by the vendor.
** The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
*** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Elevation of privilege vulnerability in MediaTek driver
An elevation of privilege vulnerability in the MediaTek driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0432 | A-28332719* M-ALPS02708925 | สูง | None** | Apr 21, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Elevation of privilege vulnerability in Synaptics touchscreen driver
An elevation of privilege vulnerability in the Synaptics touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the touchscreen chipset. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0433 | A-31913571* | สูง | Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Sep 8, 2016 |
CVE-2017-0434 | A-33001936* | สูง | Pixel, Pixel XL | Nov 18, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Qualcomm Secure Execution Environment Communicator driver
An elevation of privilege vulnerability in the Qualcomm Secure Execution Environment Communicator drive could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8480 | A-31804432 QC-CR#1086186 [ 2 ] | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Sep 28, 2016 |
Elevation of privilege vulnerability in Qualcomm sound driver
An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8481 | A-31906415* QC-CR#1078000 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | Oct 1, 2016 |
CVE-2017-0435 | A-31906657* QC-CR#1078000 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | Oct 1, 2016 |
CVE-2017-0436 | A-32624661* QC-CR#1078000 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | Nov 2, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Qualcomm Wi-Fi driver
An elevation of privilege vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0437 | A-32402310 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | Oct 25, 2016 |
CVE-2017-0438 | A-32402604 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | Oct 25, 2016 |
CVE-2017-0439 | A-32450647 QC-CR#1092059 | สูง | Nexus 5X, Pixel, Pixel XL | Oct 25, 2016 |
CVE-2016-8419 | A-32454494 QC-CR#1087209 | สูง | Nexus 5X, Pixel, Pixel XL | Oct 26, 2016 |
CVE-2016-8420 | A-32451171 QC-CR#1087807 | สูง | Nexus 5X, Pixel, Pixel XL | Oct 26, 2016 |
CVE-2016-8421 | A-32451104 QC-CR#1087797 | สูง | Nexus 5X, Pixel, Pixel XL | Oct 26, 2016 |
CVE-2017-0440 | A-33252788 QC-CR#1095770 | สูง | Nexus 5X, Pixel, Pixel XL | Nov 11, 2016 |
CVE-2017-0441 | A-32872662 QC-CR#1095009 | สูง | Nexus 5X, Pixel, Pixel XL | Nov 11, 2016 |
CVE-2017-0442 | A-32871330 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | Nov 13, 2016 |
CVE-2017-0443 | A-32877494 QC-CR#1092497 | สูง | Nexus 5X, Pixel, Pixel XL | Nov 13, 2016 |
CVE-2016-8476 | A-32879283 QC-CR#1091940 | สูง | Nexus 5X, Pixel, Pixel XL | Nov 14, 2016 |
Elevation of privilege vulnerability in Realtek sound driver
An elevation of privilege vulnerability in the Realtek sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0444 | A-32705232* | สูง | Nexus 9 | Nov 7, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in HTC touchscreen driver
An elevation of privilege vulnerability in the HTC touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0445 | A-32769717* | สูง | Pixel, Pixel XL | Nov 9, 2016 |
CVE-2017-0446 | A-32917445* | สูง | Pixel, Pixel XL | Nov 15, 2016 |
CVE-2017-0447 | A-32919560* | สูง | Pixel, Pixel XL | Nov 15, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in NVIDIA video driver
An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0448 | A-32721029* N-CVE-2017-0448 | สูง | Nexus 9 | Nov 7, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Broadcom Wi-Fi driver
An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0449 | A-31707909* B-RB#32094 | ปานกลาง | Nexus 6, Nexus 6P | Sep 23, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Audioserver
An elevation of privilege vulnerability in Audioserver could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it is mitigated by current platform configurations.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0450 | A-32917432* | ปานกลาง | Nexus 9 | Nov 15, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in kernel file system
An elevation of privilege vulnerability in the kernel file system could enable a local malicious application to bypass protections that prevent an escalation of privileges. This issue is rated as Moderate because it is a general bypass for a user level defense in depth or exploit mitigation technology.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-10044 | A-31711619* | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm Secure Execution Environment Communicator
An information disclosure vulnerability in the Qualcomm Secure Execution Environment Communicator could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8414 | A-31704078 QC-CR#1076407 | ปานกลาง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | Sep 23, 2016 |
Information disclosure vulnerability in Qualcomm sound driver
An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2017-0451 | A-31796345 QC-CR#1073129 [ 2 ] | ปานกลาง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | Sep 27, 2016 |
Common Questions and Answers
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .
- Security patch levels of 2017-02-01 or later address all issues associated with the 2017-02-01 security patch level.
- Security patch levels of 2017-02-05 or later address all issues associated with the 2017-02-05 security patch level and all previous patch levels.
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:
-
[ro.build.version.security_patch]:[2017-02-01]
-
[ro.build.version.security_patch]:[2017-02-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- Devices that use the February 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of February 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว
3. How do I determine which Google devices are affected by each issue?
In the 2017-02-01 and 2017-02-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่ These prefixes map as follows:
คำนำหน้า | อ้างอิง |
---|---|
เอ- | รหัสข้อบกพร่องของ Android |
QC- | หมายเลขอ้างอิง Qualcomm |
ม- | หมายเลขอ้างอิง MediaTek |
น- | หมายเลขอ้างอิง NVIDIA |
ข- | หมายเลขอ้างอิง Broadcom |
Revisions
- February 06, 2017: Bulletin published.
- February 08, 2017: Bulletin revised to include AOSP links.