發布日期:2017 年 3 月 6 日 | 更新日期:2017 年 3 月 7 日
Android 安全性公告列舉對 Android 裝置造成影響的安全漏洞,並說明相關細節。在這篇公告發布時,Google 已透過無線更新機制 (OTA) 發布 Google 裝置的安全性更新。此外,Google 韌體映像檔也已經發布到 Google Developers 網站上。2017 年 3 月 5 日之後的安全性修補程式等級已解決了這些已提及的所有問題。請參閱 Pixel 與 Nexus 更新時間表,瞭解如何查看裝置的安全性修補程式等級。
我們已在 2017 年 2 月 6 日以前向合作夥伴通知本公告中提到的問題。這些問題的原始碼修補程式已發布到 Android 開放原始碼計畫 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計畫以外的修補程式連結。
在這些問題中,最嚴重的就是「最高」等級的安全漏洞。當系統處理媒體檔案時,攻擊者可利用這類漏洞透過電子郵件、網頁瀏覽活動和多媒體訊息等方式,在受影響的裝置上執行遠端程式碼。嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而停用,或是遭到有心人士成功規避,然後推算當有人惡意運用安全漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。
目前還沒有客戶指出這些新的安全漏洞遭到攻擊或濫用。如果想進一步瞭解 Android 安全性平台防護措施和 SafetyNet 等服務防護措施如何加強 Android 平台的安全性,請參閱「Android 和 Google 服務的資安因應措施」一節。
我們建議所有客戶接受這些裝置更新。
公告事項
- 本公告納入兩種安全性修補程式等級字串,方便 Android 合作夥伴靈活運用,快速修正某些發生在所有 Android 裝置上的類似安全漏洞。如需其他資訊,請參閱「常見問題與解答」一節:
- 2017-03-01:部分安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-03-01 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。
- 2017-03-05:完整安全修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-03-01 和 2017-03-05 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。
- 支援的 Google 裝置會收到一項 OTA 更新,安全性修補程式等級為 2017-03-05。
Android 和 Google 服務提供的資安因應措施
本節概述 Android 安全性平台和 SafetyNet 等服務防護機制所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全漏洞來達到特定目的。
- Android 平台持續推出新的版本強化安全性,因此有心人士越來越難在 Android 系統發動漏洞攻擊。我們建議所有使用者盡可能更新至 Android 最新版本。
- Android 安全性團隊採用驗證應用程式和 SafetyNet 主動監控濫用情形,並向使用者警示可能有害的應用程式。搭載 Google 行動服務的裝置預設會啟用驗證應用程式。使用者如果不是從 Google Play 安裝應用程式,這項防護措施格外重要。雖然 Google Play 禁止發布任何可獲取裝置 Root 權限的工具,但是當驗證應用程式偵測到使用者嘗試安裝這類應用程式時,無論來源為何,都會發出警告。此外,驗證應用程式會設法找出利用權限提升漏洞的已知惡意應用程式,並封鎖這類應用程式的安裝程序。如果使用者已安裝這類應用程式,驗證應用程式會通知使用者並嘗試移除偵測到的應用程式。
- 在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。
特別銘謝
感謝以下研究人員做出的貢獻:
- Google 動態工具團隊成員 Alexander Potapenko:CVE-2017-0537
- 阿里巴巴行動安全團隊成員 Baozeng Ding、Chengming Yang、Peng Xiao 和 Yang Song:CVE-2017-0506
- 阿里巴巴行動安全團隊成員 Baozeng Ding、Ning You、Chengming Yang、Peng Xiao 和 Yang Song:CVE-2017-0463
- Android 安全性團隊成員 Billy Lau:CVE-2017-0335、CVE-2017-0336、CVE-2017-0338、CVE-2017-0460
- derrek (@derrekr6):CVE-2016-8413、CVE-2016-8477、CVE-2017-0531
- derrek (@derrekr6) 和 Scott Bauer (@ScottyBauer1):CVE-2017-0521
- 騰訊科恩實驗室 (@keen_lab) 的 Di Shen (@returnsme):CVE-2017-0334、CVE-2017-0456、CVE-2017-0457、CVE-2017-0525
- MS509Team 的 En He (@heeeeen4x) 和 Bo Liu:CVE-2017-0490
- 奇虎 360 科技有限公司冰刃實驗室的 Gengjia Chen (@chengjia4574) 和 pjf:CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0509、CVE-2017-0524、CVE-2017-0529、CVE-2017-0536
- 奇虎 360 科技有限公司 Alpha 團隊成員 Hao Chen 和 Guang Gong:CVE-2017-0453、CVE-2017-0461、CVE-2017-0464
- Sony Mobile Communications Inc. 的 Hiroki Yamamoto 和 Fang Chen:CVE-2017-0481
- IBM 安全性 X-Force 研究員 Sagi Kedmi 和 Roee Hay:CVE-2017-0510
- 奇虎 360 Skyeye 實驗室的 Jianjun Dai (@Jioun_dai):CVE-2017-0478
- 奇虎 360 冰刃實驗室的 Jianqiang Zhao (@jianqiangzhao) 和 pjf:CVE-2016-8416、CVE-2016-8478、CVE-2017-0458、CVE-2017-0459、CVE-2017-0518、CVE-2017-0519、CVE-2017-0533、CVE-2017-0534
- C0RE 團隊成員 Lubo Zhang、Tong Lin、Yuan-Tsung Lo 和 Xuxian Jiang:CVE-2016-8479
- Google 的 Makoto Onuki:CVE-2017-0491
- C0RE 團隊成員 Mingjian Zhou (@Mingjian_Zhou)、Hanxiang Wen 和 Xuxian Jiang:CVE-2017-0479、CVE-2017-0480
- Nathan Crandall (@natecray):CVE-2017-0535
- 特斯拉產品安全團隊成員 Nathan Crandall (@natecray):CVE-2017-0306
- 百度安全實驗室的 Pengfei Ding (丁鵬飛)、Chenfu Bao (包沉浮) 和 Lenx Wei (韋韜):CVE-2016-8417
- 騰訊科恩實驗室的 Qidan He (何淇丹) (@flanker_hqd):CVE-2017-0337、CVE-2017-0476
- 奇虎 360 的 Qing Zhang 和新加坡理工大學 (SIT) 的 Guangdong Bai:CVE-2017-0496
- 螞蟻金服巴斯光年安全實驗室的 Quhe 和 wanchouchou:CVE-2017-0522
- DarkMatter 安全通訊團隊的 Sahara:CVE-2017-0528
- 加州大學聖塔芭芭拉分校 Shellphish Grill 團隊的 salls (@chris_salls):CVE-2017-0505
- Scott Bauer (@ScottyBauer1):CVE-2017-0504、CVE-2017-0516
- Sean Beaupre (beaups):CVE-2017-0455
- 趨勢科技的 Seven Shen (@lingtongshen):CVE-2017-0452
- 富士通的 Shinichi Matsumoto:CVE-2017-0498
- ByteRev 的 Stéphane Marques:CVE-2017-0489
- Google 的 Svetoslav Ganov:CVE-2017-0492
- C0RE 團隊成員 Tong Lin、Yuan-Tsung Lo 和 Xuxian Jiang:CVE-2017-0333
- 趨勢科技行動威脅研究團隊成員 V.E.O (@VYSEa):CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0482、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0494、CVE-2017-0495
- 螞蟻金服巴斯光年安全實驗室的 Wish Wu (吴潍浠 此彼) (@wish_wu):CVE-2017-0477
- 奇虎 360 科技有限公司 Vulpecker 團隊成員 Yu Pan:CVE-2017-0517、CVE-2017-0532
- C0RE 團隊成員 Yuan-Tsung Lo 和 Xuxian Jiang:CVE-2017-0526、CVE-2017-0527
- C0RE 團隊成員 Yuqi Lu (@nikos233)、Wenke Dou、Dacheng Shao、Mingjian Zhou (@Mingjian_Zhou) 和 Xuxian Jiang:CVE-2017-0483
- 奇虎 360 科技有限公司成都安全性應變中心成員 Zinuo Han (weibo.com/ele7enxxh):CVE-2017-0475、CVE-2017-0497
2017-03-01 安全性修補程式等級 - 安全漏洞詳情
下列各節將詳細說明 2017-03-01 安全性修補程式等級適用的各項安全漏洞,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,當中說明漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置和回報日期。在適用情況下,我們也會提供更新的 Android 開放原始碼計畫版本。假如有公開變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
OpenSSL 和 BoringSSL 中的遠端程式碼執行漏洞
在檔案和資料的處理期間,OpenSSL 和 BoringSSL 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在具有特殊權限的程序環境內執行,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2016-2182 | A-32096880 | 最高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 8 月 5 日 |
媒體伺服器中的遠端程式碼執行漏洞
在媒體檔案和資料的處理期間,媒體伺服器中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0466 | A-33139050 [2] | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
CVE-2017-0467 | A-33250932 [2] | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 30 日 |
CVE-2017-0468 | A-33351708 [2] | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 5 日 |
CVE-2017-0469 | A-33450635 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 8 日 |
CVE-2017-0470 | A-33818500 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
CVE-2017-0471 | A-33816782 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
CVE-2017-0472 | A-33862021 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 23 日 |
CVE-2017-0473 | A-33982658 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 30 日 |
CVE-2017-0474 | A-32589224 | 最高 | 全部 | 7.0、7.1.1 | Google 內部資訊 |
復原驗證器中的權限升級漏洞
復原驗證器中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0475 | A-31914369 | 最高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 2 日 |
Android 開放原始碼計劃 Messaging 中的遠端程式碼執行漏洞
在媒體檔案和資料的處理期間,Android 開放原始碼計畫 Messaging 中的遠端程式碼執行安全漏洞,可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在未獲授權的程序環境內執行,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0476 | A-33388925 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
libgdx 中的遠端程式碼執行漏洞
libgdx 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案在未獲授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在使用這個程式庫的應用程式中執行,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0477 | A-33621647 | 高 | 全部 | 7.1.1 | 2016 年 12 月 14 日 |
Framesequence 程式庫中的遠端程式碼執行漏洞
Framesequence 程式庫中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案在未獲授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在使用 Framesequence 程式庫的應用程式中執行,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0478 | A-33718716 | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 16 日 |
NFC 中的權限提升漏洞
NFC 中的權限提升漏洞可能會讓鄰近的攻擊者在具有特殊權限的程序環境內執行任何程式碼。由於這個問題可用於取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0481 | A-33434992 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 6 日 |
音訊伺服器中的權限升級漏洞
音訊伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於有心人士可利用這個漏洞來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0479 | A-32707507 [2] | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
CVE-2017-0480 | A-32705429 [2] | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
媒體伺服器中的拒絕服務漏洞
媒體伺服器中的阻斷服務安全漏洞,可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 22 日 |
CVE-2017-0483 | A-33137046 [2] | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 24 日 |
CVE-2017-0484 | A-33298089 [2] | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 1 日 |
CVE-2017-0485 | A-33387820 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
CVE-2017-0486 | A-33621215 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 14 日 |
CVE-2017-0487 | A-33751193 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 19 日 |
CVE-2017-0488 | A-34097213 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
位置管理員中的權限升級漏洞
位置管理員中的權限升級漏洞可能會讓本機惡意應用程式規避作業系統為位置資料採取的防護措施。由於這個問題可能讓有心人士產生不正確的資料,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0489 | A-33091107 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 20 日 |
Wi-Fi 連線中的權限升級漏洞
Wi-Fi 連線中的權限升級漏洞可能會讓本機惡意應用程式刪除使用者資料。由於這個問題可能會讓有心人士規避本機的使用者互動要求 (通常需要使用者啟動或使用者權限),因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0490 | A-33178389 [2] [3] | 中 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
套件管理員中的權限升級漏洞
套件管理員中的權限升級漏洞可能會讓本機惡意應用程式造成使用者無法解除安裝應用程式,或無法移除應用程式的權限。由於這個問題可能會讓有心人士規避本機的使用者互動要求,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0491 | A-32553261 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
系統使用者介面中的權限升級漏洞
系統使用者介面中的權限升級漏洞可能會讓本機惡意應用程式建立重疊覆蓋整個螢幕畫面的使用者介面。由於這個問題可能會讓有心人士規避本機的使用者互動要求 (通常需要使用者啟動或使用者權限),因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0492 | A-30150688 | 中 | 全部 | 7.1.1 | Google 內部資訊 |
AOSP Messaging 中的資訊外洩漏洞
AOSP Messaging 中的資訊外洩漏洞可能會讓遠端攻擊者透過特製檔案存取其權限等級以外的資料。由於這個問題可能會讓有心人士在未獲授權的情況下存取機密資料,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0494 | A-32764144 | 中 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 9 日 |
媒體伺服器中的資訊外洩安全漏洞
媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0495 | A-33552073 | 中 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 11 日 |
設定精靈中的拒絕服務漏洞
設定精靈中的拒絕服務漏洞可能會讓本機惡意應用程式暫時封鎖受影響裝置的存取權。由於這個問題可能需要恢復原廠設定才能修復,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0496 | A-31554152* | 中 | 無** | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 9 月 14 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Google 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
媒體伺服器中的拒絕服務漏洞
媒體伺服器中的阻斷服務安全漏洞,可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這種攻擊必須透過罕見的裝置設定才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0497 | A-33300701 | 中 | 全部 | 7.0、7.1.1 | 2016 年 12 月 2 日 |
設定精靈中的拒絕服務漏洞
設定精靈中的拒絕服務漏洞可能會讓本機攻擊者在恢復原廠設定後要求登入 Google 帳戶。由於這個問題可能需要恢復原廠設定才能修復,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0498 | A-30352311 [2] | 中 | 全部 | 5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
音訊伺服器中的阻斷服務安全漏洞
音訊伺服器中的拒絕服務漏洞可能會讓本機惡意應用程式造成裝置停止運作或重新開機。由於這個問題可能會導致暫時性阻斷服務,因此嚴重程度評定為「低」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0499 | A-32095713 | 低 | 全部 | 5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 11 日 |
2017-03-05 安全性修補程式等級 - 安全漏洞詳情
以下各節將詳細說明 2017-03-05 安全性修補程式等級適用的各項安全漏洞,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,當中說明漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置和回報日期。在適用情況下,我們也會提供更新的 Android 開放原始碼計畫版本。假如有公開變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
MediaTek 元件中的權限提升安全漏洞
MediaTek 元件 (包括 M4U 驅動程式、音效驅動程式、觸控螢幕驅動程式、GPU 驅動程式和指令佇列驅動程式) 中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0500 | A-28429685* M-ALPS02710006 |
最高 | 無** | 2016 年 4 月 27 日 |
CVE-2017-0501 | A-28430015* M-ALPS02708983 |
最高 | 無** | 2016 年 4 月 27 日 |
CVE-2017-0502 | A-28430164* M-ALPS02710027 |
最高 | 無** | 2016 年 4 月 27 日 |
CVE-2017-0503 | A-28449045* M-ALPS02710075 |
最高 | 無** | 2016 年 4 月 28 日 |
CVE-2017-0504 | A-30074628* M-ALPS02829371 |
最高 | 無** | 2016 年 7 月 9 日 |
CVE-2017-0505 | A-31822282* M-ALPS02992041 |
最高 | 無** | 2016 年 9 月 28 日 |
CVE-2017-0506 | A-32276718* M-ALPS03006904 |
最高 | 無** | 2016 年 10 月 18 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
NVIDIA GPU 驅動程式中的權限升級漏洞
NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
最高 | Pixel C | 2016 年 10 月 6 日 |
CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
最高 | Pixel C | 2016 年 11 月 21 日 |
CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
最高 | Pixel C | 2016 年 12 月 25 日 |
CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
最高 | Nexus 9 | 2017 年 1 月 6 日 |
CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
最高 | Pixel C | Google 內部資訊 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心 ION 子系統中的權限升級漏洞
核心 ION 子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0507 | A-31992382* | 最高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 10 月 6 日 |
CVE-2017-0508 | A-33940449* | 最高 | Pixel C | 2016 年 12 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Broadcom Wi-Fi 驅動程式中的權限升級漏洞
Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0509 | A-32124445* B-RB#110688 |
最高 | 無** | 2016 年 10 月 12 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果支援的 Google 裝置搭載 Android 7.0 以上版本,而且已安裝所有可用更新,就不會受到這個漏洞影響。
核心 FIQ 偵錯工具中的權限升級漏洞
核心 FIQ 偵錯工具中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0510 | A-32402555* | 最高 | Nexus 9 | 2016 年 10 月 25 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm GPU 驅動程式中的權限升級漏洞
Qualcomm GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8479 | A-31824853* QC-CR#1093687 |
最高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 29 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心網路子系統中的權限升級漏洞
核心網路子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Reflash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-9806 | A-33393474 上游程式庫核心 |
最高 | Pixel C、Pixel、Pixel XL | 2016 年 12 月 4 日 |
CVE-2016-10200 | A-33753815 上游程式庫核心 |
最高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 19 日 |
Qualcomm 元件中的漏洞
以下列出會影響 Qualcomm 元件的安全漏洞,詳情請參考 2016 年 9 月的 Qualcomm AMSS 安全性公告。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8484 | A-28823575** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2016-8485 | A-28823681** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2016-8486 | A-28823691** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2016-8487 | A-28823724** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2016-8488 | A-31625756** | 最高 | 無*** | Qualcomm 內部資訊 |
* 這些漏洞的嚴重程度是由廠商自行評定。
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
*** 如果支援的 Google 裝置搭載 Android 7.0 以上版本,而且已安裝所有可用更新,就不會受到這個漏洞影響。
核心網路子系統中的權限升級漏洞
核心網路子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8655 | A-33358926 上游程式庫核心 |
高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 10 月 12 日 |
CVE-2016-9793 | A-33363517 上游程式庫核心 |
高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 12 月 2 日 |
Qualcomm 輸入硬體驅動程式中的權限升級漏洞
Qualcomm 輸入硬體驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0516 | A-32341680* QC-CR#1096301 |
高 | Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
MediaTek 硬體感應器驅動程式中的權限提升安全漏洞
MediaTek 硬體感應器驅動程式中的權限提升安全漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0517 | A-32372051* M-ALPS02973195 |
高 | 無** | 2016 年 10 月 22 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm ADSPRPC 驅動程式中的權限升級漏洞
Qualcomm ADSPRPC 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 22 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 指紋感應器驅動程式中的權限升級漏洞
Qualcomm 指紋感應器驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0518 | A-32370896* QC-CR#1086530 |
高 | Pixel、Pixel XL | 2016 年 10 月 24 日 |
CVE-2017-0519 | A-32372915* QC-CR#1086530 |
高 | Pixel、Pixel XL | 2016 年 10 月 24 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 加密引擎驅動程式中的權限升級漏洞
Qualcomm 加密編譯引擎驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0520 | A-31750232 QC-CR#1082636 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 9 月 24 日 |
Qualcomm 相機驅動程式中的權限升級漏洞
Qualcomm 相機驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0458 | A-32588962 QC-CR#1089433 |
高 | Pixel、Pixel XL | 2016 年 10 月 31 日 |
CVE-2017-0521 | A-32919951 QC-CR#1097709 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 15 日 |
MediaTek APK 中的權限提升安全漏洞
MediaTek APK 中的權限提升安全漏洞,可能會讓本機惡意應用程式在具有特殊權限的程序環境內執行任何程式碼。由於這個問題可能會讓有心人士在具有特殊權限的程序中執行任何本機程式碼,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0522 | A-32916158* M-ALPS03032516 |
高 | 無** | 2016 年 11 月 15 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞
Qualcomm Wi-Fi 驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0464 | A-32940193 QC-CR#1102593 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 11 月 15 日 |
CVE-2017-0453 | A-33979145 QC-CR#1105085 |
高 | Nexus 5X、Android One | 2016 年 12 月 30 日 |
CVE-2017-0523 | A-32835279 QC-CR#1096945 |
高 | 無* | Google 內部資訊 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Synaptics 觸控螢幕驅動程式中的權限升級漏洞
Synaptics 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0524 | A-33002026 | 高 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 11 月 18 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm IPA 驅動程式中的權限升級漏洞
Qualcomm IPA 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0456 | A-33106520* QC-CR#1099598 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 23 日 |
CVE-2017-0525 | A-33139056* QC-CR#1097714 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 25 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
HTC 感應器中樞驅動程式中的權限升級漏洞
HTC 感應器中樞驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0526 | A-33897738* | 高 | Nexus 9 | 2016 年 12 月 25 日 |
CVE-2017-0527 | A-33899318* | 高 | Nexus 9、Pixel、Pixel XL | 2016 年 12 月 25 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
NVIDIA GPU 驅動程式中的權限升級漏洞
NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會導致本機裝置受到永久性破壞,需要重新刷新作業系統才能修復,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
高 | 無** | 2016 年 11 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 網路驅動程式中的權限升級漏洞
Qualcomm 網路驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0463 | A-33277611 QC-CR#1101792 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 30 日 |
CVE-2017-0460 | A-31252965* QC-CR#1098801 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL | Google 內部資訊 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心安全子系統中的權限升級漏洞
核心安全子系統中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行指令。由於這個問題可能會讓有心人士規避一般的核心層級深度防禦措施或防範攻擊技術,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0528 | A-33351919* | 高 | Pixel、Pixel XL | 2016 年 12 月 4 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm SPCom 驅動程式中的權限升級漏洞
Qualcomm SPCom 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5856 | A-32610665 QC-CR#1094078 |
高 | 無* | Google 內部資訊 |
CVE-2016-5857 | A-34386529 QC-CR#1094140 |
高 | 無* | Google 內部資訊 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
核心網路子系統中的資訊外洩安全漏洞
核心網路子系統中的資訊外洩安全漏洞,可能會讓鄰近本機的攻擊者取得機密資訊的存取權。由於這個問題可用於在未獲授權的情況下存取資料,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2014-8709 | A-34077221 上游程式庫核心 |
高 | Nexus Player | 2014 年 11 月 9 日 |
MediaTek 驅動程式中的資訊外洩安全漏洞
MediaTek 驅動程式中的資訊外洩安全漏洞,可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0529 | A-28449427* M-ALPS02710042 |
高 | 無** | 2016 年 4 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果支援的 Google 裝置搭載 Android 7.0 以上版本,而且已安裝所有可用更新,就不會受到這個漏洞影響。
Qualcomm 系統啟動載入程式中的資訊外洩安全漏洞
Qualcomm 系統啟動載入程式中的資訊外洩漏洞可能會讓本機惡意應用程式更輕易在系統啟動載入程式的環境內執行任何程式碼。由於這個問題可能會讓有心人士規避一般系統啟動載入程式層級的深度防禦措施或防範攻擊技術,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0455 | A-32370952 QC-CR#1082755 |
高 | Pixel、Pixel XL | 2016 年 10 月 21 日 |
Qualcomm 電源驅動程式中的資訊外洩安全漏洞
Qualcomm 電源驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8483 | A-33745862 QC-CR#1035099 |
高 | Nexus 5X、Nexus 6P | 2016 年 12 月 19 日 |
NVIDIA GPU 驅動程式中的資訊外洩安全漏洞
NVIDIA GPU 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
高 | Pixel C | 2016 年 11 月 30 日 |
CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
高 | Pixel C | Google 內部資訊 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心密碼編譯子系統中的拒絕服務漏洞
核心加密編譯子系統中的阻斷服務安全漏洞,可能會讓遠端攻擊者利用特製網路封包,造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8650 | A-33401771 上游程式庫核心 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 10 月 12 日 |
Qualcomm 相機驅動程式中的權限升級漏洞 (特定裝置)
Qualcomm 相機驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,而目前平台的設定可因應這種攻擊,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8417 | A-32342399 QC-CR#1088824 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0461 | A-32073794 QC-CR#1100132 |
中 | Android One、Nexus 5X、Pixel、Pixel XL | 2016 年 10 月 9 日 |
CVE-2017-0459 | A-32644895 QC-CR#1091939 |
中 | Pixel、Pixel XL | 2016 年 11 月 3 日 |
CVE-2017-0531 | A-32877245 QC-CR#1087469 |
中 | Android One、Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 11 月 13 日 |
MediaTek 視訊轉碼器驅動程式中的資訊外洩安全漏洞
MediaTek 視訊轉碼器驅動程式中的資訊外洩安全漏洞,可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0532 | A-32370398* M-ALPS03069985 |
中 | 無** | 2016 年 10 月 22 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 視訊驅動程式中的資訊外洩安全漏洞
Qualcomm 視訊驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0533 | A-32509422 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 27 日 |
CVE-2017-0534 | A-32508732 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
CVE-2016-8416 | A-32510746 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
CVE-2016-8478 | A-32511270 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
Qualcomm 相機驅動程式中的資訊外洩安全漏洞
Qualcomm 相機驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8413 | A-32709702 QC-CR#518731 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 4 日 |
CVE-2016-8477 | A-32720522 QC-CR#1090007 [2] |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 7 日 |
HTC 音效轉碼器驅動程式中的資訊外洩安全漏洞
HTC 音效轉碼器驅動程式中的資訊外洩安全漏洞,可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0535 | A-33547247* | 中 | Nexus 9 | 2016 年 12 月 11 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Synaptics 觸控螢幕驅動程式中的資訊外洩安全漏洞
Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0536 | A-33555878* | 中 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 12 月 12 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心 USB 小工具驅動程式中的資訊外洩安全漏洞
核心 USB 小工具驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0537 | A-31614969* | 中 | Pixel C | Google 內部資訊 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 相機驅動程式中的資訊外洩漏洞
Qualcomm 相機驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「低」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0452 | A-32873615* QC-CR#1093693 |
低 | Nexus 5X、Nexus 6P、Android One | 2016 年 11 月 10 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷目前的裝置軟體版本已修正這些問題?
請參閱 Pixel 與 Nexus 更新時間表中的說明,瞭解如何查看裝置的安全性修補程式等級。
- 2017-03-01 之後的安全性修補程式等級解決了所有與 2017-03-01 安全性修補程式等級相關的問題。
- 2017-03-05 之後的安全性修補程式等級解決了 2017-03-05 安全性修補程式等級以前的所有相關問題。
提供這些更新的裝置製造商應將修補程式字串等級設定為:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. 為什麼這篇公告有兩種安全性修補程式等級?
本公告納入兩種安全性修補程式等級,可以方便 Android 合作夥伴靈活運用,快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全性修補程式等級。
- 安全性修補程式等級為 2017 年 3 月 1 日的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。
- 如果裝置的安全性修補程式等級在 2017 年 3 月 5 日之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。
我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。
3. 如何判斷哪些 Google 裝置會受到哪種問題的影響?
在 2017-03-01 和 2017-03-05 安全漏洞詳情的章節中,每個表格都包含「更新的 Google 裝置」欄,當中列出受各個問題影響而需要更新的 Google 裝置範圍。此欄中的選項包括:
- 所有 Google 裝置:如果問題會影響到「全部」和 Pixel 裝置,表格內「更新的 Google 裝置」欄中就會標示「全部」字樣。「全部」包含下列支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
- 部分 Google 裝置:如果問題並未影響所有 Google 裝置,「更新的 Google 裝置」欄中會列出受影響的 Google 裝置。
- 不影響任何 Google 裝置:如果問題不會影響任何搭載 Android 7.0 的 Google 裝置,表格內「更新的 Google 裝置」欄中就會標示「無」字樣。
4.「參考資料」欄底下列出的識別碼代表什麼意義?
在安全漏洞詳情表格中,「參考資料」欄底下的項目可能會包含一個前置字串,表示該參考資料值所屬的機構。這些前置字串代表的意義如下:
前置字串 | 參考資料 |
---|---|
A- | Android 錯誤 ID |
QC- | Qualcomm 參考編號 |
M- | MediaTek 參考編號 |
N- | NVIDIA 參考編號 |
B- | Broadcom 參考編號 |
修訂版本
- 2017 年 3 月 6 日:發布公告。
- 2017 年 3 月 7 日:修訂公告內容 (加入 Android 開放原始碼計畫連結)。