กระดานข่าวความปลอดภัยของ Android เมษายน 2017

เผยแพร่เมื่อ 03 เมษายน 2017 | อัปเดตเมื่อวันที่ 17 สิงหาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยในวันที่ 5 เมษายน 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 6 มีนาคม 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาปัญหาบริการ Android และ Google สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-04-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-04-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 05-04-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-04-01 และ 2017-04-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เดียวพร้อมระดับแพตช์ความปลอดภัยในวันที่ 5 เมษายน 2017

การบรรเทาผลกระทบจากบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพวกเขาพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการเพิ่มระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

  • Aravind Machiry (donfos) จากทีม Shellphish Grill: CVE-2016-5349
  • Daxing Guo ( @freener0 ) จาก Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
  • Derrek ( @derrekr6 ) และ Scott Bauer: CVE-2017-0576
  • Gal Beniamini จาก Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
  • Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
  • Guang Gong (龚广) ( @oldfresher ) จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
  • Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017 -0567
  • เอียน ฟอสเตอร์ ( @lanrat ): CVE-2017-0554
  • Jack Tang จาก Trend Micro Inc.: CVE-2017-0579
  • Jianjun Dai ( @Jioun_dai ) จาก Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
  • Lubo Zhang ( zlbzlb815@163.com ) จาก ทีม C0RE และ Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
  • มาร์ก ซาลีซิน จาก Google: CVE-2017-0558
  • Mike Andereson ( @manderbot ) และ Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla: CVE-2017-0327, CVE-2017-0328
  • เพลง Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang ของ Alibaba Mobile Security Group: CVE-2017-0565
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) และ Lenx Wei (韦韬) แห่ง Baidu X-Lab (百度安全实验室): CVE-2016-10236
  • Qidan He (何淇丹 - @flanker_hqd ) แห่ง KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
  • Roee Hay ( @roeehay ) จาก Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
  • สก็อตต์ บาวเออร์ ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
  • Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามบนมือถือของ TrendMicro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
  • ทิม เบกเกอร์: CVE-2017-0546
  • อุมา สังการ์ ปราธาน ( @umasankar_iitd ): CVE-2017-0560
  • VEO ( @VYSEa ) ของ ทีมรับมือภัยคุกคามบนมือถือ Trend Micro : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
  • Weichao Sun ( @sunblate ) จาก Alibaba Inc: CVE-2017-0549
  • Wenlin Yang ( @wenlin_yang ), Guang Gong ( @oldfresher ) และ Hao Chen จาก Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
  • Zinuo Han จาก Chengdu Security Response Center ของบริษัท Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
  • ซูบิน มิธราจาก Google: CVE-2017-0462

ระดับแพตช์ความปลอดภัย 04-04-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพทช์ 2017-04-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0538 A-33641588 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 13 ธันวาคม 2559
CVE-2017-0539 A-33864300 วิกฤต ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 ธันวาคม 2016
CVE-2017-0541 A-34031018 วิกฤต ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 1 มกราคม 2017
CVE-2017-0542 A-33934721 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google
CVE-2017-0543 A-34097866 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การยกระดับช่องโหว่ของสิทธิพิเศษใน CameraBase

การยกระดับช่องโหว่ของสิทธิ์ใน CameraBase อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากเป็นการดำเนินการโค้ดภายในเครื่องในกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0544 A-31992879 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน Audioserver

การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0545 A-32591350 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 31 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน SurfaceFlinger

การยกระดับช่องโหว่ของสิทธิ์ใน SurfaceFlinger อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0546 A-32628763 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 พฤศจิกายน 2559

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากเป็นการเลี่ยงทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0547 A-33861560 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 22 ธันวาคม 2016

การปฏิเสธช่องโหว่การบริการใน libskia

การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน libskia อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการบริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0548 A-33251605 สูง ทั้งหมด 7.0, 7.1.1 29 พ.ย. 2559

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการบริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0549 A-33818508 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 20 ธันวาคม 2559
CVE-2017-0550 A-33933140 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google
CVE-2017-0551 A-34097231 [ 2 ] สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google
CVE-2017-0552 A-34097915 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การยกระดับช่องโหว่ของสิทธิพิเศษใน libnl

การยกระดับช่องโหว่ของสิทธิ์ใน libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของบริการ Wi-Fi ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0553 A-32342065 ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบโทรศัพท์

การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ Telephony อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงความสามารถที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูง ซึ่งโดยปกติแล้วจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0554 A-33815946 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 ธันวาคม 2559

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0555 A-33551775 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 12 ธันวาคม 2559
CVE-2017-0556 A-34093952 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 4 มกราคม 2017
CVE-2017-0557 A-34093073 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 4 มกราคม 2017
CVE-2017-0558 A-34056274 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน libskia

ช่องโหว่ในการเปิดเผยข้อมูลใน libskia อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0559 A-33897722 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ธันวาคม 2016

ช่องโหว่การเปิดเผยข้อมูลในการรีเซ็ตเป็นค่าจากโรงงาน

ช่องโหว่การเปิดเผยข้อมูลในกระบวนการรีเซ็ตเป็นค่าจากโรงงานอาจทำให้ผู้โจมตีที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลจากเจ้าของคนก่อนได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากมีความเป็นไปได้ที่จะข้ามการป้องกันอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0560 A-30681079 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

ระดับแพตช์ความปลอดภัย 04-04-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-04-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเฟิร์มแวร์ Broadcom Wi-Fi

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเฟิร์มแวร์ Broadcom Wi-Fi อาจทำให้ผู้โจมตีระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของ Wi-Fi SoC ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของ Wi-Fi SoC

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0561 A-34199105*
B-RB#110814
วิกฤต Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 มกราคม 2017

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ Qualcomm crypto engine

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในโปรแกรมควบคุม Qualcomm crypto engine อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10230 A-34389927
QC-CR#1091408
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One 10 มกราคม 2017

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนล

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10229 A-32813456
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player ภายในของ Google

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส MediaTek

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0562 A-30202425*
M-ALPS02898189
วิกฤต* ไม่มี** 16 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัสของ HTC

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัสของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0563 A-32089409*
วิกฤต เน็กซัส 9 9 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0564 A-34276203*
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player 12 มกราคม 2017

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่ในส่วนประกอบของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS เดือนตุลาคม 2559

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10237 A-31628601**
QC-CR#1046751
วิกฤต ไม่มี** วอลคอมม์ภายใน
CVE-2016-10238 A-35358527**
QC-CR#1042558
วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-10239 A-31624618**
QC-CR#1032929
สูง พิกเซล, พิกเซล XL วอลคอมม์ภายใน

* ระดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้จำหน่าย

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเวอร์ชัน 8

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเวอร์ชัน 8 อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในเว็บไซต์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-5129 A-29178923 สูง ไม่มี* 6.0, 6.0.1, 7.0 20 ก.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถโหลดแบบอักษรที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-10244 A-31470908 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 กันยายน 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเสียงเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-4656 A-34464977
เคอร์เนลต้นน้ำ
สูง Nexus 6, ผู้เล่น Nexus 26 มิ.ย. 2557

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA crypto

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA crypto อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0339 A-27930566*
N-CVE-2017-0339
สูง เน็กซัส 9 29 มี.ค. 2559
CVE-2017-0332 A-33812508*
N-CVE-2017-0332
สูง เน็กซัส 9 21 ธันวาคม 2016
CVE-2017-0327 A-33893669*
N-CVE-2017-0327
สูง เน็กซัส 9 24 ธันวาคม 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ระบายความร้อนของ MediaTek

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ระบายความร้อน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0565 A-28175904*
M-ALPS02696516
สูง ไม่มี** 11 เมษายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง MediaTek

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0566 A-28470975*
M-ALPS02696367
สูง ไม่มี** 29 เมษายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0567 A-32125310*
B-RB#112575
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 12 ต.ค. 2559
CVE-2017-0568 A-34197514*
B-RB#112600
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 มกราคม 2017
CVE-2017-0569 A-34198729*
B-RB#110666
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 มกราคม 2017
CVE-2017-0570 A-34199963*
B-RB#110688
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 9 มกราคม 2017
CVE-2017-0571 A-34203305*
B-RB#111541
สูง Nexus 6, Nexus 6P, Pixel C, ผู้เล่น Nexus 9 มกราคม 2017
CVE-2017-0572 A-34198931*
B-RB#112597
สูง ไม่มี** 9 มกราคม 2017
CVE-2017-0573 A-34469904*
B-RB#91539
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 18 มกราคม 2017
CVE-2017-0574 A-34624457*
B-RB#113189
สูง Nexus 6, Nexus 6P, Nexus 9, พิกเซล C 22 มกราคม 2017

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0575 A-32658595*
QC-CR#1103099
สูง Nexus 5X, พิกเซล, พิกเซล XL 3 พฤศจิกายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA I2C HID

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA I2C HID อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0325 A-33040280*
N-CVE-2017-0325
สูง Nexus 9, พิกเซล C 20 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0454 A-33353700
QC-CR#1104067
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 5 ธันวาคม 2559

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุม Qualcomm crypto engine

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กลไกเข้ารหัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0576 A-33544431
QC-CR#1103089
สูง Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One 9 ธันวาคม 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัสของ HTC

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัสของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0577 A-33842951*
สูง ไม่มี** 21 ธันวาคม 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียง DTS

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียง DTS อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0578 A-33964406*
สูง ไม่มี** 28 ธันวาคม 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10231 A-33966912
QC-CR#1096799
สูง พิกเซล, พิกเซล XL 29 ธันวาคม 2016

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0579 A-34125463*
QC-CR#1115406
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 5 มกราคม 2017
CVE-2016-10232 A-34386696
QC-CR#1024872 [2]
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน 10 มกราคม 2017
CVE-2016-10233 A-34389926
QC-CR#897452
สูง ไม่มี** 10 มกราคม 2017

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในการบูต NVIDIA และไดรเวอร์โปรเซสเซอร์การจัดการพลังงาน

การยกระดับช่องโหว่ของสิทธิ์ในการบูต NVIDIA และไดรเวอร์โปรเซสเซอร์การจัดการพลังงานอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของการบูตและโปรเซสเซอร์การจัดการพลังงาน ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0329 A-34115304*
N-CVE-2017-0329
สูง พิกเซล ซี 5 มกราคม 2017

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Synaptics Touchscreen อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0580 A-34325986*
สูง ไม่มี** 16 มกราคม 2017
CVE-2017-0581 A-34614485*
สูง ไม่มี** 22 มกราคม 2017

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Seemp

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Seemp อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0462 A-33353601
QC-CR#1102288
สูง พิกเซล, พิกเซล XL ภายในของ Google

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Kyro L2

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Kyro L2 อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-6423 A-32831370
QC-CR#1103158
สูง พิกเซล, พิกเซล XL ภายในของ Google

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-9922 A-32761463
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player 24 ต.ค. 2557

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยหน่วยความจำเคอร์เนล

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-0206 A-34465735
เคอร์เนลต้นน้ำ
สูง Nexus 6, ผู้เล่น Nexus 6 พฤษภาคม 2557

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนล

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-3145 A-34469585
เคอร์เนลอัปสตรีม [2]
สูง Nexus 6, ผู้เล่น Nexus 9 พฤษภาคม 2557

ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm TrustZone

ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm TrustZone อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5349 A-29083830
QC-CR#1021945 [2] [3] [4]
สูง Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One 1 มิถุนายน 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm IPA

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ Qualcomm IPA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10234 A-34390017
QC-CR#1069060 [2]
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 10 มกราคม 2017

การปฏิเสธช่องโหว่การบริการในระบบย่อยเครือข่ายเคอร์เนล

การปฏิเสธช่องโหว่ของบริการในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีระยะไกลสามารถใช้แพ็คเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-2706 A-34160553
เคอร์เนลต้นน้ำ
สูง ผู้เล่นเน็กซัส 1 เมษายน 2014

การปฏิเสธช่องโหว่การบริการในไดรเวอร์ Qualcomm Wi-Fi

การปฏิเสธช่องโหว่ของบริการในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้ผู้โจมตีใกล้เคียงทำให้เกิดการปฏิเสธบริการในระบบย่อย Wi-Fi ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10235 A-34390620
QC-CR#1046409
สูง ไม่มี** 10 มกราคม 2017

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7097 A-32458736
เคอร์เนลต้นน้ำ
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL, พิกเซล C, Nexus Player 28 ส.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลาง เนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และเนื่องจากรายละเอียดเฉพาะของช่องโหว่ซึ่งจำกัดผลกระทบของปัญหา

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-6424 A-32086742
QC-CR#1102648
ปานกลาง Nexus 5X, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน 9 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8465 A-32474971*
B-RB#106053
ปานกลาง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในคำสั่ง fastboot ของ HTC OEM

การยกระดับช่องโหว่ของสิทธิ์ในคำสั่ง fastboot ของ HTC OEM อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของฮับเซ็นเซอร์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องมีการใช้ประโยชน์จากช่องโหว่ที่แยกจากกันก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0582 A-33178836*
ปานกลาง เน็กซัส 9 28 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในโปรแกรมควบคุมการเข้าถึง Qualcomm CP

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์การเข้าถึง Qualcomm CP อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลาง เนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และเนื่องจากรายละเอียดเฉพาะของช่องโหว่ซึ่งจำกัดผลกระทบของปัญหา

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0583 A-32068683
QC-CR#1103788
ปานกลาง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน Google ภายใน

การเปิดเผยข้อมูลช่องโหว่ในเคอร์เนลไดรเวอร์

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เคอร์เนลสื่อสามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-1739 A-34460642
เคอร์เนลต้นน้ำ
ปานกลาง Nexus 6, Nexus 9, Nexus Player 15 มิ.ย. 2014

การเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์ Qualcomm Wi-Fi

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0584 A-32074353*
QC-CR#1104731
ปานกลาง Nexus 5X, Pixel, Pixel XL 9 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Broadcom Wi-Fi

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Broadcom Wi-Fi สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0585 A-32475556*
B-RB#112953
ปานกลาง Nexus 6, Nexus 6P, Nexus 9, Pixel C, ผู้เล่น Nexus 27 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์ Qualcomm Avtimer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Avtimer สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5346 A-32551280
QC-CR#1097878
ปานกลาง พิกเซล, พิกเซล XL 29 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-6425 A-32577085
QC-CR#1103689
ปานกลาง พิกเซล, พิกเซล XL 29 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm USB

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm USB สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10236 A-33280689
QC-CR#1102418
ปานกลาง พิกเซล, พิกเซล XL 30 พ.ย. 2559

ข้อมูลช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Sound

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เสียง Qualcomm สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0586 A-33649808
QC-CR#1097569
ปานกลาง Nexus 5X, Nexus 6, Nexus 6p, Pixel, Pixel XL, Android One 13 ธันวาคม 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm SPMI

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm SPMI สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-6426 A-33644474
QC-CR#1106842
ปานกลาง พิกเซล, พิกเซล XL 14 ธ.ค. 2559

การเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์ Nvidia Crypto

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ NVIDIA Crypto สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0328 A-33898322*
N-CVE-2017-0328
ปานกลาง ไม่มี** 24 ธันวาคม 2559
CVE-2017-0330 A-33899858*
N-CVE-2017-0330
ปานกลาง ไม่มี** 24 ธันวาคม 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ในส่วนประกอบ Qualcomm

ช่องโหว่เหล่านี้มีผลต่อส่วนประกอบ Qualcomm ได้รับการปล่อยตัวเป็นส่วนหนึ่งของ Bulletins ความปลอดภัยของ Qualcomm AMSS ระหว่างปี 2557-2559 พวกเขารวมอยู่ในแถลงการณ์ความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัย Android

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-9931 A-35445101 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2014-9932 A-35434683 ** วิกฤต พิกเซล, พิกเซล XL qualcomm ภายใน
CVE-2014-9933 A-35442512 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2014-9934 A-35439275 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2014-9935 A-35444951 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2014-9936 A-35442420 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2014-9937 A-35445102 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-8995 A-35445002 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-8996 A-35444658 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-8997 A-35432947 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-8998 A-35441175 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-8999 A-35445401 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-9000 A-35441076 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-9001 A-35445400 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-9002 A-35442421 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2015-9003 A-35440626 ** วิกฤต ไม่มี** qualcomm ภายใน
CVE-2016-10242 A-35434643 ** วิกฤต ไม่มี** qualcomm ภายใน

* การจัดอันดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้ขาย

** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์ความปลอดภัยของ 2017-04-01 หรือใหม่กว่าที่อยู่ที่อยู่ทุกประเด็นที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-04-01
  • ระดับแพตช์ความปลอดภัยของ 2017-04-05 หรือใหม่กว่าที่อยู่ปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-04-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]: [2017-04-01]
  • [ro.build.version.security_patch]: [2017-04-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยที่ 1 เมษายน 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยรวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในแถลงการณ์ความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 5 เมษายน 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในแถลงการณ์ความปลอดภัย (และก่อนหน้า) นี้

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. ฉันจะพิจารณาได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละประเด็น

ในส่วนของรายละเอียดความปลอดภัยความปลอดภัย 2017-04-01 และ 2017-04-04-05 แต่ละตารางมีคอลัมน์ อุปกรณ์ Google ที่อัปเดต ซึ่งครอบคลุมช่วงของอุปกรณ์ที่ได้รับผลกระทบของ Google ที่ได้รับการปรับปรุงสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกเล็กน้อย:

  • อุปกรณ์ Google ทั้งหมด : หากปัญหามีผลต่ออุปกรณ์ทั้งหมดและอุปกรณ์พิกเซลตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ห่อหุ้ม อุปกรณ์ที่รองรับต่อ ไปนี้: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
  • อุปกรณ์ Google บางตัว : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ของ Google ทั้งหมดอุปกรณ์ Google ที่ได้รับผลกระทบจะอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
  • ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหาตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต

4. รายการในคอลัมน์อ้างอิงถึงอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง แผนที่คำนำหน้าเหล่านี้ดังนี้:

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
บี- หมายเลขอ้างอิงของ Broadcom

การแก้ไข

  • 3 เมษายน 2017: Bulletin เผยแพร่
  • 05 เมษายน 2017: Bulletin แก้ไขเพื่อรวมลิงก์ AOSP
  • 21 เมษายน 2017: การระบุแหล่งที่มาสำหรับ CVE-2016-10231 และ CVE-2017-0586 แก้ไข
  • 27 เมษายน 2017: CVE-2017-0540 ถูกลบออกจาก Bulletin
  • 17 สิงหาคม 2017: Bulletin แก้ไขเพื่ออัปเดตหมายเลขอ้างอิง