ตั้งแต่วันที่ 27 มีนาคม 2025 เป็นต้นไป เราขอแนะนำให้ใช้ android-latest-release แทน aosp-main เพื่อสร้างและมีส่วนร่วมใน AOSP โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการเปลี่ยนแปลงใน AOSP

หน้านี้ได้รับการแปลโดย Cloud Translation API

ประกาศข่าวสารด้านความปลอดภัยของ Android - เมษายน 2017
จัดทุกอย่างให้เป็นระเบียบอยู่เสมอด้วยคอลเล็กชัน บันทึกและจัดหมวดหมู่เนื้อหาตามค่ากำหนดของคุณ

เผยแพร่เมื่อ 3 เมษายน 2017 | อัปเดตเมื่อ 17 สิงหาคม 2017

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวสารแล้ว เรายังได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตผ่านอากาศ (OTA) ด้วย เราได้เผยแพร่อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google ไปยังเว็บไซต์สำหรับนักพัฒนาซอฟต์แวร์ของ Google ด้วย ระดับแพตช์ความปลอดภัยของวันที่ 5 เมษายน 2017 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดูกำหนดการอัปเดต Pixel และ Nexus เพื่อดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารเมื่อวันที่ 6 มีนาคม 2017 หรือก่อนหน้านั้น เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บโปรเจ็กต์โอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวสารนี้แล้ว กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์นอก AOSP ด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลในอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ

เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ที่ส่วนการบรรเทาสำหรับ Android และบริการของ Google ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์

ประกาศ

กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดูข้อมูลเพิ่มเติมได้ในคำถามที่พบบ่อยและคำตอบ ดังนี้
- 2017-04-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-04-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-04-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-04-01 และ 2017-04-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 5 เมษายน 2017

การลดผลกระทบต่อบริการของ Android และ Google

ข้อมูลต่อไปนี้เป็นสรุปของการลดความเสี่ยงที่ได้จากแพลตฟอร์มการรักษาความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android

การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วยการยืนยันแอปและ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย ยืนยันแอปจะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เราไม่อนุญาตให้มีเครื่องมือการรูทอุปกรณ์ใน Google Play แต่แอป "ยืนยันแอป" จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าแอปพลิเคชันนั้นจะมาจากที่ใดก็ตาม นอกจากนี้ ฟีเจอร์ตรวจสอบแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว ฟีเจอร์ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันที่ตรวจพบออก
แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติตามความเหมาะสม

ขอขอบคุณ

ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม

Aravind Machiry (donfos) จากทีม Shellphish Grill: CVE-2016-5349
Daxing Guo (@freener0) จาก Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
Derrek (@derrekr6) และ Scott Bauer CVE-2017-0576
Gal Beniamini จาก Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
Guang Gong (龚广) (@oldfresher) จากทีม Alpha, Qihoo 360 Technology Co. Ltd. CVE-2017-0547
Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd. CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017-0567
Ian Foster (@lanrat): CVE-2017-0554
Jack Tang จาก Trend Micro Inc. CVE-2017-0579
Jianjun Dai (@Jioun_dai) จาก Qihoo 360 Skyeye Labs: CVE-2017-0559, CVE-2017-0541
Jianqiang Zhao (@jianqiangzhao) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
Lubo Zhang (zlbzlb815@163.com) จากทีม C0RE และ Yonggang Guo (@guoygang) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. CVE-2017-0564
Mark Salyzyn จาก Google: CVE-2017-0558
Mike Andereson (@manderbot) และ Nathan Crandall (@natecray) จากทีมรักษาความปลอดภัยของผลิตภัณฑ์ Tesla: CVE-2017-0327, CVE-2017-0328
Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang Song จาก Alibaba Mobile Security Group: CVE-2017-0565
Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), และ Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室): CVE-2016-10236
Qidan He (何淇丹 - @flanker_hqd) จาก KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
Roee Hay (@roeehay) จาก Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
Scott Bauer (@ScottyBauer1): CVE-2017-0562, CVE-2017-0339
Seven Shen (@lingtongshen) จากทีมวิจัยภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ TrendMicro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
Tim Becker: CVE-2017-0546
Uma Sankar Pradhan (@umasankar_iitd): CVE-2017-0560
V.E.O (@VYSEa) จากทีมตอบสนองต่อภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro: CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
Weichao Sun (@sunblate) จาก Alibaba Inc: CVE-2017-0549
Wenlin Yang (@wenlin_yang), Guang Gong (@oldfresher) และ Hao Chen จากทีม Alpha, Qihoo 360 Technology Co. Ltd. CVE-2017-0580, CVE-2017-0577
Zinuo Han จากศูนย์ตอบสนองต่อความปลอดภัยของเมืองเฉิงตูของ Qihoo 360 Technology Co. Ltd. CVE-2017-0548
Zubin Mithra จาก Google: CVE-2017-0462

ระดับแพตช์ความปลอดภัยของวันที่ 01-04-2017 - รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้ เรามีรายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-04-2017 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่มี CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Google ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0538	A-33641588	วิกฤต	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	13 ธ.ค. 2016
CVE-2017-0539	A-33864300	วิกฤต	ทั้งหมด	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	23 ธ.ค. 2016
CVE-2017-0541	A-34031018	วิกฤต	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	1 ม.ค. 2017
CVE-2017-0542	A-33934721	วิกฤต	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google
CVE-2017-0543	A-34097866	วิกฤต	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ใน CameraBase

ช่องโหว่การยกระดับสิทธิ์ใน CameraBase อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากเป็นการดำเนินการโค้ดแบบกำหนดเองในเครื่องในกระบวนการที่มีสิทธิ์

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0544	A-31992879	สูง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	6 ต.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ใน Audioserver

ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0545	A-32591350	สูง	ทั้งหมด	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	31 ต.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ใน SurfaceFlinger

ช่องโหว่การยกระดับสิทธิ์ใน SurfaceFlinger อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0546	A-32628763	สูง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	2 พ.ย. 2016

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากเป็นการหลบเลี่ยงทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0547	A-33861560	สูง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	22 ธ.ค. 2016

ช่องโหว่การปฏิเสธการให้บริการใน libskia

ช่องโหว่การปฏิเสธการให้บริการจากระยะไกลใน libskia อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0548	A-33251605	สูง	ทั้งหมด	7.0, 7.1.1	29 พ.ย. 2016

ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver

ช่องโหว่การปฏิเสธการให้บริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0549	A-33818508	สูง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	20 ธ.ค. 2016
CVE-2017-0550	A-33933140	สูง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google
CVE-2017-0551	A-34097231 [2]	สูง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google
CVE-2017-0552	A-34097915	สูง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ใน libnl

ช่องโหว่การยกระดับสิทธิ์ใน libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของบริการ Wi-Fi ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน และได้รับการบรรเทาโดยการกําหนดค่าแพลตฟอร์มปัจจุบัน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0553	A-32342065	ปานกลาง	ทั้งหมด	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	21 ต.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในการสื่อสารทางโทรศัพท์

ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์โทรศัพท์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงความสามารถที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงความสามารถที่ยกระดับ ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0554	A-33815946 [2]	ปานกลาง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	20 ธ.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0555	A-33551775	ปานกลาง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	12 ธ.ค. 2016
CVE-2017-0556	A-34093952	ปานกลาง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	4 ม.ค. 2017
CVE-2017-0557	A-34093073	ปานกลาง	ทั้งหมด	6.0, 6.0.1, 7.0, 7.1.1	4 ม.ค. 2017
CVE-2017-0558	A-34056274	ปานกลาง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน libskia

ช่องโหว่การเปิดเผยข้อมูลใน libskia อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0559	A-33897722	ปานกลาง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	25 ธ.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในการรีเซ็ตเป็นค่าเริ่มต้น

ช่องโหว่ในการเปิดเผยข้อมูลในกระบวนการรีเซ็ตเป็นค่าเริ่มต้นอาจทำให้ผู้โจมตีที่เป็นอันตรายในพื้นที่เข้าถึงข้อมูลจากเจ้าของคนก่อนได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากมีแนวโน้มที่จะข้ามการป้องกันของอุปกรณ์

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0560	A-30681079	ปานกลาง	ทั้งหมด	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	ภายในของ Google

ระดับแพตช์ความปลอดภัยของวันที่ 05-04-2017 - รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 2017-04-05 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Google ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเฟิร์มแวร์ Wi-Fi ของ Broadcom

ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในเฟิร์มแวร์ Wi-Fi ของ Broadcom อาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของ SoC ของ Wi-Fi ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการดำเนินการกับโค้ดจากระยะไกลในบริบทของ SoC ของ Wi-Fi

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0561	A-34199105* B-RB#110814	วิกฤต	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 ม.ค. 2017

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ใน เว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

การดำเนินการกับโค้ดจากระยะไกล ช่องโหว่ในไดรเวอร์เครื่องมือเข้ารหัสของ Qualcomm

ช่องโหว่การดำเนินการกับโค้ดจากระยะไกลในไดรเวอร์เครื่องมือเข้ารหัสของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการดำเนินการโค้ดจากระยะไกลในบริบทของเคิร์กเนล

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10230	A-34389927 QC-CR#1091408	วิกฤต	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	10 ม.ค. 2017

ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนล

ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีระยะไกลสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการดำเนินการโค้ดจากระยะไกลในบริบทของเคิร์กเนล

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10229	A-32813456 เคอร์เนลจาก upstream	วิกฤต	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One และ Nexus Player	ภายในของ Google

การยกระดับสิทธิ์ ช่องโหว่ในไดรเวอร์หน้าจอสัมผัสของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัสของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0562	A-30202425* M-ALPS02898189	สำคัญ*	ไม่มี**	16 ก.ค. 2016

** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส HTC

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0563	A-32089409*	วิกฤต	Nexus 9	9 ต.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในระบบย่อย ION ของเคอร์เนล

ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อย ION ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0564	A-34276203*	วิกฤต	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One และ Nexus Player	12 ม.ค. 2017

ช่องโหว่ในคอมโพเนนต์ของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ Qualcomm และมีคำอธิบายเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยของ Qualcomm AMSS เดือนตุลาคม 2016

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10237	A-31628601** QC-CR#1046751	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2016-10238	A-35358527** QC-CR#1042558	วิกฤต	ไม่มี***	ภายใน Qualcomm
CVE-2016-10239	A-31624618** QC-CR#1032929	สูง	Pixel, Pixel XL	ภายใน Qualcomm

* ระดับความรุนแรงของช่องโหว่เหล่านี้กำหนดโดยผู้ให้บริการ

*** อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลใน v8

ช่องโหว่การดำเนินการกับโค้ดจากระยะไกลใน v8 อาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเสี่ยงที่จะมีการดำเนินการกับโค้ดจากระยะไกลในเว็บไซต์

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-5129	A-29178923	สูง	ไม่มี*	6.0, 6.0.1, 7.0	20 ก.ค. 2016

* อุปกรณ์ Google ที่รองรับใน Android 7.0 ขึ้นไปซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype

ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน Freetype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องโหลดแบบอักษรที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการดำเนินการโค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	เวอร์ชัน AOSP ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10244	A-31470908	สูง	ไม่มี*	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0	13 ก.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยเสียงเคอร์เนล

ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-4656	A-34464977 เคอร์เนลจาก upstream	สูง	Nexus 6, Nexus Player	26 มิถุนายน 2014

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์คริปโตของ NVIDIA

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์การเข้ารหัสของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัล ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0339	A-27930566* N-CVE-2017-0339	สูง	Nexus 9	29 มี.ค. 2016
CVE-2017-0332	A-33812508* N-CVE-2017-0332	สูง	Nexus 9	21 ธ.ค. 2016
CVE-2017-0327	A-33893669* N-CVE-2017-0327	สูง	Nexus 9	24 ธ.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดร์เวอร์ควบคุมความร้อนของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ความร้อนของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0565	A-28175904* M-ALPS02696516	สูง	ไม่มี**	11 เมษายน 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0566	A-28470975* M-ALPS02696367	สูง	ไม่มี**	29 เม.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0567	A-32125310* B-RB#112575	สูง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	12 ต.ค. 2016
CVE-2017-0568	A-34197514* B-RB#112600	สูง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 ม.ค. 2017
CVE-2017-0569	A-34198729* B-RB#110666	สูง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 ม.ค. 2017
CVE-2017-0570	A-34199963* B-RB#110688	สูง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 ม.ค. 2017
CVE-2017-0571	A-34203305* B-RB#111541	สูง	Nexus 6, Nexus 6P, Pixel C, Nexus Player	9 ม.ค. 2017
CVE-2017-0572	A-34198931* B-RB#112597	สูง	ไม่มี**	9 ม.ค. 2017
CVE-2017-0573	A-34469904* B-RB#91539	สูง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	18 ม.ค. 2017
CVE-2017-0574	A-34624457* B-RB#113189	สูง	Nexus 6, Nexus 6P, Nexus 9, Pixel C	22 ม.ค. 2017

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0575	A-32658595* QC-CR#1103099	สูง	Nexus 5X, Pixel, Pixel XL	3 พ.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ HID ของ NVIDIA I2C

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ NVIDIA I2C HID อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0325	A-33040280* N-CVE-2017-0325	สูง	Nexus 9, Pixel C	20 พ.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมเสียง Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0454	A-33353700 QC-CR#1104067	สูง	Nexus 5X, Nexus 6P, Pixel, Pixel XL	5 ธ.ค. 2016

การยกระดับสิทธิ์ ช่องโหว่ในไดรเวอร์เครื่องมือเข้ารหัสของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เครื่องมือเข้ารหัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0576	A-33544431 QC-CR#1103089	สูง	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	9 ธ.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส HTC

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0577	A-33842951*	สูง	ไม่มี**	21 ธ.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมเสียง DTS

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง DTS อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนล ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0578	A-33964406*	สูง	ไม่มี**	28 ธ.ค. 2016

การยกระดับสิทธิ์ ช่องโหว่ในไดรเวอร์ตัวแปลงรหัสเสียง Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ตัวแปลงรหัสเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10231	A-33966912 QC-CR#1096799	สูง	Pixel, Pixel XL	29 ธ.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0579	A-34125463* QC-CR#1115406	สูง	Nexus 5X, Nexus 6P, Pixel, Pixel XL	5 ม.ค. 2017
CVE-2016-10232	A-34386696 QC-CR#1024872 [2]	สูง	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	10 ม.ค. 2017
CVE-2016-10233	A-34389926 QC-CR#897452	สูง	ไม่มี**	10 ม.ค. 2017

ช่องโหว่ด้านการเพิ่มสิทธิ์ในไดรเวอร์ของโปรเซสเซอร์การจัดการพลังงานและการบูตของ NVIDIA

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์โปรเซสเซอร์การจัดการพลังงานและการบูตของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของโปรเซสเซอร์การจัดการพลังงานและการบูต ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0329	A-34115304* N-CVE-2017-0329	สูง	Pixel C	5 ม.ค. 2017

การยกระดับสิทธิ์ ช่องโหว่ในไดรเวอร์หน้าจอสัมผัส Synaptics

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0580	A-34325986*	สูง	ไม่มี**	16 ม.ค. 2017
CVE-2017-0581	A-34614485*	สูง	ไม่มี**	22 ม.ค. 2017

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Qualcomm Seemp

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Qualcomm Seemp อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0462	A-33353601 QC-CR#1102288	สูง	Pixel, Pixel XL	ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Qualcomm Kyro L2

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Qualcomm Kyro L2 อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-6423	A-32831370 QC-CR#1103158	สูง	Pixel, Pixel XL	ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-9922	A-32761463 เคอร์เนลจาก upstream	สูง	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	24 ต.ค. 2014

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยหน่วยความจําเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-0206	A-34465735 เคอร์เนล Upstream	สูง	Nexus 6, Nexus Player	6 พฤษภาคม 2014

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนล

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-3145	A-34469585 เคอร์เนลจาก upstream [2]	สูง	Nexus 6, Nexus Player	9 พฤษภาคม 2014

ช่องโหว่การเปิดเผยข้อมูลใน Qualcomm TrustZone

ช่องโหว่การเปิดเผยข้อมูลใน Qualcomm TrustZone อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-5349	A-29083830 QC-CR#1021945 [2] [3] [4]	สูง	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	1 มิ.ย. 2016

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ IPA ของ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ IPA ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10234	A-34390017 QC-CR#1069060 [2]	สูง	Nexus 5X, Nexus 6P, Pixel, Pixel XL	10 ม.ค. 2017

ช่องโหว่การปฏิเสธการให้บริการในระบบย่อยเครือข่ายเคอร์เนล

ช่องโหว่การปฏิเสธบริการในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีระยะไกลสามารถใช้แพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-2706	A-34160553 เคอร์เนล Upstream	สูง	Nexus Player	1 เมษายน 2014

ช่องโหว่การปฏิเสธการให้บริการในไดรเวอร์ Wi-Fi ของ Qualcomm

ช่องโหว่การปฏิเสธการให้บริการในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียงสามารถทำให้เกิดการปฏิเสธการให้บริการในระบบย่อย Wi-Fi ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10235	A-34390620 QC-CR#1046409	สูง	ไม่มี**	10 ม.ค. 2017

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองนอกระดับสิทธิ์ของแอปพลิเคชัน ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ในขั้นต้น และได้รับการบรรเทาโดยการกําหนดค่าแพลตฟอร์มปัจจุบัน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-7097	A-32458736 เคอร์เนล Upstream	ปานกลาง	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player	28 สิงหาคม 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากประการแรกต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ และเนื่องจากรายละเอียดที่เฉพาะเจาะจงของช่องโหว่ซึ่งจำกัดผลกระทบของปัญหา

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-6424	A-32086742 QC-CR#1102648	ปานกลาง	Nexus 5X, Pixel, Pixel XL, Android One	9 ต.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์และได้รับการบรรเทาโดยการกำหนดค่าแพลตฟอร์มปัจจุบัน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-8465	A-32474971* B-RB#106053	ปานกลาง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	27 ต.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในคำสั่ง fastboot ของ OEM HTC

ช่องโหว่การยกระดับสิทธิ์ในคำสั่ง Fastboot ของ OEM ของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของฮับเซ็นเซอร์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการใช้ประโยชน์จากช่องโหว่แยกต่างหากก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0582	A-33178836*	ปานกลาง	Nexus 9	28 พ.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์การเข้าถึง CP ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์การเข้าถึง CP ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากประการแรกต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ และเนื่องจากรายละเอียดที่เฉพาะเจาะจงของช่องโหว่ซึ่งจำกัดผลกระทบของปัญหา

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0583	A-32068683 QC-CR#1103788	ปานกลาง	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์สื่อเคอร์เนล

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์สื่อเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-1739	A-34460642 เคอร์เนล Upstream	ปานกลาง	Nexus 6, Nexus 9, Nexus Player	15 มิ.ย. 2014

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0584	A-32074353* QC-CR#1104731	ปานกลาง	Nexus 5X, Pixel, Pixel XL	9 ต.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ Broadcom

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ Broadcom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0585	A-32475556* B-RB#112953	ปานกลาง	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	27 ต.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Avtimer ของ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Avtimer ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-5346	A-32551280 QC-CR#1097878	ปานกลาง	Pixel, Pixel XL	29 ต.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมวิดีโอ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมวิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-6425	A-32577085 QC-CR#1103689	ปานกลาง	Pixel, Pixel XL	29 ต.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ USB ของ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ USB ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2016-10236	A-33280689 QC-CR#1102418	ปานกลาง	Pixel, Pixel XL	30 พ.ย. 2016

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมเสียง Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0586	A-33649808 QC-CR#1097569	ปานกลาง	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	13 ธ.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ SPMI ของ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ SPMI ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-6426	A-33644474 QC-CR#1106842	ปานกลาง	Pixel, Pixel XL	14 ธ.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์คริปโตของ NVIDIA

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์การเข้ารหัสของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2017-0328	A-33898322* N-CVE-2017-0328	ปานกลาง	ไม่มี**	24 ธ.ค. 2016
CVE-2017-0330	A-33899858* N-CVE-2017-0330	ปานกลาง	ไม่มี**	24 ธ.ค. 2016

ช่องโหว่ในคอมโพเนนต์ของ Qualcomm

ช่องโหว่เหล่านี้ที่ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm ได้รับการเผยแพร่แล้วในกระดานข่าวสารด้านความปลอดภัยของ AMSS ของ Qualcomm ระหว่างปี 2014-2016 ซึ่งจะรวมอยู่ในกระดานข่าวสารด้านความปลอดภัยของ Android ฉบับนี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android

CVE	ข้อมูลอ้างอิง	ความรุนแรง	อุปกรณ์ Google ที่อัปเดตแล้ว	วันที่รายงาน
CVE-2014-9931	A-35445101**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2014-9932	A-35434683**	วิกฤต	Pixel, Pixel XL	ภายใน Qualcomm
CVE-2014-9933	A-35442512**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2014-9934	A-35439275**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2014-9935	A-35444951**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2014-9936	A-35442420**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2014-9937	A-35445102**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-8995	A-35445002**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-8996	A-35444658**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-8997	A-35432947**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-8998	A-35441175**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-8999	A-35445401**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-9000	A-35441076**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-9001	A-35445400**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-9002	A-35442421**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2015-9003	A-35440626**	วิกฤต	ไม่มี**	ภายใน Qualcomm
CVE-2016-10242	A-35434643**	วิกฤต	ไม่มี**	ภายใน Qualcomm

* ระดับความรุนแรงของช่องโหว่เหล่านี้กำหนดโดยผู้ให้บริการ

** การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ใน เว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านวิธีการในกำหนดการอัปเดตของ Pixel และ Nexus

ระดับแพตช์ความปลอดภัยของวันที่ 01-04-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 01-04-2017
ระดับแพตช์ความปลอดภัยของวันที่ 05-04-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-04-2017 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงการแก้ไขเป็น

[ro.build.version.security_patch]:[2017-04-01]
[ro.build.version.security_patch]:[2017-04-05]

2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ

กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด

อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัยของวันที่ 1 เมษายน 2017 จะต้องแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 เมษายน 2017 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)

เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในอัปเดตเดียว

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google เครื่องใดได้รับผลกระทบจากปัญหาแต่ละข้อ

ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยของวันที่ 01-04-2017 และ 05-04-2017 แต่ละตารางจะมีคอลัมน์อุปกรณ์ Google ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับปัญหาแต่ละรายการ คอลัมน์นี้มีตัวเลือก 2-3 รายการดังนี้

อุปกรณ์ Google ทั้งหมด: หากปัญหาส่งผลกระทบต่ออุปกรณ์ทั้งหมดและ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์อุปกรณ์ Google ที่อัปเดตแล้ว "ทั้งหมด" จะรวมอุปกรณ์ที่รองรับต่อไปนี้ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
อุปกรณ์ Google บางรุ่น: หากปัญหาไม่ได้ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์อุปกรณ์ Google ที่อัปเดตแล้ว
ไม่มีอุปกรณ์ Google: หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์อุปกรณ์ Google ที่อัปเดตแล้ว

4. รายการในคอลัมน์ข้อมูลอ้างอิงแมปกับอะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าเหล่านี้จะแมปดังนี้

คำนำหน้า	ข้อมูลอ้างอิง
A-	รหัสข้อบกพร่องของ Android
QC-	หมายเลขอ้างอิงของ Qualcomm
M-	หมายเลขอ้างอิง MediaTek
N-	หมายเลขอ้างอิงของ NVIDIA
B-	หมายเลขอ้างอิงของ Broadcom

การแก้ไข

3 เมษายน 2017: เผยแพร่กระดานข่าวสาร
5 เมษายน 2017: แก้ไขกระดานข่าวสารเพื่อใส่ลิงก์ AOSP
21 เมษายน 2017: แก้ไขการระบุแหล่งที่มาของ CVE-2016-10231 และ CVE-2017-0586
27 เมษายน 2017: นำ CVE-2017-0540 ออกจากกระดานข่าวสาร
17 สิงหาคม 2017: แก้ไขกระดานข่าวสารเพื่ออัปเดตหมายเลขอ้างอิง