發表於 2017 年 5 月 1 日 |更新於 2017 年 10 月 3 日
Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。除了該公告之外,我們還透過無線 (OTA) 更新發布了 Nexus 裝置的安全更新。 Google 裝置韌體映像也已發佈到Google Developer 網站。 2017 年 5 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。請參閱Pixel 和 Nexus 更新時間表,以了解如何檢查裝置的安全修補程式等級。
合作夥伴已於 2017 年 4 月 3 日或更早收到公告中所述的問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。
其中最嚴重的是一個嚴重的安全漏洞,在處理媒體文件時,該漏洞可能會透過電子郵件、網頁瀏覽和彩信等多種方法在受影響的裝置上遠端執行程式碼。嚴重性評估基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而被停用或成功繞過。
我們尚未收到有關客戶主動利用或濫用這些新報告問題的報告。有關Android 安全平台保護和服務保護(例如SafetyNet)的詳細信息,請參閱Android 和 Google 服務緩解措施部分,這些保護可提高 Android 平台的安全性。
我們鼓勵所有客戶接受對其設備的這些更新。
公告
- 此公告有兩個安全性修補程式等級字串,可讓 Android 合作夥伴靈活地更快地修復所有 Android 裝置上相似的漏洞子集。有關更多信息,請參閱常見問題和解答:
- 2017-05-01 :部分安全補丁等級字串。此安全性修補程式等級字串表示與 2017-05-01(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
- 2017-05-05 :完整的安全補丁等級字串。此安全性修補程式等級字串表示與 2017-05-01 和 2017-05-05(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
- 受支援的 Google 裝置將收到安全修補程式等級為 2017 年 5 月 5 日的單一 OTA 更新。
Android 和 Google 服務緩解措施
這是Android 安全平台和服務保護(例如 SafetyNet)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。
- 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
- Android 安全團隊透過Verify Apps 和SafetyNet積極監控濫用行為,旨在警告用戶潛在有害的應用程式。驗證應用程式在具有Google 行動服務的裝置上預設為啟用,對於從 Google Play 外部安裝應用程式的使用者尤其重要。 Google Play 中禁止裝置 Root 工具,但驗證應用程式會在使用者嘗試安裝偵測到的 Root 應用程式時向使用者發出警告,無論該應用程式來自何處。此外,驗證應用程式會嘗試識別並阻止安裝利用權限提升漏洞的已知惡意應用程式。如果已經安裝了此類應用程序,請驗證應用程式將通知用戶並嘗試刪除檢測到的應用程式。
- 在適當的情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體傳遞到 Mediaserver 等進程。
致謝
我們要感謝這些研究人員的貢獻:
- 啟明星辰ADlab:CVE-2017-0630
- 騰訊 KeenLab ( @keen_lab ) 的 Di Shen ( @returnsme ):CVE-2016-10287
- 趨勢科技的 Eular Xu (徐健):CVE-2017-0599、CVE-2017-0635
- MS509Team的 En He ( @heeeeen4x ) 和 Bo Liu:CVE-2017-0601
- Team Win 復原專案的 Ethan Yonker:CVE-2017-0493
- Gengjia Chen ( @hengjia4574 ) 和奇虎 360 科技有限公司 IceSword Lab 的pjf :CVE-2016-10285、CVE-2016-10288、CVE-2016-10290、CVE-2017-0288、CVE-2016-10290、CVE-2017-0676-2016 2017-0617、CVE-2016-10294、CVE-2016-10295、CVE-2016-10296
- 騰訊電腦管家的 godzheng (鄭文選@VirtualSeekers ):CVE-2017-0602
- 伊利諾大學厄巴納-香檳分校的Güliz Seray Tuncay :CVE-2017-0593
- 奇虎360科技有限公司Alpha團隊的Hao Chen與Guangong:CVE-2016-10283
- 小米公司的 Juhu Nie、Yang Cheng、Nan Li 和 Qiwu Huang:CVE-2016-10276
- 米哈烏·貝德納爾斯基:CVE-2017-0598
- Tesla 產品安全團隊的 Nathan Crandall ( @natecray ):CVE-2017-0331、CVE-2017-0606
- Niky1235 ( @jiych_guru ): CVE-2017-0603
- 阿里巴巴行動安全事業部的 Peng Shaw、Chengming Yang、Ning You、Chao Yang 和 Yang Song:CVE-2016-10281、CVE-2016-10280
- Aleph Research的 Roee Hay ( @roeehay ):CVE-2016-10277
- 斯科特·鮑爾( @ScottyBauer1 ):CVE-2016-10274
- C0RE 團隊的Tong Lin 、 Yuan-Tsung Lo和 Xuxian Jiang:CVE-2016-10291
- 瓦西里·瓦西里耶夫:CVE-2017-0589
- 趨勢科技行動威脅反應團隊的 VEO ( @VYSEa ):CVE-2017-0590、CVE-2017-0587、CVE-2017-0600
- 騰訊安全平台部 Xiling Gong:CVE-2017-0597
- 360 Marvel 團隊的 Xingyuan Lin:CVE-2017-0627
- 阿里巴巴公司的王勇 ( @ThomasKing2014 ):CVE-2017-0588
- 奇虎 360 科技有限公司 IceSword 實驗室的 Yonggang Yue ( @guoygang ):CVE-2016-10289、CVE-2017-0465
- 奇虎 360 科技有限公司 Vulpecker 團隊的 Yu Pan:CVE-2016-10282、CVE-2017-0615
- 奇虎 360 科技有限公司 Vulpecker 團隊的 Yu Pan 與 Peide Zhang:CVE-2017-0618、CVE-2017-0625
2017-05-01 安全修補程式等級-漏洞詳情
在下面的部分中,我們提供了適用於 2017-05-01 修補程式等級的每個安全漏洞的詳細資訊。其中包含問題的描述、嚴重性原理以及包含 CVE、相關參考文獻、嚴重性、更新的 Google 設備、更新的 AOSP 版本(如果適用)和報告日期的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
Mediaserver 中的遠端程式碼執行漏洞
Mediaserver 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在媒體檔案和資料處理期間導致記憶體損壞。由於可能在 Mediaserver 進程的上下文中執行遠端程式碼,因此該問題被評為「嚴重」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 4 日 |
| CVE-2017-0588 | A-34618607 | 批判的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 21 日 |
| CVE-2017-0589 | A-34897036 | 批判的 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 1 日 |
| CVE-2017-0590 | A-35039946 | 批判的 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 6 日 |
| CVE-2017-0591 | A-34097672 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 谷歌內部 |
| CVE-2017-0592 | A-34970788 | 批判的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 谷歌內部 |
框架 API 中的提權漏洞
框架 API 中的提權漏洞可能使本機惡意應用程式能夠取得自訂權限。此問題被評為“高”,因為它是作業系統保護的一般繞過,可將應用程式資料與其他應用程式隔離。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 5 日 |
Mediaserver 中的提權漏洞
Mediaserver 中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。此問題被評為“高”,因為它可用於獲取對提升功能的本地訪問權限,而第三方應用程式通常無法存取這些功能。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 22 日 |
| CVE-2017-0595 | A-34705519 | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 24 日 |
| CVE-2017-0596 | A-34749392 | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 24 日 |
Audioserver 中的提權漏洞
Audioserver 中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。此問題被評為“高”,因為它可用於獲取對提升功能的本地訪問權限,而第三方應用程式通常無法存取這些功能。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 25 日 |
Framework API資訊外洩漏洞
框架 API 中的資訊外洩漏洞可能使本機惡意應用程式能夠繞過將應用程式資料與其他應用程式隔離的作業系統保護措施。此問題被評為“高”,因為它可用於獲取對應用程式無權存取的資料的存取權。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [ 2 ] | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 6 日 |
Mediaserver 中的拒絕服務漏洞
Mediaserver 中的遠端拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。由於有遠端拒絕服務的可能性,此問題的嚴重性被評為「高」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 23 日 |
| CVE-2017-0600 | A-35269635 | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 10 日 |
藍牙中的提權漏洞
藍牙中的提權漏洞可能使本機惡意應用程式能夠在未經用戶許可的情況下接受透過藍牙共享的有害檔案。由於本地繞過用戶互動要求,此問題被評為“中等”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | 緩和 | 全部 | 7.0、7.1.1、7.1.2 | 2017 年 2 月 9 日 |
基於文件的加密中的資訊外洩漏洞
基於檔案的加密中的資訊外洩漏洞可能使本地惡意攻擊者能夠繞過作業系統對鎖定螢幕的保護。由於可能繞過鎖定螢幕,此問題被評為“中等”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [ 2 ] [ 3 ] | 緩和 | 全部 | 7.0、7.1.1 | 2016 年 11 月 9 日 |
藍牙資訊外洩漏洞
藍牙中的資訊外洩漏洞可能允許本機惡意應用程式繞過將應用程式資料與其他應用程式隔離的作業系統保護措施。由於該漏洞的具體細節,該問題被評為“中等”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | 緩和 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 12 月 5 日 |
OpenSSL 和 BoringSSL 中的資訊外洩漏洞
OpenSSL 和 BoringSSL 中的資訊外洩漏洞可能使遠端攻擊者能夠存取敏感資訊。由於該漏洞的具體細節,該問題被評為“中等”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | 緩和 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 12 月 19 日 |
Mediaserver 中的拒絕服務漏洞
Mediaserver 中的拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。此問題被評為“中等”,因為它需要不常見的設備配置。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | 緩和 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 23 日 |
Mediaserver 中的拒絕服務漏洞
Mediaserver 中的遠端拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。由於該漏洞的具體細節,該問題的評級為“低”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | 低的 | 全部 | 7.0、7.1.1、7.1.2 | 2017 年 2 月 16 日 |
2017-05-05 安全修補程式等級-漏洞詳情
在下面的部分中,我們提供了適用於 2017-05-05 修補程式等級的每個安全漏洞的詳細資訊。其中包含問題的描述、嚴重性原理以及包含 CVE、相關參考文獻、嚴重性、更新的 Google 設備、更新的 AOSP 版本(如果適用)和報告日期的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
GIFLIB 中的遠端程式碼執行漏洞
GIFLIB 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在媒體檔案和資料處理期間導致記憶體損壞。由於可能在 Mediaserver 進程的上下文中執行遠端程式碼,因此該問題被評為「嚴重」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | 批判的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 4 月 13 日 |
MediaTek 觸控螢幕驅動程式中的提權漏洞
MediaTek 觸控螢幕驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 | 批判的 | 沒有任何** | 2016 年 7 月 16 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm 引導程式中的提權漏洞
Qualcomm 引導程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 | 批判的 | Nexus 5X、Nexus 6、Pixel、Pixel XL、Android One | 2016 年 9 月 13 日 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 | 批判的 | Nexus 5X、Nexus 6P、像素、像素 XL | 2016 年 11 月 16 日 |
核心聲音子系統中的提權漏洞
核心聲音子系統中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 上游內核 | 批判的 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus 播放器 | 2016 年 12 月 3 日 |
Motorola 引導程式中的提權漏洞
Motorola 引導程式中的提權漏洞可能使本機惡意應用程式能夠在引導程式的上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* | 批判的 | Nexus 6 | 2016 年 12 月 21 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
NVIDIA 視訊驅動程式中的提權漏洞
NVIDIA 視訊驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 | 批判的 | Nexus 9 | 2017 年 1 月 4 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Qualcomm 電源驅動程式中的提權漏洞
核心 Qualcomm 電源驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 | 批判的 | 沒有任何* | 2017 年 2 月 15 日 |
* 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
高通組件中的漏洞
這些漏洞影響 Qualcomm 組件,並在 Qualcomm AMSS 2016 年 8 月、9 月、10 月和 12 月安全公告中進行了更詳細的描述。
| CVE | 參考 | 嚴重程度* | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 | 批判的 | Nexus 6P | 高通內部 |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 | 批判的 | Nexus 5X、Nexus 6、Nexus 6P、像素、像素 XL | 高通內部 |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 | 高的 | 像素、像素XL | 高通內部 |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 | 高的 | 像素、像素XL | 高通內部 |
* 這些漏洞的嚴重性評級由供應商決定。
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
libxml2 中的遠端程式碼執行漏洞
libxml2 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在非特權程序的上下文中執行任意程式碼。由於使用此庫的應用程式中可能存在遠端程式碼執行,因此該問題被評為“高”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | 高的 | 沒有任何** | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | 2016 年 7 月 23 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
MediaTek 熱驅動程式中的提權漏洞
MediaTek 熱驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 | 高的 | 沒有任何** | 2016 年 4 月 11 日 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 | 高的 | 沒有任何** | 2016 年 4 月 11 日 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 | 高的 | 沒有任何** | 2016 年 12 月 27 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm Wi-Fi 驅動程式中的提權漏洞
Qualcomm Wi-Fi 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 | 高的 | Nexus 5X、Pixel、Pixel XL、Android One | 2016 年 10 月 11 日 |
Qualcomm 視訊驅動程式中的提權漏洞
Qualcomm 視訊驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 10 月 24 日 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 | 高的 | 像素、像素XL | 2016 年 12 月 19 日 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 | 高的 | 像素、像素XL | 2017 年 2 月 15 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
核心效能子系統中的提權漏洞
核心效能子系統中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 上游內核 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus 播放器 | 2016 年 11 月 23 日 |
Qualcomm 聲音驅動程式中的提權漏洞
Qualcomm 聲音驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 | 高的 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 20 日 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 | 高的 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 3 日 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 | 高的 | 像素、像素XL | 2017 年 1 月 22 日 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 | 高的 | 沒有任何* | 2017 年 2 月 15 日 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 | 高的 | 像素、像素XL | 2017 年 2 月 15 日 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 | 高的 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 | 高的 | 沒有任何* | 2017 年 2 月 15 日 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 | 高的 | 沒有任何* | 2017 年 2 月 15 日 |
* 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm LED 驅動器中的提權漏洞
Qualcomm LED 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 | 高的 | 像素、像素XL | 2016 年 12 月 23 日 |
Qualcomm 加密驅動程式中的提權漏洞
Qualcomm 加密驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 24 日 |
Qualcomm 共享記憶體驅動程式中的提權漏洞
Qualcomm 共享記憶體驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 | 高的 | Nexus 5X、Nexus 6P、像素、像素 XL | 2016 年 12 月 24 日 |
Qualcomm Slimbus 驅動程式中的提權漏洞
Qualcomm Slimbus 驅動程式中的提權漏洞可讓本機惡意應用程式在核心情境中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Android One | 2016 年 12 月 31 日 |
Qualcomm ADSPRPC 驅動程式中的提權漏洞
Qualcomm ADSPRPC 驅動程式中的提權漏洞可讓本機惡意應用程式在核心情境中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 | 高的 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 5 日 |
Qualcomm 安全執行環境 Communicator 驅動程式中的提權漏洞
Qualcomm 安全執行環境通訊器驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 | 高的 | 像素、像素XL | 2017 年 1 月 10 日 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
MediaTek 電源驅動程式中的提權漏洞
MediaTek 電源驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 | 高的 | 沒有任何** | 2017 年 1 月 12 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
MediaTek 系統管理中斷驅動程式中的提權漏洞
MediaTek 系統管理中斷驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 | 高的 | 沒有任何** | 2017 年 1 月 19 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
MediaTek 視訊驅動程式中的提權漏洞
MediaTek 視訊驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 | 高的 | 沒有任何** | 2017 年 1 月 19 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
MediaTek 命令佇列驅動程式中的提權漏洞
MediaTek 命令佇列驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 | 高的 | 沒有任何** | 2017 年 2 月 7 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm pin 控制器驅動程式中的提權漏洞
Qualcomm pin 控制器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 | 高的 | Nexus 6、安卓一號 | 2017 年 2 月 15 日 |
Qualcomm 安全通道管理器驅動程式中的提權漏洞
Qualcomm 安全通道管理器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm 聲音編解碼器驅動程式中的提權漏洞
Qualcomm 聲音編解碼器驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 | 高的 | 像素、像素XL | 2017 年 2 月 15 日 |
內核電壓調節器驅動程式中的提權漏洞
核心電壓調節器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 上游內核 | 高的 | Nexus 6、Nexus 9、Pixel C、Android One、Nexus 播放器 | 2017 年 2 月 15 日 |
Qualcomm 相機驅動程式中的提權漏洞
Qualcomm 相機驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 | 高的 | 安卓一號 | 2017 年 2 月 15 日 |
Qualcomm 網路驅動程式中的提權漏洞
Qualcomm 網路驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 | 高的 | Nexus 5X、像素、像素 XL | 2017 年 2 月 15 日 |
內核網路子系統中的提權漏洞
核心網路子系統中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 上游內核[2] | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Android One | 2017 年 3 月 23 日 |
Goodix 觸控螢幕驅動程式中的提權漏洞
Goodix 觸控螢幕驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 | 高的 | 安卓一號 | 谷歌內部 |
HTC 開機載入程式中的提權漏洞
HTC 引導程式中的提權漏洞可能使本機惡意應用程式能夠在引導程式的上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* | 高的 | 像素、像素XL | 谷歌內部 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
高通Wi-Fi驅動程式存在資訊外洩漏洞
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 | 高的 | Nexus 5X、像素、像素 XL | 2017 年 1 月 16 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
MediaTek 命令佇列驅動程式中存在資訊外洩漏洞
MediaTek 命令佇列驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 | 高的 | 沒有任何** | 2017 年 2 月 8 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
高通加密引擎驅動程式存在資訊外洩漏洞
Qualcomm 加密引擎驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm Wi-Fi 驅動程式中的拒絕服務漏洞
Qualcomm Wi-Fi 驅動程式中的拒絕服務漏洞可能使鄰近的攻擊者能夠在 Wi-Fi 子系統中造成拒絕服務。由於遠端拒絕服務的可能性,此問題被評為“高”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 | 高的 | Nexus 5X、像素、像素 XL | 2016 年 12 月 16 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
內核UVC驅動程式資訊外洩漏洞
核心 UVC 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* | 緩和 | Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus 播放器 | 2016 年 12 月 2 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
高通視訊驅動程式存在資訊外洩漏洞
Qualcomm 視訊驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 | 緩和 | Nexus 5X、Nexus 6P、Android One | 2016 年 12 月 4 日 |
高通電源驅動程式中的資訊外洩漏洞(特定於設備)
Qualcomm 電源驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 | 緩和 | Nexus 5X、Nexus 6P、像素、像素 XL | 2016 年 12 月 14 日 |
高通 LED 驅動器資訊外洩漏洞
Qualcomm LED 磁碟機中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 | 緩和 | 像素、像素XL | 2016 年 12 月 20 日 |
高通共享記憶體驅動程式資訊外洩漏洞
Qualcomm 共享記憶體驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 | 緩和 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 22 日 |
高通攝影機驅動程式資訊外洩漏洞
高通攝影機驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 | 緩和 | Nexus 5X、Nexus 6、像素、像素 XL | 2017 年 1 月 10 日 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 | 緩和 | Nexus 5X、Nexus 6、像素、像素 XL | 2017 年 2 月 8 日 |
核心追蹤子系統資訊外洩漏洞
核心追蹤子系統中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限層級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* | 緩和 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus 播放器 | 2017 年 1 月 11 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
高通聲音編解碼器驅動程式中的資訊外洩漏洞
Qualcomm 聲音編解碼器驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] | 緩和 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
高通攝影機驅動程式資訊外洩漏洞
高通攝影機驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 | 緩和 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
高通聲音驅動程式資訊外洩漏洞
Qualcomm 聲音驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 | 緩和 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
高通 SPCom 驅動程式中資訊外洩的漏洞
Qualcomm SPCom 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 | 緩和 | 沒有任何* | 2017 年 2 月 15 日 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 | 緩和 | 沒有任何* | 2017 年 2 月 15 日 |
* 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
高通聲音編解碼器驅動程式中的資訊外洩漏洞
Qualcomm 聲音編解碼器驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 | 緩和 | 安卓一號 | 2017 年 2 月 15 日 |
Broadcom Wi-Fi 驅動程式中資訊外洩的漏洞
Broadcom Wi-Fi 驅動程式中的資訊外洩漏洞可能使本機惡意元件能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 | 緩和 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus 播放器 | 2017 年 2 月 23 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Synaptics觸控螢幕驅動程式中的資訊外洩漏洞
Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* | 緩和 | 像素、像素XL | 谷歌內部 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
高通組件中的漏洞
這些影響 Qualcomm 組件的漏洞是在 2014 年至 2016 年期間作為 Qualcomm AMSS 安全公告的一部分發布的。它們包含在此 Android 安全性公告中,以將其修復與 Android 安全性修補程式等級相關聯。
| CVE | 參考 | 嚴重程度* | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9924 | A-35434631** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9925 | A-35444657** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9926 | A-35433784** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9927 | A-35433785** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9928 | A-35438623** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9929 | A-35443954** QC-CR#644783 | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9930 | A-35432946** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2015-9005 | A-36393500** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2015-9006 | A-36393450** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2015-9007 | A-36393700** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2016-10297 | A-36393451** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2014-9941 | A-36385125** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9942 | A-36385319** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9943 | A-36385219** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9944 | A-36384534** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9945 | A-36386912** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9946 | A-36385281** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9947 | A-36392400** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9948 | A-36385126** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9949 | A-36390608** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9950 | A-36385321** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9951 | A-36389161** | 高的 | 沒有任何*** | 高通內部 |
| CVE-2014-9952 | A-36387019** | 高的 | 沒有任何*** | 高通內部 |
* 這些漏洞的嚴重性評級由供應商決定。
** 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
*** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。
常見問題及解答
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的裝置是否已更新以解決這些問題?
若要了解如何檢查裝置的安全修補程式級別,請閱讀Pixel 和 Nexus 更新計畫上的說明。
- 2017-05-01 或更高版本的安全性修補程式等級解決了與 2017-05-01 安全性修補程式等級相關的所有問題。
- 2017-05-05 或更高版本的安全性修補程式等級解決了與 2017-05-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。
包含這些更新的裝置製造商應將補丁字串層級設定為:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. 為什麼本公告有兩個安全修補程式等級?
此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。
- 使用 2017 年 5 月 1 日安全修補程式等級的裝置必須包含與該安全修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復。
- 使用 2017 年 5 月 5 日或更高版本安全性修補程式層級的裝置必須包含本(和先前)安全性公告中的所有適用修補程式。
我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。
3. 如何確定哪些 Google 裝置受到每個問題的影響?
在2017-05-01和2017-05-05安全漏洞詳細資料部分中,每個表格都有一個「更新的 Google 裝置」列,涵蓋針對每個問題更新的受影響 Google 裝置的範圍。此欄有幾個選項:
- 所有 Google 設備:如果問題影響所有和 Pixel 設備,則該表的「更新的 Google 設備」列中將顯示「所有」。 「全部」封裝了以下支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
- 某些 Google 設備:如果問題並未影響所有 Google 設備,則受影響的 Google 裝置將列在「更新的 Google 裝置」欄位中。
- 無 Google 裝置:如果沒有執行 Android 7.0 的 Google 裝置受此問題影響,則該表的「更新的 Google 裝置」欄位中將顯示「無」。
4. 參考文獻欄的條目對應什麼?
漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。這些前綴映射如下:
| 字首 | 參考 |
|---|---|
| A- | 安卓錯誤 ID |
| QC- | 高通參考號 |
| M- | 聯發科參考號 |
| N- | NVIDIA 參考號 |
| B- | 博通參考號 |
修訂
- 2017 年 5 月 1 日:發佈公告。
- 2017 年 5 月 2 日:公告經過修訂,包含 AOSP 連結。
- 2017 年 8 月 10 日:公告經過修訂,包含 CVE-2017-0493 的附加 AOSP 連結。
- 2017 年 8 月 17 日:修訂公告以更新參考號碼。
- 2017 年 10 月 3 日:修訂公告以刪除 CVE-2017-0605。