Android 安全性公告 - 2017 年 5 月

發表於 2017 年 5 月 1 日 |更新於 2017 年 10 月 3 日

Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。除了該公告之外,我們還透過無線 (OTA) 更新發布了 Nexus 裝置的安全更新。 Google 裝置韌體映像也已發佈到Google Developer 網站。 2017 年 5 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。請參閱Pixel 和 Nexus 更新時間表,以了解如何檢查裝置的安全修補程式等級。

合作夥伴已於 2017 年 4 月 3 日或更早收到公告中所述的問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。

其中最嚴重的是一個嚴重的安全漏洞,在處理媒體文件時,該漏洞可能會透過電子郵件、網頁瀏覽和彩信等多種方法在受影響的裝置上遠端執行程式碼。嚴重性評估基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而被停用或成功繞過。

我們尚未收到有關客戶主動利用或濫用這些新報告問題的報告。有關Android 安全平台保護和服務保護(例如SafetyNet)的詳細信息,請參閱Android 和 Google 服務緩解措施部分,這些保護可提高 Android 平台的安全性。

我們鼓勵所有客戶接受對其設備的這些更新。

公告

  • 此公告有兩個安全性修補程式等級字串,可讓 Android 合作夥伴靈活地更快地修復所有 Android 裝置上相似的漏洞子集。有關更多信息,請參閱常見問題和解答
    • 2017-05-01 :部分安全補丁等級字串。此安全性修補程式等級字串表示與 2017-05-01(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
    • 2017-05-05 :完整的安全補丁等級字串。此安全性修補程式等級字串表示與 2017-05-01 和 2017-05-05(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
  • 受支援的 Google 裝置將收到安全修補程式等級為 2017 年 5 月 5 日的單一 OTA 更新。

Android 和 Google 服務緩解措施

這是Android 安全平台和服務保護(例如 SafetyNet)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。

  • 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
  • Android 安全團隊透過Verify Apps 和SafetyNet積極監控濫用行為,旨在警告用戶潛在有害的應用程式。驗證應用程式在具有Google 行動服務的裝置上預設為啟用,對於從 Google Play 外部安裝應用程式的使用者尤其重要。 Google Play 中禁止裝置 Root 工具,但驗證應用程式會在使用者嘗試安裝偵測到的 Root 應用程式時向使用者發出警告,無論該應用程式來自何處。此外,驗證應用程式會嘗試識別並阻止安裝利用權限提升漏洞的已知惡意應用程式。如果已經安裝了此類應用程序,請驗證應用程式將通知用戶並嘗試刪除檢測到的應用程式。
  • 在適當的情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體傳遞到 Mediaserver 等進程。

致謝

我們要感謝這些研究人員的貢獻:

  • 啟明星辰ADlab:CVE-2017-0630
  • 騰訊 KeenLab ( @keen_lab ) 的 Di Shen ( @returnsme ):CVE-2016-10287
  • 趨勢科技的 Eular Xu (徐健):CVE-2017-0599、CVE-2017-0635
  • MS509Team的 En He ( @heeeeen4x ) 和 Bo Liu:CVE-2017-0601
  • Team Win 復原專案的 Ethan Yonker:CVE-2017-0493
  • Gengjia Chen ( @hengjia4574 ) 和奇虎 360 科技有限公司 IceSword Lab 的pjf :CVE-2016-10285、CVE-2016-10288、CVE-2016-10290、CVE-2017-0288、CVE-2016-10290、CVE-2017-0676-2016 2017-0617、CVE-2016-10294、CVE-2016-10295、CVE-2016-10296
  • 騰訊電腦管家的 godzheng (鄭文選@VirtualSeekers ):CVE-2017-0602
  • 伊利諾大學厄巴納-香檳分校Güliz Seray Tuncay :CVE-2017-0593
  • 奇虎360科技有限公司Alpha團隊的Hao Chen與Guangong:CVE-2016-10283
  • 小米公司的 Juhu Nie、Yang Cheng、Nan Li 和 Qiwu Huang:CVE-2016-10276
  • 米哈烏·貝德納爾斯基:CVE-2017-0598
  • Tesla 產品安全團隊的 Nathan Crandall ( @natecray ):CVE-2017-0331、CVE-2017-0606
  • Niky1235 ( @jiych_guru ): CVE-2017-0603
  • 阿里巴巴行動安全事業部的 Peng Shaw、Chengming Yang、Ning You、Chao Yang 和 Yang Song:CVE-2016-10281、CVE-2016-10280
  • Aleph Research的 Roee Hay ( @roeehay ):CVE-2016-10277
  • 斯科特·鮑爾( @ScottyBauer1 ):CVE-2016-10274
  • C0RE 團隊Tong LinYuan-Tsung Lo和 Xuxian Jiang:CVE-2016-10291
  • 瓦西里·瓦西里耶夫:CVE-2017-0589
  • 趨勢科技行動威脅反應團隊的 VEO ( @VYSEa ):CVE-2017-0590、CVE-2017-0587、CVE-2017-0600
  • 騰訊安全平台部 Xiling Gong:CVE-2017-0597
  • 360 Marvel 團隊的 Xingyuan Lin:CVE-2017-0627
  • 阿里巴巴公司的王勇 ( @ThomasKing2014 ):CVE-2017-0588
  • 奇虎 360 科技有限公司 IceSword 實驗室的 Yonggang Yue ( @guoygang ):CVE-2016-10289、CVE-2017-0465
  • 奇虎 360 科技有限公司 Vulpecker 團隊的 Yu Pan:CVE-2016-10282、CVE-2017-0615
  • 奇虎 360 科技有限公司 Vulpecker 團隊的 Yu Pan 與 Peide Zhang:CVE-2017-0618、CVE-2017-0625

2017-05-01 安全修補程式等級-漏洞詳情

在下面的部分中,我們提供了適用於 2017-05-01 修補程式等級的每個安全漏洞的詳細資訊。其中包含問題的描述、嚴重性原理以及包含 CVE、相關參考文獻、嚴重性、更新的 Google 設備、更新的 AOSP 版本(如果適用)和報告日期的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。

Mediaserver 中的遠端程式碼執行漏洞

Mediaserver 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在媒體檔案和資料處理期間導致記憶體損壞。由於可能在 Mediaserver 進程的上下文中執行遠端程式碼,因此該問題被評為「嚴重」。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0587 A-35219737批判的全部6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 4 日
CVE-2017-0588 A-34618607批判的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 21 日
CVE-2017-0589 A-34897036批判的全部5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 1 日
CVE-2017-0590 A-35039946批判的全部5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 6 日
CVE-2017-0591 A-34097672批判的全部6.0、6.0.1、7.0、7.1.1、7.1.2谷歌內部
CVE-2017-0592 A-34970788批判的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2谷歌內部

框架 API 中的提權漏洞

框架 API 中的提權漏洞可能使本機惡意應用程式能夠取得自訂權限。此問題被評為“高”,因為它是作業系統保護的一般繞過,可將應用程式資料與其他應用程式隔離。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0593 A-34114230高的全部6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 5 日

Mediaserver 中的提權漏洞

Mediaserver 中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。此問題被評為“高”,因為它可用於獲取對提升功能的本地訪問權限,而第三方應用程式通常無法存取這些功能。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0594 A-34617444高的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 22 日
CVE-2017-0595 A-34705519高的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2017 年 1 月 24 日
CVE-2017-0596 A-34749392高的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2017 年 1 月 24 日

Audioserver 中的提權漏洞

Audioserver 中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。此問題被評為“高”,因為它可用於獲取對提升功能的本地訪問權限,而第三方應用程式通常無法存取這些功能。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0597 A-34749571高的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 25 日

Framework API資訊外洩漏洞

框架 API 中的資訊外洩漏洞可能使本機惡意應用程式能夠繞過將應用程式資料與其他應用程式隔離的作業系統保護措施。此問題被評為“高”,因為它可用於獲取對應用程式無權存取的資料的存取權。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0598 A-34128677 [ 2 ]高的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 6 日

Mediaserver 中的拒絕服務漏洞

Mediaserver 中的遠端拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。由於有遠端拒絕服務的可能性,此問題的嚴重性被評為「高」。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0599 A-34672748高的全部6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 23 日
CVE-2017-0600 A-35269635高的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 10 日

藍牙中的提權漏洞

藍牙中的提權漏洞可能使本機惡意應用程式能夠在未經用戶許可的情況下接受透過藍牙共享的有害檔案。由於本地繞過用戶互動要求,此問題被評為“中等”。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0601 A-35258579緩和全部7.0、7.1.1、7.1.2 2017 年 2 月 9 日

基於文件的加密中的資訊外洩漏洞

基於檔案的加密中的資訊外洩漏洞可能使本地惡意攻擊者能夠繞過作業系統對鎖定螢幕的保護。由於可能繞過鎖定螢幕,此問題被評為“中等”。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0493 A-32793550 [ 2 ] [ 3 ]緩和全部7.0、7.1.1 2016 年 11 月 9 日

藍牙資訊外洩漏洞

藍牙中的資訊外洩漏洞可能允許本機惡意應用程式繞過將應用程式資料與其他應用程式隔離的作業系統保護措施。由於該漏洞的具體細節,該問題被評為“中等”。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0602 A-34946955緩和全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2016 年 12 月 5 日

OpenSSL 和 BoringSSL 中的資訊外洩漏洞

OpenSSL 和 BoringSSL 中的資訊外洩漏洞可能使遠端攻擊者能夠存取敏感資訊。由於該漏洞的具體細節,該問題被評為“中等”。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2016-7056 A-33752052緩和全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2016 年 12 月 19 日

Mediaserver 中的拒絕服務漏洞

Mediaserver 中的拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。此問題被評為“中等”,因為它需要不常見的設備配置。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0603 A-35763994緩和全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 23 日

Mediaserver 中的拒絕服務漏洞

Mediaserver 中的遠端拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。由於該漏洞的具體細節,該問題的評級為“低”。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2017-0635 A-35467107低的全部7.0、7.1.1、7.1.2 2017 年 2 月 16 日

2017-05-05 安全修補程式等級-漏洞詳情

在下面的部分中,我們提供了適用於 2017-05-05 修補程式等級的每個安全漏洞的詳細資訊。其中包含問題的描述、嚴重性原理以及包含 CVE、相關參考文獻、嚴重性、更新的 Google 設備、更新的 AOSP 版本(如果適用)和報告日期的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。

GIFLIB 中的遠端程式碼執行漏洞

GIFLIB 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在媒體檔案和資料處理期間導致記憶體損壞。由於可能在 Mediaserver 進程的上下文中執行遠端程式碼,因此該問題被評為「嚴重」。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2015-7555 A-34697653批判的全部4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2016 年 4 月 13 日

MediaTek 觸控螢幕驅動程式中的提權漏洞

MediaTek 觸控螢幕驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10274 A-30202412*
M-ALPS02897901
批判的沒有任何** 2016 年 7 月 16 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

Qualcomm 引導程式中的提權漏洞

Qualcomm 引導程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10275 A-34514954
QC-CR#1009111
批判的Nexus 5X、Nexus 6、Pixel、Pixel XL、Android One 2016 年 9 月 13 日
CVE-2016-10276 A-32952839
QC-CR#1094105
批判的Nexus 5X、Nexus 6P、像素、像素 XL 2016 年 11 月 16 日

核心聲音子系統中的提權漏洞

核心聲音子系統中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-9794 A-34068036
上游內核
批判的Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus 播放器2016 年 12 月 3 日

Motorola 引導程式中的提權漏洞

Motorola 引導程式中的提權漏洞可能使本機惡意應用程式能夠在引導程式的上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10277 A-33840490*
批判的Nexus 6 2016 年 12 月 21 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

NVIDIA 視訊驅動程式中的提權漏洞

NVIDIA 視訊驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
批判的Nexus 9 2017 年 1 月 4 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

Qualcomm 電源驅動程式中的提權漏洞

核心 Qualcomm 電源驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0604 A-35392981
QC-CR#826589
批判的沒有任何* 2017 年 2 月 15 日

* 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

高通組件中的漏洞

這些漏洞影響 Qualcomm 組件,並在 Qualcomm AMSS 2016 年 8 月、9 月、10 月和 12 月安全公告中進行了更詳細的描述。

CVE參考嚴重程度*更新了 Google 設備報告日期
CVE-2016-10240 A-32578446**
QC-CR#955710
批判的Nexus 6P高通內部
CVE-2016-10241 A-35436149**
QC-CR#1068577
批判的Nexus 5X、Nexus 6、Nexus 6P、像素、像素 XL高通內部
CVE-2016-10278 A-31624008**
QC-CR#1043004
高的像素、像素XL高通內部
CVE-2016-10279 A-31624421**
QC-CR#1031821
高的像素、像素XL高通內部

* 這些漏洞的嚴重性評級由供應商決定。

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

libxml2 中的遠端程式碼執行漏洞

libxml2 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在非特權程序的上下文中執行任意程式碼。由於使用此庫的應用程式中可能存在遠端程式碼執行,因此該問題被評為“高”。

CVE參考嚴重性更新了 Google 設備更新了 AOSP 版本報告日期
CVE-2016-5131 A-32956747*高的沒有任何** 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 23 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

MediaTek 熱驅動程式中的提權漏洞

MediaTek 熱驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10280 A-28175767*
M-ALPS02696445
高的沒有任何** 2016 年 4 月 11 日
CVE-2016-10281 A-28175647*
M-ALPS02696475
高的沒有任何** 2016 年 4 月 11 日
CVE-2016-10282 A-33939045*
M-ALPS03149189
高的沒有任何** 2016 年 12 月 27 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

Qualcomm Wi-Fi 驅動程式中的提權漏洞

Qualcomm Wi-Fi 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10283 A-32094986
QC-CR#2002052
高的Nexus 5X、Pixel、Pixel XL、Android One 2016 年 10 月 11 日

Qualcomm 視訊驅動程式中的提權漏洞

Qualcomm 視訊驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10284 A-32402303*
QC-CR#2000664
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 10 月 24 日
CVE-2016-10285 A-33752702
QC-CR#1104899
高的像素、像素XL 2016 年 12 月 19 日
CVE-2016-10286 A-35400904
QC-CR#1090237
高的像素、像素XL 2017 年 2 月 15 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

核心效能子系統中的提權漏洞

核心效能子系統中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2015-9004 A-34515362
上游內核
高的Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus 播放器2016 年 11 月 23 日

Qualcomm 聲音驅動程式中的提權漏洞

Qualcomm 聲音驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10287 A-33784446
QC-CR#1112751
高的Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 12 月 20 日
CVE-2017-0606 A-34088848
QC-CR#1116015
高的Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 1 月 3 日
CVE-2016-5860 A-34623424
QC-CR#1100682
高的像素、像素XL 2017 年 1 月 22 日
CVE-2016-5867 A-35400602
QC-CR#1095947
高的沒有任何* 2017 年 2 月 15 日
CVE-2017-0607 A-35400551
QC-CR#1085928
高的像素、像素XL 2017 年 2 月 15 日
CVE-2017-0608 A-35400458
QC-CR#1098363
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2017-0609 A-35399801
QC-CR#1090482
高的Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2016-5859 A-35399758
QC-CR#1096672
高的沒有任何* 2017 年 2 月 15 日
CVE-2017-0610 A-35399404
QC-CR#1094852
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2017-0611 A-35393841
QC-CR#1084210
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2016-5853 A-35392629
QC-CR#1102987
高的沒有任何* 2017 年 2 月 15 日

* 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

Qualcomm LED 驅動器中的提權漏洞

Qualcomm LED 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10288 A-33863909
QC-CR#1109763
高的像素、像素XL 2016 年 12 月 23 日

Qualcomm 加密驅動程式中的提權漏洞

Qualcomm 加密驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10289 A-33899710
QC-CR#1116295
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 12 月 24 日

Qualcomm 共享記憶體驅動程式中的提權漏洞

Qualcomm 共享記憶體驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10290 A-33898330
QC-CR#1109782
高的Nexus 5X、Nexus 6P、像素、像素 XL 2016 年 12 月 24 日

Qualcomm Slimbus 驅動程式中的提權漏洞

Qualcomm Slimbus 驅動程式中的提權漏洞可讓本機惡意應用程式在核心情境中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10291 A-34030871
QC-CR#986837
高的Nexus 5X、Nexus 6、Nexus 6P、Android One 2016 年 12 月 31 日

Qualcomm ADSPRPC 驅動程式中的提權漏洞

Qualcomm ADSPRPC 驅動程式中的提權漏洞可讓本機惡意應用程式在核心情境中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0465 A-34112914
QC-CR#1110747
高的Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 1 月 5 日

Qualcomm 安全執行環境 Communicator 驅動程式中的提權漏洞

Qualcomm 安全執行環境通訊器驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0612 A-34389303
QC-CR#1061845
高的像素、像素XL 2017 年 1 月 10 日
CVE-2017-0613 A-35400457
QC-CR#1086140
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2017-0614 A-35399405
QC-CR#1080290
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

MediaTek 電源驅動程式中的提權漏洞

MediaTek 電源驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0615 A-34259126*
M-ALPS03150278
高的沒有任何** 2017 年 1 月 12 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

MediaTek 系統管理中斷驅動程式中的提權漏洞

MediaTek 系統管理中斷驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0616 A-34470286*
M-ALPS03149160
高的沒有任何** 2017 年 1 月 19 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

MediaTek 視訊驅動程式中的提權漏洞

MediaTek 視訊驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0617 A-34471002*
M-ALPS03149173
高的沒有任何** 2017 年 1 月 19 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

MediaTek 命令佇列驅動程式中的提權漏洞

MediaTek 命令佇列驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0618 A-35100728*
M-ALPS03161536
高的沒有任何** 2017 年 2 月 7 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

Qualcomm pin 控制器驅動程式中的提權漏洞

Qualcomm pin 控制器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0619 A-35401152
QC-CR#826566
高的Nexus 6、安卓一號2017 年 2 月 15 日

Qualcomm 安全通道管理器驅動程式中的提權漏洞

Qualcomm 安全通道管理器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0620 A-35401052
QC-CR#1081711
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm 聲音編解碼器驅動程式中的提權漏洞

Qualcomm 聲音編解碼器驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-5862 A-35399803
QC-CR#1099607
高的像素、像素XL 2017 年 2 月 15 日

內核電壓調節器驅動程式中的提權漏洞

核心電壓調節器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2014-9940 A-35399757
上游內核
高的Nexus 6、Nexus 9、Pixel C、Android One、Nexus 播放器2017 年 2 月 15 日

Qualcomm 相機驅動程式中的提權漏洞

Qualcomm 相機驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0621 A-35399703
QC-CR#831322
高的安卓一號2017 年 2 月 15 日

Qualcomm 網路驅動程式中的提權漏洞

Qualcomm 網路驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-5868 A-35392791
QC-CR#1104431
高的Nexus 5X、像素、像素 XL 2017 年 2 月 15 日

內核網路子系統中的提權漏洞

核心網路子系統中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-7184 A-36565222
上游內核[2]
高的Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Android One 2017 年 3 月 23 日

Goodix 觸控螢幕驅動程式中的提權漏洞

Goodix 觸控螢幕驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0622 A-32749036
QC-CR#1098602
高的安卓一號谷歌內部

HTC 開機載入程式中的提權漏洞

HTC 引導程式中的提權漏洞可能使本機惡意應用程式能夠在引導程式的上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0623 A-32512358*
高的像素、像素XL谷歌內部

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

高通Wi-Fi驅動程式存在資訊外洩漏洞

Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0624 A-34327795*
QC-CR#2005832
高的Nexus 5X、像素、像素 XL 2017 年 1 月 16 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

MediaTek 命令佇列驅動程式中存在資訊外洩漏洞

MediaTek 命令佇列驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0625 A-35142799*
M-ALPS03161531
高的沒有任何** 2017 年 2 月 8 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

高通加密引擎驅動程式存在資訊外洩漏洞

Qualcomm 加密引擎驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0626 A-35393124
QC-CR#1088050
高的Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm Wi-Fi 驅動程式中的拒絕服務漏洞

Qualcomm Wi-Fi 驅動程式中的拒絕服務漏洞可能使鄰近的攻擊者能夠在 Wi-Fi 子系統中造成拒絕服務。由於遠端拒絕服務的可能性,此問題被評為“高”。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10292 A-34514463*
QC-CR#1065466
高的Nexus 5X、像素、像素 XL 2016 年 12 月 16 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

內核UVC驅動程式資訊外洩漏洞

核心 UVC 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0627 A-33300353*
緩和Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus 播放器2016 年 12 月 2 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

高通視訊驅動程式存在資訊外洩漏洞

Qualcomm 視訊驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10293 A-33352393
QC-CR#1101943
緩和Nexus 5X、Nexus 6P、Android One 2016 年 12 月 4 日

高通電源驅動程式中的資訊外洩漏洞(特定於設備)

Qualcomm 電源驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10294 A-33621829
QC-CR#1105481
緩和Nexus 5X、Nexus 6P、像素、像素 XL 2016 年 12 月 14 日

高通 LED 驅動器資訊外洩漏洞

Qualcomm LED 磁碟機中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10295 A-33781694
QC-CR#1109326
緩和像素、像素XL 2016 年 12 月 20 日

高通共享記憶體驅動程式資訊外洩漏洞

Qualcomm 共享記憶體驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-10296 A-33845464
QC-CR#1109782
緩和Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 12 月 22 日

高通攝影機驅動程式資訊外洩漏洞

高通攝影機驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0628 A-34230377
QC-CR#1086833
緩和Nexus 5X、Nexus 6、像素、像素 XL 2017 年 1 月 10 日
CVE-2017-0629 A-35214296
QC-CR#1086833
緩和Nexus 5X、Nexus 6、像素、像素 XL 2017 年 2 月 8 日

核心追蹤子系統資訊外洩漏洞

核心追蹤子系統中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限層級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0630 A-34277115*
緩和Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus 播放器2017 年 1 月 11 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

高通聲音編解碼器驅動程式中的資訊外洩漏洞

Qualcomm 聲音編解碼器驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
緩和Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

高通攝影機驅動程式資訊外洩漏洞

高通攝影機驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0631 A-35399756
QC-CR#1093232
緩和Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

高通聲音驅動程式資訊外洩漏洞

Qualcomm 聲音驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-5347 A-35394329
QC-CR#1100878
緩和Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

高通 SPCom 驅動程式中資訊外洩的漏洞

Qualcomm SPCom 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2016-5854 A-35392792
QC-CR#1092683
緩和沒有任何* 2017 年 2 月 15 日
CVE-2016-5855 A-35393081
QC-CR#1094143
緩和沒有任何* 2017 年 2 月 15 日

* 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

高通聲音編解碼器驅動程式中的資訊外洩漏洞

Qualcomm 聲音編解碼器驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0632 A-35392586
QC-CR#832915
緩和安卓一號2017 年 2 月 15 日

Broadcom Wi-Fi 驅動程式中資訊外洩的漏洞

Broadcom Wi-Fi 驅動程式中的資訊外洩漏洞可能使本機惡意元件能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0633 A-36000515*
B-RB#117131
緩和Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus 播放器2017 年 2 月 23 日

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

Synaptics觸控螢幕驅動程式中的資訊外洩漏洞

Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。

CVE參考嚴重性更新了 Google 設備報告日期
CVE-2017-0634 A-32511682*
緩和像素、像素XL谷歌內部

* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

高通組件中的漏洞

這些影響 Qualcomm 組件的漏洞是在 2014 年至 2016 年期間作為 Qualcomm AMSS 安全公告的一部分發布的。它們包含在此 Android 安全性公告中,以將其修復與 Android 安全性修補程式等級相關聯。

CVE參考嚴重程度*更新了 Google 設備報告日期
CVE-2014-9923 A-35434045**批判的沒有任何***高通內部
CVE-2014-9924 A-35434631**批判的沒有任何***高通內部
CVE-2014-9925 A-35444657**批判的沒有任何***高通內部
CVE-2014-9926 A-35433784**批判的沒有任何***高通內部
CVE-2014-9927 A-35433785**批判的沒有任何***高通內部
CVE-2014-9928 A-35438623**批判的沒有任何***高通內部
CVE-2014-9929 A-35443954**
QC-CR#644783
批判的沒有任何***高通內部
CVE-2014-9930 A-35432946**批判的沒有任何***高通內部
CVE-2015-9005 A-36393500**批判的沒有任何***高通內部
CVE-2015-9006 A-36393450**批判的沒有任何***高通內部
CVE-2015-9007 A-36393700**批判的沒有任何***高通內部
CVE-2016-10297 A-36393451**批判的沒有任何***高通內部
CVE-2014-9941 A-36385125**高的沒有任何***高通內部
CVE-2014-9942 A-36385319**高的沒有任何***高通內部
CVE-2014-9943 A-36385219**高的沒有任何***高通內部
CVE-2014-9944 A-36384534**高的沒有任何***高通內部
CVE-2014-9945 A-36386912**高的沒有任何***高通內部
CVE-2014-9946 A-36385281**高的沒有任何***高通內部
CVE-2014-9947 A-36392400**高的沒有任何***高通內部
CVE-2014-9948 A-36385126**高的沒有任何***高通內部
CVE-2014-9949 A-36390608**高的沒有任何***高通內部
CVE-2014-9950 A-36385321**高的沒有任何***高通內部
CVE-2014-9951 A-36389161**高的沒有任何***高通內部
CVE-2014-9952 A-36387019**高的沒有任何***高通內部

* 這些漏洞的嚴重性評級由供應商決定。

** 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。

*** 已安裝所有可用更新的 Android 7.1.1 或更高版本的受支援 Google 裝置不受此漏洞影響。

常見問題及解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的裝置是否已更新以解決這些問題?

若要了解如何檢查裝置的安全修補程式級別,請閱讀Pixel 和 Nexus 更新計畫上的說明。

  • 2017-05-01 或更高版本的安全性修補程式等級解決了與 2017-05-01 安全性修補程式等級相關的所有問題。
  • 2017-05-05 或更高版本的安全性修補程式等級解決了與 2017-05-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。

包含這些更新的裝置製造商應將補丁字串層級設定為:

  • [ro.build.version.security_patch]:[2017-05-01]
  • [ro.build.version.security_patch]:[2017-05-05]

2. 為什麼本公告有兩個安全修補程式等級?

此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。

  • 使用 2017 年 5 月 1 日安全修補程式等級的裝置必須包含與該安全修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復。
  • 使用 2017 年 5 月 5 日或更高版本安全性修補程式層級的裝置必須包含本(和先前)安全性公告中的所有適用修補程式。

我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。

3. 如何確定哪些 Google 裝置受到每個問題的影響?

2017-05-012017-05-05安全漏洞詳細資料部分中,每個表格都有一個「更新的 Google 裝置」列,涵蓋針對每個問題更新的受影響 Google 裝置的範圍。此欄有幾個選項:

  • 所有 Google 設備:如果問題影響所有和 Pixel 設備,則該表的「更新的 Google 設備」列中將顯示「所有」。 「全部」封裝了以下支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
  • 某些 Google 設備:如果問題並未影響所有 Google 設備,則受影響的 Google 裝置將列在「更新的 Google 裝置」欄位中。
  • 無 Google 裝置:如果沒有執行 Android 7.0 的 Google 裝置受此問題影響,則該表的「更新的 Google 裝置」欄位中將顯示「無」。

4. 參考文獻欄的條目對應什麼?

漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。這些前綴映射如下:

字首參考
A-安卓錯誤 ID
QC-高通參考號
M-聯發科參考號
N- NVIDIA 參考號
B-博通參考號

修訂

  • 2017 年 5 月 1 日:發佈公告。
  • 2017 年 5 月 2 日:公告經過修訂,包含 AOSP 連結。
  • 2017 年 8 月 10 日:公告經過修訂,包含 CVE-2017-0493 的附加 AOSP 連結。
  • 2017 年 8 月 17 日:修訂公告以更新參考號碼。
  • 2017 年 10 月 3 日:修訂公告以刪除 CVE-2017-0605。