เผยแพร่เมื่อ 01 พฤษภาคม 2017 | อัปเดตเมื่อวันที่ 3 ตุลาคม 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยในวันที่ 5 พฤษภาคม 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 3 เมษายน 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาปัญหาบริการ Android และ Google สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 01-05-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-05-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 05-05-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-05-01 และ 2017-05-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เดียวพร้อมระดับแพตช์ความปลอดภัยในวันที่ 5 พฤษภาคม 2017
การบรรเทาผลกระทบจากบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพวกเขาพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการเพิ่มระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
- ADlab ของ Venustech: CVE-2017-0630
- Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-10287
- Ecular Xu (徐健) ของ Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team : CVE-2017-0601
- Ethan Yonker จาก Team Win Recovery Project : CVE-2017-0493
- Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE -2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选@VirtualSeekers ) ของ Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay แห่ง University of Illinois at Urbana-Champaign : CVE-2017-0593
- Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li และ Qiwu Huang จาก Xiaomi Inc: CVE-2016-10276
- มิคาล เบดนาร์สกี้ : CVE-2017-0598
- Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla: CVE-2017-0331, CVE-2017-0606
- นิกกี้1235 ( @jiych_guru ): CVE-2017-0603
- เพลง Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang ของ Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
- Roee Hay ( @roeehay ) จาก Aleph Research : CVE-2016-10277
- สก็อตต์ บาวเออร์ ( @ScottyBauer1 ): CVE-2016-10274
- Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-10291
- วาซิลี วาซิลีฟ: CVE-2017-0589
- VEO ( @VYSEa ) จาก Mobile Threat Response Team , Trend Micro : CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent: CVE-2017-0597
- Xingyuan Lin จากทีม 360 Marvel: CVE-2017-0627
- Yong Wang (王勇) ( @ThomasKing2014 ) แห่ง Alibaba Inc: CVE-2017-0588
- Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Yu Pan จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan และ Peide Zhang จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
2017-05-01 ระดับแพตช์ความปลอดภัย-รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-05-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 มกราคม 2017 |
| CVE-2017-0588 | A-34618607 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 มกราคม 2017 |
| CVE-2017-0589 | A-34897036 | วิกฤต | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1 กุมภาพันธ์ 2017 |
| CVE-2017-0590 | A-35039946 | วิกฤต | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 กุมภาพันธ์ 2017 |
| CVE-2017-0591 | A-34097672 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | ภายในของ Google |
| CVE-2017-0592 | A-34970788 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิ์ใน Framework API
การยกระดับช่องโหว่ของสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องได้รับสิทธิ์เข้าถึงแบบกำหนดเองได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากเป็นการเลี่ยงทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 มกราคม 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน Mediaserver
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 มกราคม 2017 |
| CVE-2017-0595 | A-34705519 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 มกราคม 2017 |
| CVE-2017-0596 | A-34749392 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 มกราคม 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน Audioserver
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 มกราคม 2017 |
ช่องโหว่การเปิดเผยข้อมูลใน Framework API
ช่องโหว่การเปิดเผยข้อมูลใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [ 2 ] | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 มกราคม 2017 |
การปฏิเสธช่องโหว่การบริการใน Mediaserver
การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการบริการจากระยะไกล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 มกราคม 2017 |
| CVE-2017-0600 | A-35269635 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน Bluetooth
ช่องโหว่การยกระดับสิทธิ์ใน Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องยอมรับไฟล์ที่เป็นอันตรายที่แชร์ผ่าน Bluetooth โดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ในพื้นที่
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | ปานกลาง | ทั้งหมด | 7.0, 7.1.1, 7.1.2 | 9 กุมภาพันธ์ 2017 |
ช่องโหว่ในการเปิดเผยข้อมูลในการเข้ารหัสแบบใช้ไฟล์
ช่องโหว่ในการเปิดเผยข้อมูลในการเข้ารหัสแบบใช้ไฟล์อาจทำให้ผู้โจมตีที่เป็นอันตรายในพื้นที่สามารถเลี่ยงการป้องกันระบบปฏิบัติการสำหรับหน้าจอเมื่อล็อกได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากมีความเป็นไปได้ที่จะข้ามหน้าจอล็อค
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [ 2 ] [ 3 ] | ปานกลาง | ทั้งหมด | 7.0, 7.1.1 | 9 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Bluetooth
ช่องโหว่ในการเปิดเผยข้อมูลใน Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากมีรายละเอียดเฉพาะเกี่ยวกับช่องโหว่
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 ธันวาคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน OpenSSL & BoringSSL
ช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL และ BoringSSL อาจทำให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากมีรายละเอียดเฉพาะเกี่ยวกับช่องโหว่
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 ธันวาคม 2559 |
การปฏิเสธช่องโหว่การบริการใน Mediaserver
การปฏิเสธช่องโหว่ในบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 กุมภาพันธ์ 2017 |
การปฏิเสธช่องโหว่การบริการใน Mediaserver
การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นต่ำเนื่องจากมีรายละเอียดเฉพาะเกี่ยวกับช่องโหว่
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | ต่ำ | ทั้งหมด | 7.0, 7.1.1, 7.1.2 | 16 กุมภาพันธ์ 2017 |
2017-05-05 ระดับแพตช์ความปลอดภัย-รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-05-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน GIFLIB
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน GIFLIB อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 เมษายน 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 | วิกฤต | ไม่มี** | 16 ก.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader
การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 | วิกฤต | Nexus 5X, Nexus 6, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 13 กันยายน 2559 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 | วิกฤต | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL | 16 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเสียงเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 เคอร์เนลต้นน้ำ | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player | 3 ธันวาคม 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน Motorola bootloader
การยกระดับช่องโหว่ของสิทธิพิเศษใน Bootloader ของ Motorola อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของ Bootloader ได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* | วิกฤต | เน็กซัส 6 | 21 ธันวาคม 2016 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ NVIDIA
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 | วิกฤต | เน็กซัส 9 | 4 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในโปรแกรมควบคุมพลังงานของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนล โปรแกรมควบคุมพลังงาน Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 | วิกฤต | ไม่มี* | 15 กุมภาพันธ์ 2017 |
* อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ในส่วนประกอบของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยประจำเดือนสิงหาคม กันยายน ตุลาคม และธันวาคม 2559 ของ Qualcomm AMSS
| ซีวีอี | อ้างอิง | ความรุนแรง* | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 | วิกฤต | เน็กซัส 6พี | วอลคอมม์ภายใน |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL | วอลคอมม์ภายใน |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 | สูง | พิกเซล, พิกเซล XL | วอลคอมม์ภายใน |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 | สูง | พิกเซล, พิกเซล XL | วอลคอมม์ภายใน |
* ระดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้จำหน่าย
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libxml2
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libxml2 อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | สูง | ไม่มี** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 กรกฎาคม 2016 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ระบายความร้อนของ MediaTek
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ระบายความร้อน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 | สูง | ไม่มี** | 11 เมษายน 2559 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 | สูง | ไม่มี** | 11 เมษายน 2559 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 | สูง | ไม่มี** | 27 ธันวาคม 2016 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 | สูง | Nexus 5X, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 11 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 24 ต.ค. 2559 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 | สูง | พิกเซล, พิกเซล XL | 19 ธันวาคม 2559 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 | สูง | พิกเซล, พิกเซล XL | 15 กุมภาพันธ์ 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยประสิทธิภาพเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยประสิทธิภาพเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 เคอร์เนลต้นน้ำ | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player | 23 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 20 ธันวาคม 2559 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 3 มกราคม 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 | สูง | พิกเซล, พิกเซล XL | 22 มกราคม 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 | สูง | ไม่มี* | 15 กุมภาพันธ์ 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 | สูง | พิกเซล, พิกเซล XL | 15 กุมภาพันธ์ 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 15 กุมภาพันธ์ 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 | สูง | ไม่มี* | 15 กุมภาพันธ์ 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 | สูง | ไม่มี* | 15 กุมภาพันธ์ 2017 |
* อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm LED
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm LED อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 | สูง | พิกเซล, พิกเซล XL | 23 ธันวาคม 2016 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Cryptocurrency ของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ crypto ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 24 ธันวาคม 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL | 24 ธันวาคม 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Slimbus
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Slimbus อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 | สูง | Nexus 5X, Nexus 6, Nexus 6P, แอนดรอยด์วัน | 31 ธันวาคม 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm ADSPRPC
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm ADSPRPC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 5 มกราคม 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Secure Execution Environment Communicator
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 | สูง | พิกเซล, พิกเซล XL | 10 มกราคม 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในตัวขับเคลื่อนพลังของ MediaTek
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์พลังงานของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 | สูง | ไม่มี** | 12 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ขัดจังหวะการจัดการระบบ MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ขัดจังหวะการจัดการระบบ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 | สูง | ไม่มี** | 19 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 | สูง | ไม่มี** | 19 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์คิวคำสั่ง MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์คิวคำสั่ง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 | สูง | ไม่มี** | 7 กุมภาพันธ์ 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์คอนโทรลเลอร์พินของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์คอนโทรลเลอร์พินของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 | สูง | เน็กซัส 6, แอนดรอยด์ วัน | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Secure Channel Manager
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Secure Channel Manager อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 | สูง | พิกเซล, พิกเซล XL | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวควบคุมแรงดันไฟฟ้าของเคอร์เนล
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ควบคุมแรงดันไฟฟ้าของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 เคอร์เนลต้นน้ำ | สูง | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 | สูง | แอนดรอยด์วัน | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เครือข่าย Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เครือข่าย Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 | สูง | Nexus 5X, พิกเซล, พิกเซล XL | 15 กุมภาพันธ์ 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเครือข่ายเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 เคอร์เนลอัปสตรีม [2] | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, Pixel XL, Android One | 23 มี.ค. 2017 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Goodix
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Goodix อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 | สูง | แอนดรอยด์วัน | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิพิเศษใน HTC bootloader
การยกระดับช่องโหว่ของสิทธิพิเศษใน Bootloader ของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของ Bootloader ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* | สูง | พิกเซล, พิกเซล XL | ภายในของ Google |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 | สูง | Nexus 5X, พิกเซล, พิกเซล XL | 16 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์คิวคำสั่ง MediaTek
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์คิวคำสั่ง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 | สูง | ไม่มี** | 8 กุมภาพันธ์ 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุม Qualcomm crypto engine
ช่องโหว่ในการเปิดเผยข้อมูลในโปรแกรมควบคุม Qualcomm crypto engine อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 15 กุมภาพันธ์ 2017 |
การปฏิเสธช่องโหว่การบริการในไดรเวอร์ Qualcomm Wi-Fi
การปฏิเสธช่องโหว่ของบริการในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้ผู้โจมตีใกล้เคียงทำให้เกิดการปฏิเสธบริการในระบบย่อย Wi-Fi ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 | สูง | Nexus 5X, พิกเซล, พิกเซล XL | 16 ธันวาคม 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เคอร์เนล UVC
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์เคอร์เนล UVC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* | ปานกลาง | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 2 ธันวาคม 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 | ปานกลาง | Nexus 5X, Nexus 6P, แอนดรอยด์วัน | 4 ธันวาคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมพลังงานของ Qualcomm (เฉพาะอุปกรณ์)
ช่องโหว่ในการเปิดเผยข้อมูลในโปรแกรมควบคุมพลังงานของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 | ปานกลาง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL | 14 ธันวาคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm LED
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ Qualcomm LED อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 | ปานกลาง | พิกเซล, พิกเซล XL | 20 ธันวาคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 | ปานกลาง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 22 ธันวาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 | ปานกลาง | Nexus 5X, Nexus 6, พิกเซล, พิกเซล XL | 10 มกราคม 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 | ปานกลาง | Nexus 5X, Nexus 6, Pixel, Pixel XL | 8 ก.พ. 2017 |
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยการติดตามเคอร์เนล
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยการติดตามเคอร์เนลสามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 11 ม.ค. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ข้อมูลช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ COALCOMM SOUD CODEC
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Sound Codec สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6p, Pixel, Pixel XL, Android One | 15 กุมภาพันธ์ 2017 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 | ปานกลาง | Nexus 5X, Nexus 6p, Pixel, Pixel XL, Android One | 15 กุมภาพันธ์ 2017 |
ข้อมูลช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Sound
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เสียง Qualcomm สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6p, Pixel, Pixel XL, Android One | 15 กุมภาพันธ์ 2017 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm SPCOM
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm SPCOM สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 | ปานกลาง | ไม่มี* | 15 กุมภาพันธ์ 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 | ปานกลาง | ไม่มี* | 15 กุมภาพันธ์ 2017 |
* รองรับอุปกรณ์ Google บน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ข้อมูลช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ COALCOMM SOUD CODEC
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Sound Codec สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 | ปานกลาง | แอนดรอยด์วัน | 15 กุมภาพันธ์ 2017 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Broadcom Wi-Fi
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Broadcom Wi-Fi สามารถเปิดใช้งานส่วนประกอบที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 | ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, ผู้เล่น Nexus | 23 กุมภาพันธ์ 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ข้อมูลการเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์หน้าจอสัมผัส Synaptics
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์หน้าจอสัมผัส Synaptics สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* | ปานกลาง | Pixel, Pixel XL | ภายในของ Google |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่ในส่วนประกอบ Qualcomm
ช่องโหว่เหล่านี้มีผลต่อส่วนประกอบ Qualcomm ได้รับการปล่อยตัวเป็นส่วนหนึ่งของ Bulletins ความปลอดภัยของ Qualcomm AMSS ระหว่างปี 2557-2559 พวกเขารวมอยู่ในแถลงการณ์ความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัย Android
| ซีวีอี | อ้างอิง | ความรุนแรง* | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9924 | A-35434631 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9925 | A-35444657 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9926 | A-35433784 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9927 | A-35433785 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9928 | A-35438623 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9929 | A-35443954 ** QC-CR#644783 | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9930 | A-35432946 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2015-9005 | A-36393500 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2015-9006 | A-36393450 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2015-9007 | A-36393700 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2016-10297 | A-36393451 ** | วิกฤต | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9941 | A-36385125 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9942 | A-36385319 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9943 | A-36385219 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9944 | A-36384534 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9945 | A-36386912 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9946 | A-36385281 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9947 | A-36392400 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9948 | A-36385126 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9949 | A-36390608 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9950 | A-36385321 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9951 | A-36389161 ** | สูง | ไม่มี*** | qualcomm ภายใน |
| CVE-2014-9952 | A-36387019 ** | สูง | ไม่มี*** | qualcomm ภายใน |
* การจัดอันดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้ขาย
** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์อ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus
- ระดับแพตช์ความปลอดภัยของ 2017-05-01 หรือใหม่กว่าที่อยู่ที่อยู่ทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-05-01
- ระดับแพตช์ความปลอดภัยของ 2017-05-05 หรือใหม่กว่าที่อยู่ที่อยู่ทุกประเด็นที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-05-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]: [2017-05-01]
- [ro.build.version.security_patch]: [2017-05-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยที่ 01 พฤษภาคม 2017 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยรวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในแถลงการณ์ความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 5 พฤษภาคม 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในแถลงการณ์ความปลอดภัย (และก่อนหน้า) นี้
พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว
3. ฉันจะพิจารณาได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละประเด็น
ในส่วนรายละเอียดความปลอดภัยความปลอดภัย 2017-05-01 และ 2017-05-05-05 แต่ละตารางมีคอลัมน์ อุปกรณ์ Google ที่อัปเดต ซึ่งครอบคลุมช่วงของอุปกรณ์ที่ได้รับผลกระทบของ Google ที่ได้รับการปรับปรุงสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกเล็กน้อย:
- อุปกรณ์ Google ทั้งหมด : หากปัญหามีผลต่ออุปกรณ์ทั้งหมดและอุปกรณ์พิกเซลตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ห่อหุ้ม อุปกรณ์ที่รองรับต่อ ไปนี้: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
- อุปกรณ์ Google บางตัว : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ของ Google ทั้งหมดอุปกรณ์ Google ที่ได้รับผลกระทบจะอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
- ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหาตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
4. รายการในคอลัมน์อ้างอิงถึงอะไร?
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง แผนที่คำนำหน้าเหล่านี้ดังนี้:
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
| เอ็ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิงของ Broadcom |
การแก้ไข
- 01 พฤษภาคม 2017: Bulletin เผยแพร่
- 02 พฤษภาคม 2017: Bulletin แก้ไขเพื่อรวมลิงก์ AOSP
- 10 สิงหาคม 2017: Bulletin แก้ไขเพื่อรวมลิงก์ AOSP เพิ่มเติมสำหรับ CVE-2017-0493
- 17 สิงหาคม 2017: Bulletin แก้ไขเพื่ออัปเดตหมายเลขอ้างอิง
- 3 ตุลาคม 2017: Bulletin แก้ไขเพื่อลบ CVE-2017-0605