เผยแพร่เมื่อ 5 มิถุนายน 2017 | อัปเดตเมื่อวันที่ 17 สิงหาคม 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 5 มิถุนายน 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และลิงก์จากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญใน Media Framework ซึ่งสามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในระหว่างการประมวลผลไฟล์สื่อและข้อมูล การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การลดปัญหาของ Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google
ประกาศ
- เราได้ปรับปรุงกระดานข่าวความปลอดภัยรายเดือนเพื่อให้อ่านง่ายขึ้น ในการอัปเดตนี้ ข้อมูลช่องโหว่จะถูกจัดหมวดหมู่ตามองค์ประกอบที่ได้รับผลกระทบ จัดเรียงตามชื่อส่วนประกอบภายในระดับแพตช์ความปลอดภัย และข้อมูลเฉพาะอุปกรณ์ของ Google จะโฮสต์ไว้ใน ส่วนเฉพาะ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 01-06-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-06-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 05-06-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-06-01 และ 2017-06-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การบรรเทาผลกระทบจาก Android และ Google Play Protect
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัย 06-06-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-06-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
บลูทู ธ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | อีโอพี | ปานกลาง | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | บัตรประจำตัวประชาชน | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ไม่มีสิทธิ์
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562 * | อาร์ซีอี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553 * | อาร์ซีอี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | อาร์ซีอี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | อาร์ซีอี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | อาร์ซีอี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | อาร์ซีอี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | อาร์ซีอี | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | อาร์ซีอี | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | บัตรประจำตัวประชาชน | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | ดอส | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
กรอบสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในระหว่างการประมวลผลไฟล์มีเดียและข้อมูลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | อาร์ซีอี | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467 * | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051 * | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997 * | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
UI ของระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | อาร์ซีอี | สูง | 7.1.1, 7.1.2 |
ระดับแพตช์ความปลอดภัย 06-06-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-06-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ส่วนประกอบเคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220 * | อีโอพี | สูง | ดีบักเกอร์ FIQ |
| CVE-2017-0651 | A-35644815 * | บัตรประจำตัวประชาชน | ต่ำ | ระบบย่อยไอออน |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065 * | บัตรประจำตัวประชาชน | ปานกลาง | 4.4.4 |
ส่วนประกอบ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230 * M-ALPS03162263 | อีโอพี | สูง | โปรแกรมควบคุมคิวคำสั่ง |
| CVE-2017-0649 | A-34468195 * M-ALPS03162283 | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
ส่วนประกอบของ NVIDIA
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301 * N-CVE-2017-6247 | อีโอพี | สูง | ไดรเวอร์เสียง |
| CVE-2017-6248 | A-34372667 * N-CVE-2017-6248 | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-6249 | A-34373711 * N-CVE-2017-6249 | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
ส่วนประกอบของควอลคอมม์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR#1101054 | อาร์ซีอี | วิกฤต | ไดรเวอร์บลูทูธ |
| CVE-2017-7365 | A-32449913 QC-CR#1017009 | อีโอพี | สูง | บูตโหลดเดอร์ |
| CVE-2017-7366 | A-36252171 QC-CR#1036161 [ 2 ] | อีโอพี | สูง | ไดรเวอร์กราฟฟิก |
| CVE-2017-7367 | A-34514708 QC-CR#1008421 | ดอส | สูง | บูตโหลดเดอร์ |
| CVE-2016-5861 | A-36251375 QC-CR#1103510 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2016-5864 | A-36251231 QC-CR#1105441 | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-6421 | A-36251986 QC-CR#1110563 | อีโอพี | ปานกลาง | ไดรเวอร์หน้าจอสัมผัส MStar |
| CVE-2017-7364 | A-36252179 QC-CR#1113926 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-7368 | A-33452365 QC-CR#1103085 | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-7369 | A-33751424 QC-CR#2009216 [ 2 ] | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-7370 | A-34328139 QC-CR#2006159 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-7372 | A-36251497 QC-CR#1110068 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-7373 | A-36251984 QC-CR#1090244 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8233 | A-34621613 QC-CR#2004036 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8234 | A-36252121 QC-CR#832920 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8235 | A-36252376 QC-CR#1083323 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8236 | A-35047217 QC-CR#2009606 | อีโอพี | ปานกลาง | ไดรเวอร์ไอพีเอ |
| CVE-2017-8237 | A-36252377 QC-CR#1110522 | อีโอพี | ปานกลาง | ไดรเวอร์เครือข่าย |
| CVE-2017-8242 | A-34327981 QC-CR#2009231 | อีโอพี | ปานกลาง | ไดรเวอร์ Communicator สภาพแวดล้อมการดำเนินการที่ปลอดภัย |
| CVE-2017-8239 | A-36251230 QC-CR#1091603 | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8240 | A-36251985 QC-CR#856379 | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์คอนโทรลเลอร์พิน |
| CVE-2017-8241 | A-34203184 QC-CR#1069175 | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์ Wi-Fi |
ส่วนประกอบของซินแนปติกส์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278 * | อีโอพี | ต่ำ | ไดรเวอร์หน้าจอสัมผัส |
ส่วนประกอบโอเพ่นซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS ตั้งแต่ปี 2014–2016 รวมอยู่ในกระดานข่าวความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android การแก้ไขช่องโหว่เหล่านี้มีให้โดยตรงจาก Qualcomm
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2014-9961 | A-37279724 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2014-9953 | A-36714770 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2014-9967 | A-37281466 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9026 | A-37277231 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9027 | A-37279124 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9008 | A-36384689 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9009 | A-36393600 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9010 | A-36393101 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9011 | A-36714882 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9024 | A-37265657 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9012 | A-36384691 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9013 | A-36393251 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9014 | A-36393750 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9015 | A-36714120 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2015-9029 | A-37276981 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10338 | A-37277738 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10336 | A-37278436 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10333 | A-37280574 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10341 | A-37281667 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10335 | A-37282802 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10340 | A-37280614 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10334 | A-37280664 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10339 | A-37280575 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10298 | A-36393252 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2016-10299 | A-32577244 * | ไม่มี | วิกฤต | ส่วนประกอบแบบปิด |
| CVE-2014-9954 | A-36388559 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9955 | A-36384686 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9956 | A-36389611 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9957 | A-36387564 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9958 | A-36384774 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9962 | A-37275888 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9963 | A-37276741 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9959 | A-36383694 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9964 | A-37280321 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9965 | A-37278233 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9966 | A-37282854 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9023 | A-37276138 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9020 | A-37276742 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9021 | A-37276743 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9025 | A-37276744 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9022 | A-37280226 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9028 | A-37277982 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9031 | A-37275889 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9032 | A-37279125 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9033 | A-37276139 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9030 | A-37282907 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10332 | A-37282801 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10337 | A-37280665 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10342 | A-37281763 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
การอัปเดตอุปกรณ์ Google
ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
| อุปกรณ์กูเกิล | ระดับแพตช์ความปลอดภัย |
|---|---|
| พิกเซล / พิกเซล XL | 05 มิถุนายน 2017 |
| เน็กซัส 5X | 05 มิถุนายน 2017 |
| เน็กซัส 6 | 05 มิถุนายน 2017 |
| เน็กซัส 6พี | 05 มิถุนายน 2017 |
| เน็กซัส 9 | 05 มิถุนายน 2017 |
| ผู้เล่นเน็กซัส | 05 มิถุนายน 2017 |
| พิกเซล ซี | 05 มิถุนายน 2017 |
การอัปเดตอุปกรณ์ของ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ ถ้ามี:
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | บัตรประจำตัวประชาชน | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
| CVE | นักวิจัย |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | Ecular Xu (徐健) จาก Trend Micro |
| CVE-2017-0645, CVE-2017-0639 | En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team |
| CVE-2017-0649 | Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0646 | Godzheng (郑文选 - @VirtualSeekers ) จาก Tencent PC Manager |
| CVE-2017-0636 | Jake Corina ( @JakeCorina ) จากทีม Shellphish Grill |
| CVE-2017-8233 | Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360 |
| CVE-2017-7368 | Lubo Zhang ( zlbzlb815@163.com ), Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-8242 | Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla |
| CVE-2017-0650 | Omer Shwartz, Amir Cohen, Dr. Asaf Shabtai และ Dr. Yossi Oren จาก Ben Gurion University Cyber Lab |
| CVE-2017-0648 | Roee Hay ( @roeehay ) จาก Aleph Research , HCL Technologies |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | sevenshen ( @lingtongshen ) จาก TrendMicro |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | วาซิลี วาซิลีฟ |
| CVE-2017-0640 | VEO ( @VYSEa ) จาก ทีมตอบสนองภัยคุกคามมือถือ , Trend Micro |
| CVE-2017-8236 | Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent |
| CVE-2017-0647 | Yangkang ( @dnpushme ) และ Liyadong จากทีม Qex, Qihoo 360 |
| CVE-2017-7370 | Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0651 | Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-8241 | ซูบิน มิทรา จาก Google |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus
- ระดับแพตช์รักษาความปลอดภัยของ 2017-06-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-06-01
- ระดับแพตช์รักษาความปลอดภัย 05-06-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 06-06-2560 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-06-01]
- [ro.build.version.security_patch]:[2017-06-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 1 มิถุนายน 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 มิถุนายน 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| คำย่อ | คำนิยาม |
|---|---|
| อาร์ซีอี | การเรียกใช้โค้ดจากระยะไกล |
| อีโอพี | การยกระดับสิทธิพิเศษ |
| บัตรประจำตัวประชาชน | การเปิดเผยข้อมูล |
| ดอส | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจำแนกประเภท |
4. รายการในคอลัมน์ References หมายถึงอะไร?
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
| เอ็ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| บี- | หมายเลขอ้างอิงของ Broadcom |
5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายถึงอะไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
รุ่นต่างๆ
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 มิถุนายน 2017 | เผยแพร่กระดานข่าวแล้ว |
| 1.1 | 7 มิถุนายน 2017 | กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP |
| 1.2 | 11 กรกฎาคม 2017 | กระดานข่าวแก้ไขเพื่อรวม CVE-2017-6249 |
| 1.3 | 17 สิงหาคม 2017 | กระดานข่าวแก้ไขเพื่ออัปเดตหมายเลขอ้างอิง |