เผยแพร่เมื่อ 5 มิถุนายน 2017 | อัปเดตเมื่อ 17 สิงหาคม 2017
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของวันที่ 5 มิถุนายน 2017 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดูกำหนดการอัปเดต Pixel และ Nexus เพื่อดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารอย่างน้อย 1 เดือนที่ผ่านมา เราจะเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บโปรเจ็กต์โอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวสารนี้ กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงใน Media Framework ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการบรรเทาปัญหาแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านอากาศ (OTA) และภาพเฟิร์มแวร์ล่าสุดสำหรับอุปกรณ์ Google อยู่ในส่วนการอัปเดตอุปกรณ์ Google
ประกาศ
- เราได้ปรับปรุงกระดานข่าวสารด้านความปลอดภัยรายเดือนเพื่อให้อ่านได้ง่ายขึ้น การอัปเดตนี้จะจัดหมวดหมู่ข้อมูลช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ จัดเรียงตามชื่อคอมโพเนนต์ภายในระดับแพตช์ความปลอดภัย และโฮสต์ข้อมูลเฉพาะอุปกรณ์ Google ในส่วนเฉพาะ
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดูข้อมูลเพิ่มเติมได้ในคำถามที่พบบ่อยและคำตอบ
- 2017-06-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งบอกว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-06-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-06-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้บ่งบอกว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-06-01 และ 2017-06-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การลดความเสี่ยงของ Android และ Google Play Protect
ข้อมูลต่อไปนี้เป็นสรุปของมาตรการบรรเทาความเสี่ยงที่ได้จากแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดแนวโน้มที่จะมีการใช้ช่องโหว่ด้านความปลอดภัยใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัย 01-06-2017 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-06-2017 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ โดยมีคำอธิบายปัญหา รวมถึงตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง
บลูทูธ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ของแอปได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | EoP | ปานกลาง | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | รหัส | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562* | RCE | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553* | RCE | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | RCE | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | RCE | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | RCE | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | RCE | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | RCE | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | RCE | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | รหัส | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | DoS | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
เฟรมเวิร์กสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467* | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051* | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997* | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
UI ของระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจช่วยให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | RCE | สูง | 7.1.1, 7.1.2 |
2017-06-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 05-06-2017 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ และระบุรายละเอียดต่างๆ เช่น CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง, คอมโพเนนต์ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ข้อมูลอ้างอิงเพิ่มเติมจะลิงก์กับตัวเลขตามรหัสข้อบกพร่อง
คอมโพเนนต์เคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220* | EoP | สูง | โปรแกรมแก้ไขข้อบกพร่อง FIQ |
| CVE-2017-0651 | A-35644815* | รหัส | ต่ำ | ระบบย่อย ION |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065* | รหัส | ปานกลาง | 4.4.4 |
คอมโพเนนต์ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230* M-ALPS03162263 |
EoP | สูง | โปรแกรมควบคุมคิวคําสั่ง |
| CVE-2017-0649 | A-34468195* M-ALPS03162283 |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
คอมโพเนนต์ NVIDIA
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301* N-CVE-2017-6247 |
EoP | สูง | โปรแกรมควบคุมเสียง |
| CVE-2017-6248 | A-34372667* N-CVE-2017-6248 |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-6249 | A-34373711* N-CVE-2017-6249 |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
คอมโพเนนต์ Qualcomm
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียงสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR#1101054 |
RCE | วิกฤต | ไดรเวอร์บลูทูธ |
| CVE-2017-7365 | A-32449913 QC-CR#1017009 |
EoP | สูง | Bootloader |
| CVE-2017-7366 | A-36252171 QC-CR#1036161 [2] |
EoP | สูง | โปรแกรมควบคุม GPU |
| CVE-2017-7367 | A-34514708 QC-CR#1008421 |
DoS | สูง | Bootloader |
| CVE-2016-5861 | A-36251375 QC-CR#1103510 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2016-5864 | A-36251231 QC-CR#1105441 |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-6421 | A-36251986 QC-CR#1110563 |
EoP | ปานกลาง | ไดรเวอร์หน้าจอสัมผัส MStar |
| CVE-2017-7364 | A-36252179 QC-CR#1113926 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-7368 | A-33452365 QC-CR#1103085 |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-7369 | A-33751424 QC-CR#2009216 [2] |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-7370 | A-34328139 QC-CR#2006159 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-7372 | A-36251497 QC-CR#1110068 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-7373 | A-36251984 QC-CR#1090244 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8233 | A-34621613 QC-CR#2004036 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8234 | A-36252121 QC-CR#832920 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8235 | A-36252376 QC-CR#1083323 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8236 | A-35047217 QC-CR#2009606 |
EoP | ปานกลาง | ไดรเวอร์ IPA |
| CVE-2017-8237 | A-36252377 QC-CR#1110522 |
EoP | ปานกลาง | โปรแกรมควบคุมเครือข่าย |
| CVE-2017-8242 | A-34327981 QC-CR#2009231 |
EoP | ปานกลาง | ไดร์เวอร์ Communicator ของสภาพแวดล้อมการดำเนินการที่ปลอดภัย |
| CVE-2017-8239 | A-36251230 QC-CR#1091603 |
รหัส | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8240 | A-36251985 QC-CR#856379 |
รหัส | ปานกลาง | โปรแกรมควบคุมอุปกรณ์ต่อพ่วง |
| CVE-2017-8241 | A-34203184 QC-CR#1069175 |
รหัส | ต่ำ | ไดรเวอร์ของ Wi-Fi |
คอมโพเนนต์ Synaptics
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ของแอปได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278* | EoP | ต่ำ | ไดรเวอร์หน้าจอสัมผัส |
คอมโพเนนต์แบบโคลสซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และมีคำอธิบายเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยของ AMSS ของ Qualcomm ตั้งแต่ปี 2014-2016 โดยรวมอยู่ในกระดานข่าวสารด้านความปลอดภัยของ Android ฉบับนี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android การแก้ไขช่องโหว่เหล่านี้มีให้จาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9961 | A-37279724* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9953 | A-36714770* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9967 | A-37281466* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9026 | A-37277231* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9027 | A-37279124* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9008 | A-36384689* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9009 | A-36393600* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9010 | A-36393101* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9011 | A-36714882* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9024 | A-37265657* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9012 | A-36384691* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9013 | A-36393251* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9014 | A-36393750* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9015 | A-36714120* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9029 | A-37276981* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10338 | A-37277738* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10336 | A-37278436* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10333 | A-37280574* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10341 | A-37281667* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10335 | A-37282802* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10340 | A-37280614* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10334 | A-37280664* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10339 | A-37280575* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10298 | A-36393252* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10299 | A-32577244* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9954 | A-36388559* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9955 | A-36384686* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9956 | A-36389611* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9957 | A-36387564* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9958 | A-36384774* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9962 | A-37275888* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9963 | A-37276741* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9959 | A-36383694* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9964 | A-37280321* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9965 | A-37278233* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9966 | A-37282854* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9023 | A-37276138* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9020 | A-37276742* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9021 | A-37276743* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9025 | A-37276744* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9022 | A-37280226* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9028 | A-37277982* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9031 | A-37275889* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9032 | A-37279125* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9033 | A-37276139* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9030 | A-37282907* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10332 | A-37282801* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10337 | A-37280665* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10342 | A-37281763* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
การอัปเดตอุปกรณ์ Google
ตารางนี้แสดงระดับแพตช์ความปลอดภัยในการอัปเดตผ่านอากาศ (OTA) ครั้งล่าสุดและเฟิร์มแวร์สำหรับอุปกรณ์ Google รูปภาพเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google
| อุปกรณ์ Google | ระดับแพตช์ความปลอดภัย |
|---|---|
| Pixel / Pixel XL | 5 มิถุนายน 2017 |
| Nexus 5X | 5 มิถุนายน 2017 |
| Nexus 6 | 5 มิถุนายน 2017 |
| Nexus 6P | 5 มิถุนายน 2017 |
| Nexus 9 | 5 มิถุนายน 2017 |
| Nexus Player | 5 มิถุนายน 2017 |
| Pixel C | 5 มิถุนายน 2017 |
การอัปเดตอุปกรณ์ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ด้วย (หากมี)
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | รหัส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
| CVE | นักวิจัย |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | Ecular Xu จาก Trend Micro |
| CVE-2017-0645, CVE-2017-0639 | En He (@heeeeen4x) และ Bo Liuจาก MS509Team |
| CVE-2017-0649 | Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0646 | Godzheng (郑文选 -@VirtualSeekers) จาก Tencent PC Manager |
| CVE-2017-0636 | Jake Corina (@JakeCorina) จากทีม Shellphish Grill |
| CVE-2017-8233 | Jianqiang Zhao (@jianqiangzhao) และ pjf จาก IceSword Lab, Qihoo 360 |
| CVE-2017-7368 | Lubo Zhang (zlbzlb815@163.com), Yuan-Tsung Lo (computernik@gmail.com) และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-8242 | Nathan Crandall (@natecray) จากทีมความปลอดภัยของผลิตภัณฑ์ Tesla |
| CVE-2017-0650 | Omer Shwartz, Amir Cohen, Dr. Asaf Shabtai และ Dr. Yossi Oren จากห้องปฏิบัติการไซเบอร์ของมหาวิทยาลัย Ben Gurion |
| CVE-2017-0648 | Roee Hay (@roeehay) จาก Aleph Research, HCL Technologies |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | sevenshen (@lingtongshen)จาก TrendMicro |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | Vasily Vasiliev |
| CVE-2017-0640 | V.E.O (@VYSEa) จากทีมตอบสนองต่อภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro |
| CVE-2017-8236 | Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัยของ Tencent |
| CVE-2017-0647 | Yangkang (@dnpushme) และ Liyadong จากทีม Qex, Qihoo 360 |
| CVE-2017-7370 | Yonggang Guo (@guoygang) จากห้องทดลอง IceSword ของ Qihoo 360 Technology Co. Ltd |
| CVE-2017-0651 | Yuan-Tsung Lo (computernik@gmail.com) และ Xuxian Jiangจากทีม C0RE |
| CVE-2017-8241 | Zubin Mithra จาก Google |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านวิธีการในกำหนดการอัปเดตของ Pixel และ Nexus
- ระดับแพตช์ความปลอดภัยของวันที่ 01-06-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 01-06-2017
- ระดับแพตช์ความปลอดภัยของวันที่ 05-06-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-06-2017 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงการแก้ไขเป็น
- [ro.build.version.security_patch]:[2017-06-01]
- [ro.build.version.security_patch]:[2017-06-05]
2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 มิถุนายน 2017 จะต้องแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
- อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 มิถุนายน 2017 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในอัปเดตเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
5. * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 มิถุนายน 2017 | เผยแพร่กระดานข่าวสารแล้ว |
| 1.1 | 7 มิถุนายน 2017 | ปรับปรุงกระดานข่าวสารให้รวมลิงก์ AOSP |
| 1.2 | 11 กรกฎาคม 2017 | ปรับปรุงกระดานข่าวสารเพื่อรวม CVE-2017-6249 |
| 1.3 | 17 สิงหาคม 2017 | ประกาศฉบับแก้ไขเพื่ออัปเดตหมายเลขอ้างอิง |