發佈於 2017 年 7 月 5 日 |更新於 2017 年 9 月 26 日
Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。 2017 年 7 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。請參閱Pixel 和 Nexus 更新時間表,以了解如何檢查裝置的安全修補程式等級。
合作夥伴至少在一個月前就收到了公告中所述的問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。
其中最嚴重的問題是媒體框架中的一個關鍵安全漏洞,該漏洞可能使遠端攻擊者能夠使用特製檔案在特權進程的上下文中執行任意程式碼。嚴重性評估是基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而關閉或成功繞過。
我們尚未收到有關客戶主動利用或濫用這些新報告問題的報告。有關Android 安全平台保護和Google Play Protect 的詳細信息,請參閱 Android 和 Google Play Protect 緩解措施部分,這些保護可提高 Android 平台的安全性。
我們鼓勵所有客戶接受對其設備的這些更新。
注意:有關 Google 裝置的最新無線更新 (OTA) 和韌體映像的信息,請參閱Google 裝置更新部分。
公告
- 此公告有兩個安全性修補程式等級字串,可讓 Android 合作夥伴靈活地更快地修復所有 Android 裝置上相似的漏洞子集。有關更多信息,請參閱常見問題和解答:
- 2017-07-01 :部分安全補丁等級字串。此安全性修補程式等級字串表示與 2017-07-01(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
- 2017-07-05 :完整的安全補丁等級字串。此安全性修補程式等級字串表示與 2017-07-01 和 2017-07-05(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
Android 與 Google Play Protect 緩解措施
這是Android 安全平台和服務保護(例如Google Play Protect)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。
- 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
- Android 安全團隊透過Google Play Protect積極監控濫用行為,並向使用者發出潛在有害應用程式的警告。預設情況下,在具有Google 行動服務的裝置上啟用 Google Play Protect,這對於從 Google Play 外部安裝應用程式的使用者尤其重要。
2017-07-01 安全修補程式等級—漏洞詳情
在下面的部分中,我們提供了適用於 2017-07-01 修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的組件進行分組。有問題的描述和包含 CVE、相關參考文獻、漏洞類型、嚴重性和更新的 AOSP 版本(如果適用)的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
運行
本節中最嚴重的漏洞可能使遠端攻擊者能夠使用特製檔案在非特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | 遠端程式碼執行 | 緩和 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
框架
本節中最嚴重的漏洞可能使本機惡意應用程式使用特製檔案在使用該程式庫的應用程式上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | 結束時間 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0665 | A-36991414 | 結束時間 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0666 | A-37285689 | 結束時間 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0667 | A-37478824 | 結束時間 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0668 | A-22011579 | ID | 緩和 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0669 | A-34114752 | ID | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0670 | A-36104177 | 拒絕服務 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
圖書館
本節中最嚴重的漏洞可能使遠端攻擊者能夠使用特製檔案在使用該程式庫的應用程式上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762 * | 遠端程式碼執行 | 高的 | 4.4.4 |
| CVE-2016-2109 | A-35443725 | 拒絕服務 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0672 | A-34778578 | 拒絕服務 | 高的 | 7.0、7.1.1、7.1.2 |
媒體框架
本節中最嚴重的漏洞可能使遠端攻擊者能夠使用特製檔案在特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | 遠端程式碼執行 | 批判的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0673 | A-33974623 | 遠端程式碼執行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0674 | A-34231163 | 遠端程式碼執行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0675 | A-34779227 [ 2 ] | 遠端程式碼執行 | 批判的 | 6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0676 | A-34896431 | 遠端程式碼執行 | 批判的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0677 | A-36035074 | 遠端程式碼執行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0678 | A-36576151 | 遠端程式碼執行 | 批判的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0679 | A-36996978 | 遠端程式碼執行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0680 | A-37008096 | 遠端程式碼執行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0681 | A-37208566 | 遠端程式碼執行 | 批判的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0682 | A-36588422 * | 遠端程式碼執行 | 高的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0683 | A-36591008 * | 遠端程式碼執行 | 高的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0684 | A-35421151 | 結束時間 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0685 | A-34203195 | 拒絕服務 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0686 | A-34231231 | 拒絕服務 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0688 | A-35584425 | 拒絕服務 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0689 | A-36215950 | 拒絕服務 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0690 | A-36592202 | 拒絕服務 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0691 | A-36724453 | 拒絕服務 | 高的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0692 | A-36725407 | 拒絕服務 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0693 | A-36993291 | 拒絕服務 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0694 | A-37093318 | 拒絕服務 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0695 | A-37094889 | 拒絕服務 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0696 | A-37207120 | 拒絕服務 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0697 | A-37239013 | 拒絕服務 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0698 | A-35467458 | ID | 緩和 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0699 | A-36490809 | ID | 緩和 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
系統介面
本節中最嚴重的漏洞可能使遠端攻擊者能夠使用特製檔案在特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | 遠端程式碼執行 | 高的 | 7.1.1、7.1.2 |
| CVE-2017-0701 | A-36385715 [ 2 ] | 遠端程式碼執行 | 高的 | 7.1.1、7.1.2 |
| CVE-2017-0702 | A-36621442 | 遠端程式碼執行 | 高的 | 7.1.1、7.1.2 |
| CVE-2017-0703 | A-33123882 | 結束時間 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0704 | A-33059280 | 結束時間 | 緩和 | 7.1.1、7.1.2 |
2017-07-05 安全修補程式等級—漏洞詳情
在下面的部分中,我們提供了適用於 2017-07-05 修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的元件進行分組,包括 CVE、關聯引用、漏洞類型、嚴重性、元件(如果適用)和更新的 AOSP 版本(如果適用)等詳細資訊。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
博通組件
本節中最嚴重的漏洞可能使鄰近的攻擊者能夠在核心上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027 * B-RB#123023 | 遠端程式碼執行 | 批判的 | 無線網路驅動程式 |
| CVE-2017-0705 | A-34973477 * B-RB#119898 | 結束時間 | 緩和 | 無線網路驅動程式 |
| CVE-2017-0706 | A-35195787 * B-RB#120532 | 結束時間 | 緩和 | 無線網路驅動程式 |
HTC 元件
本節中最嚴重的漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467 * | 結束時間 | 緩和 | LED驅動器 |
| CVE-2017-0708 | A-35384879 * | ID | 緩和 | 聲音驅動程式 |
| CVE-2017-0709 | A-35468048 * | ID | 低的 | 感測器集線器驅動程式 |
核心元件
本節中最嚴重的漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 上游內核 | 結束時間 | 高的 | 網路子系統 |
| CVE-2017-5970 | A-35805460 上游內核 | 拒絕服務 | 高的 | 網路子系統 |
| CVE-2015-5707 | A-35841297 上游內核[ 2 ] | 結束時間 | 緩和 | SCSI驅動程式 |
| CVE-2017-7308 | A-36725304 上游內核[ 2 ] [ 3 ] | 結束時間 | 緩和 | 網路驅動程式 |
| CVE-2014-9731 | A-35841292 上游內核 | ID | 緩和 | 檔案系統 |
聯發科技組件
本節中最嚴重的漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953 * M-ALPS03206781 | 結束時間 | 高的 | 網路驅動程式 |
NVIDIA 組件
本節中最嚴重的漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204 * N-CVE-2017-0340 | 結束時間 | 高的 | Libnv解析器 |
| CVE-2017-0326 | A-33718700 * N-CVE-2017-0326 | ID | 緩和 | 視訊驅動程式 |
高通組件
本節中最嚴重的漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 | 結束時間 | 高的 | 引導程式 |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 | 結束時間 | 高的 | 引導程式 |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 | 結束時間 | 高的 | 網路攝影機驅動 |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 | 結束時間 | 高的 | GPU驅動程式 |
| CVE-2017-8263 | A-34126808 * QC-CR#1107034 | 結束時間 | 高的 | 匿名共享記憶體子系統 |
| CVE-2017-8267 | A-34173755 * QC-CR#2001129 | 結束時間 | 高的 | 匿名共享記憶體子系統 |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [ 2 ] | 結束時間 | 高的 | 引導程式 |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 | 結束時間 | 緩和 | USB HID 驅動程式 |
| CVE-2017-8243 | A-34112490 * QC-CR#2001803 | 結束時間 | 緩和 | 系統單晶片驅動程式 |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 | 結束時間 | 緩和 | 聲音驅動程式 |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 | 結束時間 | 緩和 | 無線網路驅動程式 |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 | 結束時間 | 緩和 | 視訊驅動程式 |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 | 結束時間 | 緩和 | 系統單晶片驅動程式 |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 | 結束時間 | 緩和 | 網路攝影機驅動 |
| CVE-2017-8261 | A-35139833 * QC-CR#2013631 | 結束時間 | 緩和 | 網路攝影機驅動 |
| CVE-2017-8264 | A-33299365 * QC-CR#1107702 | 結束時間 | 緩和 | 網路攝影機驅動 |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 | 結束時間 | 緩和 | 視訊驅動程式 |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 | 結束時間 | 緩和 | 視訊驅動程式 |
| CVE-2017-8268 | A-34620535 * QC-CR#2002207 | 結束時間 | 緩和 | 網路攝影機驅動 |
| CVE-2017-8270 | A-35468665 * QC-CR#2021363 | 結束時間 | 緩和 | 無線網路驅動程式 |
| CVE-2017-8271 | A-35950388 * QC-CR#2028681 | 結束時間 | 緩和 | 視訊驅動程式 |
| CVE-2017-8272 | A-35950805 * QC-CR#2028702 | 結束時間 | 緩和 | 視訊驅動程式 |
| CVE-2017-8254 | A-36252027 QC-CR#832914 | ID | 緩和 | 聲音驅動程式 |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 | ID | 緩和 | 網路攝影機驅動 |
| CVE-2017-8269 | A-33967002 * QC-CR#2013145 | ID | 緩和 | 國際音標驅動程式 |
高通閉源元件
這些漏洞影響 Qualcomm 組件,並在 2014-2016 年 Qualcomm AMSS 安全公告中進行了更詳細的描述。它們包含在此 Android 安全性公告中,以便將其修復與 Android 安全性修補程式等級相關聯。這些漏洞的修復可直接從高通取得。
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9968 | A-37304413 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9973 | A-37470982 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9974 | A-37471979 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9975 | A-37471230 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9977 | A-37471087 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9978 | A-37468982 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9979 | A-37471088 * | 不適用 | 高的 | 閉源元件 |
| CVE-2014-9980 | A-37471029 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-0575 | A-37296999 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-8592 | A-37470090 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-8595 | A-37472411 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-8596 | A-37472806 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9034 | A-37305706 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9035 | A-37303626 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9036 | A-37303519 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9037 | A-37304366 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9038 | A-37303027 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9039 | A-37302628 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9040 | A-37303625 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9041 | A-37303518 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9042 | A-37301248 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9043 | A-37305954 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9044 | A-37303520 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9045 | A-37302136 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9046 | A-37301486 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9047 | A-37304367 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9048 | A-37305707 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9049 | A-37301488 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9050 | A-37302137 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9051 | A-37300737 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9052 | A-37304217 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9053 | A-37301249 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9054 | A-37303177 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9055 | A-37472412 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9060 | A-37472807 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9061 | A-37470436 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9062 | A-37472808 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9067 | A-37474000 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9068 | A-37470144 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9069 | A-37470777 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9070 | A-37474001 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9071 | A-37471819 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9072 | A-37474002 * | 不適用 | 高的 | 閉源元件 |
| CVE-2015-9073 | A-37473407 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10343 | A-32580186 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10344 | A-32583954 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10346 | A-37473408 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10347 | A-37471089 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10382 | A-28823584 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10383 | A-28822389 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10388 | A-32580294 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-10391 | A-32583804 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-5871 | A-37473055 * | 不適用 | 高的 | 閉源元件 |
| CVE-2016-5872 | A-37472809 * | 不適用 | 高的 | 閉源元件 |
谷歌設備更新
此表包含 Google 裝置的最新無線更新 (OTA) 和韌體映像中的安全性修補程式等級。 Google 裝置韌體映像可在Google Developer 網站上取得。
| 谷歌設備 | 安全補丁級別 |
|---|---|
| 像素/像素XL | 2017 年 7 月 5 日 |
| Nexus 5X | 2017 年 7 月 5 日 |
| Nexus 6 | 2017 年 7 月 5 日 |
| Nexus 6P | 2017 年 7 月 5 日 |
| Nexus 9 | 2017 年 7 月 5 日 |
| Nexus 播放器 | 2017 年 7 月 5 日 |
| 像素C | 2017 年 7 月 5 日 |
Google 裝置更新還包含針對這些安全漏洞的修補程式(如果適用):
| CVE | 參考 | 類型 | 嚴重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864 * | 結束時間 | 緩和 | TCB |
致謝
我們要感謝這些研究人員的貢獻:
| CVE | 研究者 |
|---|---|
| CVE-2017-8263 | Google的比利劉 |
| CVE-2017-0711 | 阿里巴巴行動安全事業部楊成明、丁寶增、宋楊 |
| CVE-2017-0681 | C0RE 團隊的Chi Chang 、 Hanyang Wen 、Mingjian Zhou ( @Mingjian_Zhou ) 和 Xuxian Jiang |
| CVE-2017-0706 | 騰訊玄武實驗室的郭士大興 ( @freener0 ) |
| CVE-2017-8260 | 德里克 ( @derrekr6 ) 和斯科特鮑爾 |
| CVE-2017-8265 | 騰訊科恩實驗室 ( @keen_lab ) 的沉迪 ( @returnsme ) |
| CVE-2017-0703 | 德茲米特里·盧基亞寧卡 |
| CVE-2017-0692、CVE-2017-0694 | 奇虎 360 科技有限公司 Alpha 團隊的 Elphet 與龔光 |
| CVE-2017-8266、CVE-2017-8243、CVE-2017-8270 | 奇虎 360 科技有限公司 IceSword 實驗室的 Gengjia Chen ( @ Chengjia4574 ) 和pjf |
| CVE-2017-0665 | C0RE 團隊的Chi Chang 、 Hanyang Wen 、Mingjian Zhou ( @Mingjian_Zhou ) 和 Xuxian Jiang |
| CVE-2017-8268、CVE-2017-8261 | 奇虎 360 IceSword 實驗室的趙建強 ( @jianqiangzhao ) 和pjf |
| CVE-2017-0698 | 人口普查諮詢公司的喬伊·布蘭德 |
| CVE-2017-0666、CVE-2017-0684 | C0RE 團隊的 Mingjian Zhou ( @Mingjian_Zhou )、 Chi Zhang和 Xuxian Jiang |
| CVE-2017-0697、CVE-2017-0670 | Niky1235 ( @jiych_guru ) |
| CVE-2017-9417 | Exodus Intelligence 的 Nitay Artenstein |
| CVE-2017-0705、CVE-2017-8259 | 斯科特·鮑爾 |
| CVE-2017-0667 | CSS Inc. 的 Timothy Becker |
| CVE-2017-0682、CVE-2017-0683、CVE-2017-0676、CVE-2017-0696、CVE-2017-0675、CVE-2017-0701、CVE-2017-0675、CVE-2017-0701、CVE-2017-0702、CVE691 | 瓦西里·瓦西里耶夫 |
| CVE-2017-0695、CVE-2017-0689、CVE-2017-0540、CVE-2017-0680、CVE-2017-0679、CVE-2017-0685、CVE-2017-0679、CVE-2017-0685、CVE-2017-0686、CVE637-0685、CVE-2017-0686-CVE. 2017-0674、CVE-2017-0677 | 趨勢科技行動威脅反應團隊的 VEO ( @VYSEa ) |
| CVE-2017-0708 | 騰訊安全平台部龔希靈 |
| CVE-2017-0690 | 奇虎 360 Qex 團隊的 Yangkang ( @dnpushme ) 和 Liyadong |
| CVE-2017-8269、CVE-2017-8271、CVE-2017-8272、CVE-2017-8267 | 奇虎 360 科技有限公司 IceSword 實驗室的郭永剛 ( @guoygang ) |
| CVE-2017-8264、CVE-2017-0326、CVE-2017-0709 | C0RE 團隊的 Yuan-Tsung Lo ( computernik@gmail.com ) 和 Xuxian Jiang |
| CVE-2017-0704、CVE-2017-0669 | 騰訊安全平台部的 Yuxiang Li ( @Xbalien29 ) |
| CVE-2017-0710 | Android 安全團隊的 Zach Riggle ( @ebeip90 ) |
| CVE-2017-0678 | 奇虎 360 科技有限公司成都安全反應中心韓子諾 |
| CVE-2017-0691、CVE-2017-0700 | 成都安全響應中心的韓子諾、奇虎 360 科技有限公司以及盤古團隊的王傲 ( @ArayzSegment ) |
常見問題及解答
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的裝置是否已更新以解決這些問題?
若要了解如何檢查裝置的安全修補程式級別,請閱讀Pixel 和 Nexus 更新計畫上的說明。
- 2017-07-01 或更高版本的安全性修補程式等級解決了與 2017-07-01 安全性修補程式等級相關的所有問題。
- 2017-07-05 或更高版本的安全性修補程式等級解決了與 2017-07-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。
包含這些更新的裝置製造商應將補丁字串層級設定為:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2.為什麼本公告有兩個安全修補程式等級?
此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。
- 使用 2017 年 7 月 1 日安全修補程式等級的裝置必須包含與該安全修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復。
- 使用 2017 年 7 月 5 日或更高版本安全性修補程式層級的裝置必須包含本(和先前)安全性公告中的所有適用修補程式。
我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。
3.類型欄中的條目是什麼意思?
漏洞詳細資料表的「類型」欄位中的條目引用安全漏洞的分類。
| 縮寫 | 定義 |
|---|---|
| 遠端程式碼執行 | 遠端程式碼執行 |
| 結束時間 | 特權提升 |
| ID | 資訊揭露 |
| 拒絕服務 | 拒絕服務 |
| 不適用 | 分類不可用 |
4.參考文獻欄中的條目是什麼意思?
漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。
| 字首 | 參考 |
|---|---|
| A- | 安卓錯誤 ID |
| QC- | 高通參考號 |
| M- | 聯發科參考號 |
| N- | NVIDIA 參考號 |
| B- | 博通參考號 |
5.參考資料欄中 Android bug ID 旁邊的 * 是什麼意思?
未公開發布的問題在「參考資料」列中的 Android bug ID 旁邊有一個 *。此問題的更新通常包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
版本
| 版本 | 日期 | 筆記 |
|---|---|---|
| 1.0 | 2017 年 7 月 5 日 | 公告發布。 |
| 1.1 | 2017 年 7 月 6 日 | 公告已修訂,包含 AOSP 連結。 |
| 1.2 | 2017 年 7 月 11 日 | 修訂公告以更新致謝資訊。 |
| 1.3 | 2017 年 8 月 17 日 | 修訂公告以更新參考編號。 |
| 1.4 | 2017 年 9 月 19 日 | 更新了 CVE-2017-0710 的致謝資訊。 |
| 1.5 | 2017 年 9 月 26 日 | 更新了 CVE-2017-0681 的致謝資訊。 |