เผยแพร่เมื่อ 5 กรกฎาคม 2017 | อัปเดตเมื่อวันที่ 26 กันยายน 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 5 กรกฎาคม 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในกรอบงานสื่อที่อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดตามอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การลดปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 01-07-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 05-07-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 และ 2017-07-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การบรรเทาผลกระทบจาก Android และ Google Play Protect
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัย 07-07-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-07-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
รันไทม์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | อาร์ซีอี | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
กรอบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องโดยใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารี
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | อีโอพี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | อีโอพี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | อีโอพี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | อีโอพี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | บัตรประจำตัวประชาชน | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | บัตรประจำตัวประชาชน | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารีได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762 * | อาร์ซีอี | สูง | 4.4.4 |
| CVE-2016-2109 | A-35443725 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-34778578 | ดอส | สูง | 7.0, 7.1.1, 7.1.2 |
กรอบสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | อาร์ซีอี | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [ 2 ] | อาร์ซีอี | วิกฤต | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | อาร์ซีอี | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | อาร์ซีอี | วิกฤต | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | อาร์ซีอี | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422 * | อาร์ซีอี | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008 * | อาร์ซีอี | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | อีโอพี | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | ดอส | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | บัตรประจำตัวประชาชน | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | บัตรประจำตัวประชาชน | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
UI ของระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | อาร์ซีอี | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [ 2 ] | อาร์ซีอี | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | อาร์ซีอี | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | อีโอพี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | อีโอพี | ปานกลาง | 7.1.1, 7.1.2 |
ระดับแพตช์ความปลอดภัย 07-07-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-07-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ส่วนประกอบของบรอดคอม
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027 * B-RB#123023 | อาร์ซีอี | วิกฤต | ไดรเวอร์ Wi-Fi |
| CVE-2017-0705 | A-34973477 * B-RB#119898 | อีโอพี | ปานกลาง | ไดรเวอร์ Wi-Fi |
| CVE-2017-0706 | A-35195787 * B-RB#120532 | อีโอพี | ปานกลาง | ไดรเวอร์ Wi-Fi |
ส่วนประกอบของเอชทีซี
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467 * | อีโอพี | ปานกลาง | ไดร์เวอร์แอลอีดี |
| CVE-2017-0708 | A-35384879 * | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-0709 | A-35468048 * | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์ฮับเซนเซอร์ |
ส่วนประกอบเคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 เคอร์เนลต้นน้ำ | อีโอพี | สูง | ระบบย่อยเครือข่าย |
| CVE-2017-5970 | A-35805460 เคอร์เนลต้นน้ำ | ดอส | สูง | ระบบย่อยเครือข่าย |
| CVE-2015-5707 | A-35841297 เคอร์เนลต้นน้ำ [ 2 ] | อีโอพี | ปานกลาง | ไดรเวอร์ SCSI |
| CVE-2017-7308 | A-36725304 เคอร์เนลอัพสตรีม [ 2 ] [ 3 ] | อีโอพี | ปานกลาง | ไดรเวอร์เครือข่าย |
| CVE-2014-9731 | A-35841292 เคอร์เนลต้นน้ำ | บัตรประจำตัวประชาชน | ปานกลาง | ระบบไฟล์ |
ส่วนประกอบ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953 * M-ALPS03206781 | อีโอพี | สูง | ไดรเวอร์เครือข่าย |
ส่วนประกอบของ NVIDIA
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204 * N-CVE-2017-0340 | อีโอพี | สูง | Libnvparser |
| CVE-2017-0326 | A-33718700 * N-CVE-2017-0326 | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์วิดีโอ |
ส่วนประกอบของควอลคอมม์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 | อีโอพี | สูง | บูตโหลดเดอร์ |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 | อีโอพี | สูง | บูตโหลดเดอร์ |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 | อีโอพี | สูง | ไดรเวอร์กล้อง |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 | อีโอพี | สูง | ไดรเวอร์กราฟฟิก |
| CVE-2017-8263 | A-34126808 * QC-CR#1107034 | อีโอพี | สูง | ระบบย่อยหน่วยความจำที่ใช้ร่วมกันแบบไม่ระบุชื่อ |
| CVE-2017-8267 | A-34173755 * QC-CR#2001129 | อีโอพี | สูง | ระบบย่อยหน่วยความจำที่ใช้ร่วมกันแบบไม่ระบุชื่อ |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [ 2 ] | อีโอพี | สูง | บูตโหลดเดอร์ |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 | อีโอพี | ปานกลาง | ไดรเวอร์ USB HID |
| CVE-2017-8243 | A-34112490 * QC-CR#2001803 | อีโอพี | ปานกลาง | ไดรเวอร์ SoC |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 | อีโอพี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 | อีโอพี | ปานกลาง | ไดรเวอร์ Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 | อีโอพี | ปานกลาง | ไดรเวอร์ SoC |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8261 | A-35139833 * QC-CR#2013631 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8264 | A-33299365 * QC-CR#1107702 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8268 | A-34620535 * QC-CR#2002207 | อีโอพี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8270 | A-35468665 * QC-CR#2021363 | อีโอพี | ปานกลาง | ไดรเวอร์ Wi-Fi |
| CVE-2017-8271 | A-35950388 * QC-CR#2028681 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8272 | A-35950805 * QC-CR#2028702 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8254 | A-36252027 QC-CR#832914 | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8269 | A-33967002 * QC-CR#2013145 | บัตรประจำตัวประชาชน | ปานกลาง | ไดร์เวอร์ไอพีเอ |
ส่วนประกอบโอเพ่นซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS ในปี 2557-2559 สิ่งเหล่านี้รวมอยู่ในกระดานข่าวความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android การแก้ไขช่องโหว่เหล่านี้มีให้โดยตรงจาก Qualcomm
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9968 | A-37304413 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9973 | A-37470982 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9974 | A-37471979 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9975 | A-37471230 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9977 | A-37471087 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9978 | A-37468982 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9979 | A-37471088 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2014-9980 | A-37471029 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-0575 | A-37296999 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-8592 | A-37470090 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-8595 | A-37472411 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-8596 | A-37472806 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9034 | A-37305706 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9035 | A-37303626 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9036 | A-37303519 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9037 | A-37304366 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9038 | A-37303027 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9039 | A-37302628 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9040 | A-37303625 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9041 | A-37303518 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9042 | A-37301248 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9043 | A-37305954 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9044 | A-37303520 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9045 | A-37302136 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9046 | A-37301486 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9047 | A-37304367 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9048 | A-37305707 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9049 | A-37301488 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9050 | A-37302137 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9051 | A-37300737 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9052 | A-37304217 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9053 | A-37301249 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9054 | A-37303177 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9055 | A-37472412 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9060 | A-37472807 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9061 | A-37470436 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9062 | A-37472808 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9067 | A-37474000 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9068 | A-37470144 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9069 | A-37470777 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9070 | A-37474001 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9071 | A-37471819 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9072 | A-37474002 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2015-9073 | A-37473407 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10343 | A-32580186 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10344 | A-32583954 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10346 | A-37473408 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10347 | A-37471089 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10382 | A-28823584 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10383 | A-28822389 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10388 | A-32580294 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-10391 | A-32583804 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-5871 | A-37473055 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
| CVE-2016-5872 | A-37472809 * | ไม่มี | สูง | ส่วนประกอบแบบปิด |
การอัปเดตอุปกรณ์ Google
ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
| อุปกรณ์กูเกิล | ระดับแพตช์ความปลอดภัย |
|---|---|
| พิกเซล / พิกเซล XL | 05 กรกฎาคม 2017 |
| เน็กซัส 5X | 05 กรกฎาคม 2017 |
| เน็กซัส 6 | 05 กรกฎาคม 2017 |
| เน็กซัส 6พี | 05 กรกฎาคม 2017 |
| เน็กซัส 9 | 05 กรกฎาคม 2017 |
| ผู้เล่นเน็กซัส | 05 กรกฎาคม 2017 |
| พิกเซล ซี | 05 กรกฎาคม 2017 |
การอัปเดตอุปกรณ์ของ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ ถ้ามี:
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864 * | อีโอพี | ปานกลาง | ทีซีบี |
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
| CVE | นักวิจัย |
|---|---|
| CVE-2017-8263 | บิลลี่ เลา แห่ง Google |
| CVE-2017-0711 | Chengming Yang, Baozeng Ding และ Yang Song แห่ง Alibaba Mobile Security Group |
| CVE-2017-0681 | Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0706 | ต้าซิง กัว ( @freener0 ) จาก Xuanwu Lab, Tencent |
| CVE-2017-8260 | เดอร์เร็ก ( @derrekr6 ) และสก็อตต์ บาวเออร์ |
| CVE-2017-8265 | Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent |
| CVE-2017-0703 | ดซมิทรี ลุคยาเนนก้า |
| CVE-2017-0692, CVE-2017-0694 | Elphet และ Gong Guang จากทีม Alpha บริษัท Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665 | Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-8268, CVE-2017-8261 | Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360 |
| CVE-2017-0698 | Joey Brand จาก Census Consulting Inc. |
| CVE-2017-0666, CVE-2017-0684 | Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0697, CVE-2017-0670 | นิกกี้1235 ( @jiych_guru ) |
| CVE-2017-9417 | นิเทย์ อาร์เทนสไตน์ แห่ง Exodus Intelligence |
| CVE-2017-0705, CVE-2017-8259 | สกอตต์ บาวเออร์ |
| CVE-2017-0667 | ทิโมธี เบกเกอร์ แห่ง CSS Inc. |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | วาซิลี วาซิลีฟ |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE- 2017-0674, CVE-2017-0677 | VEO ( @VYSEa ) จาก ทีมตอบสนองภัยคุกคามมือถือ , Trend Micro |
| CVE-2017-0708 | Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent |
| CVE-2017-0690 | Yangkang ( @dnpushme ) และ Liyadong จากทีม Qihoo 360 Qex |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0704, CVE-2017-0669 | Yuxiang Li ( @ Xbalien29 ) จากแผนกแพลตฟอร์มความปลอดภัย Tencent |
| CVE-2017-0710 | Zach Riggle ( @ebeip90 ) จากทีมรักษาความปลอดภัย Android |
| CVE-2017-0678 | Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691, CVE-2017-0700 | Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. และ Ao Wang ( @ArayzSegment ) จาก ทีม Pangu |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus
- ระดับแพตช์รักษาความปลอดภัยของ 2017-07-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-07-01
- ระดับแพตช์รักษาความปลอดภัย 05-07-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 07-07-2560 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยในวันที่ 1 กรกฎาคม 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 กรกฎาคม 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| คำย่อ | คำนิยาม |
|---|---|
| อาร์ซีอี | การเรียกใช้โค้ดจากระยะไกล |
| อีโอพี | การยกระดับสิทธิพิเศษ |
| บัตรประจำตัวประชาชน | การเปิดเผยข้อมูล |
| ดอส | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจำแนกประเภท |
4. รายการในคอลัมน์ References หมายถึงอะไร?
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
| เอ็ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิงของ Broadcom |
5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายถึงอะไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
รุ่นต่างๆ
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 กรกฎาคม 2017 | เผยแพร่กระดานข่าวแล้ว |
| 1.1 | 6 กรกฎาคม 2017 | กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP |
| 1.2 | 11 กรกฎาคม 2017 | กระดานข่าวแก้ไขเพื่ออัปเดตการรับทราบ |
| 1.3 | 17 สิงหาคม 2017 | กระดานข่าวแก้ไขเพื่ออัปเดตหมายเลขอ้างอิง |
| 1.4 | 19 กันยายน 2017 | อัปเดตการรับทราบสำหรับ CVE-2017-0710 |
| 1.5 | 26 กันยายน 2017 | อัปเดตการรับทราบสำหรับ CVE-2017-0681 |