เผยแพร่เมื่อวันที่ 5 กรกฎาคม 2017 | อัปเดตเมื่อวันที่ 26 กันยายน 2017
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของวันที่ 5 กรกฎาคม 2017 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดูกำหนดการอัปเดต Pixel และ Nexus เพื่อดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารอย่างน้อย 1 เดือนที่ผ่านมา เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บข้อมูลโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวสารนี้แล้ว กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์นอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงในเฟรมเวิร์กสื่อ ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการบรรเทาปัญหาแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านอากาศ (OTA) และเฟิร์มแวร์ล่าสุดสำหรับอุปกรณ์ Google มีอยู่ในหัวข้อการอัปเดตอุปกรณ์ Google
ประกาศ
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดูข้อมูลเพิ่มเติมได้ในคำถามที่พบบ่อยและคำตอบ
- 2017-07-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-07-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 และ 2017-07-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การลดความเสี่ยงของ Android และ Google Play Protect
ข้อมูลต่อไปนี้เป็นสรุปของมาตรการบรรเทาความเสี่ยงที่ได้จากแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัย 01-07-2017 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-07-2017 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ โดยมีคำอธิบายปัญหา รวมถึงตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง
รันไทม์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | RCE | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารีได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | รหัส | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | รหัส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารีได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762* | RCE | สูง | 4.4.4 |
| CVE-2016-2109 | A-35443725 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-34778578 | DoS | สูง | 7.0, 7.1.1, 7.1.2 |
เฟรมเวิร์กสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [2] | RCE | วิกฤต | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | RCE | วิกฤต | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | RCE | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422* | RCE | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008* | RCE | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | EoP | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | DoS | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | รหัส | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | รหัส | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
UI ของระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | RCE | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [2] | RCE | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | RCE | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | EoP | ปานกลาง | 7.1.1, 7.1.2 |
ระดับแพตช์ความปลอดภัย 05-07-2017 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 05-07-2017 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ และระบุรายละเอียดต่างๆ เช่น CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง, คอมโพเนนต์ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
คอมโพเนนต์ Broadcom
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียงสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027* B-RB#123023 |
RCE | วิกฤต | ไดรเวอร์ของ Wi-Fi |
| CVE-2017-0705 | A-34973477* B-RB#119898 |
EoP | ปานกลาง | ไดรเวอร์ของ Wi-Fi |
| CVE-2017-0706 | A-35195787* B-RB#120532 |
EoP | ปานกลาง | ไดรเวอร์ของ Wi-Fi |
คอมโพเนนต์ HTC
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467* | EoP | ปานกลาง | ไดรเวอร์ LED |
| CVE-2017-0708 | A-35384879* | รหัส | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-0709 | A-35468048* | รหัส | ต่ำ | ไดรเวอร์ฮับเซ็นเซอร์ |
คอมโพเนนต์เคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 Upstream kernel |
EoP | สูง | ระบบย่อยของเครือข่าย |
| CVE-2017-5970 | A-35805460 Upstream kernel |
DoS | สูง | ระบบย่อยของเครือข่าย |
| CVE-2015-5707 | A-35841297 เคอร์เนลจาก upstream [2] |
EoP | ปานกลาง | ไดรเวอร์ SCSI |
| CVE-2017-7308 | A-36725304 เคอร์เนลจาก upstream [2] [3] |
EoP | ปานกลาง | โปรแกรมควบคุมเครือข่าย |
| CVE-2014-9731 | A-35841292 Upstream kernel |
รหัส | ปานกลาง | ระบบไฟล์ |
คอมโพเนนต์ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953* M-ALPS03206781 |
EoP | สูง | โปรแกรมควบคุมเครือข่าย |
คอมโพเนนต์ NVIDIA
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204* N-CVE-2017-0340 |
EoP | สูง | Libnvparser |
| CVE-2017-0326 | A-33718700* N-CVE-2017-0326 |
รหัส | ปานกลาง | ไดรเวอร์วิดีโอ |
คอมโพเนนต์ Qualcomm
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 |
EoP | สูง | Bootloader |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 |
EoP | สูง | Bootloader |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 |
EoP | สูง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 |
EoP | สูง | โปรแกรมควบคุม GPU |
| CVE-2017-8263 | A-34126808* QC-CR#1107034 |
EoP | สูง | ระบบย่อยหน่วยความจำที่แชร์โดยไม่ระบุชื่อ |
| CVE-2017-8267 | A-34173755* QC-CR#2001129 |
EoP | สูง | ระบบย่อยหน่วยความจำที่แชร์โดยไม่ระบุชื่อ |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [2] |
EoP | สูง | Bootloader |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 |
EoP | ปานกลาง | ไดรเวอร์ USB HID |
| CVE-2017-8243 | A-34112490* QC-CR#2001803 |
EoP | ปานกลาง | ไดรเวอร์ SoC |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 |
EoP | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 |
EoP | ปานกลาง | ไดรเวอร์ของ Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 |
EoP | ปานกลาง | ไดรเวอร์ SoC |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8264 | A-33299365* QC-CR#1107702 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8268 | A-34620535* QC-CR#2002207 |
EoP | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8270 | A-35468665* QC-CR#2021363 |
EoP | ปานกลาง | ไดรเวอร์ของ Wi-Fi |
| CVE-2017-8271 | A-35950388* QC-CR#2028681 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8272 | A-35950805* QC-CR#2028702 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8254 | A-36252027 QC-CR#832914 |
รหัส | ปานกลาง | โปรแกรมควบคุมเสียง |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 |
รหัส | ปานกลาง | โปรแกรมควบคุมกล้อง |
| CVE-2017-8269 | A-33967002* QC-CR#2013145 |
รหัส | ปานกลาง | ไดรเวอร์ IPA |
คอมโพเนนต์แบบโคลสซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ Qualcomm และมีคำอธิบายเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยของ AMSS ของ Qualcomm ในปี 2014-2016 โดยรวมอยู่ในกระดานข่าวสารด้านความปลอดภัยของ Android ฉบับนี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android การแก้ไขช่องโหว่เหล่านี้มีให้จาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9968 | A-37304413* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9973 | A-37470982* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9974 | A-37471979* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9975 | A-37471230* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9977 | A-37471087* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9978 | A-37468982* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9979 | A-37471088* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2014-9980 | A-37471029* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-0575 | A-37296999* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-8592 | A-37470090* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-8595 | A-37472411* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-8596 | A-37472806* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9034 | A-37305706* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9035 | A-37303626* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9036 | A-37303519* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9037 | A-37304366* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9038 | A-37303027* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9039 | A-37302628* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9040 | A-37303625* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9041 | A-37303518* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9042 | A-37301248* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9043 | A-37305954* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9044 | A-37303520* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9045 | A-37302136* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9046 | A-37301486* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9047 | A-37304367* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9048 | A-37305707* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9049 | A-37301488* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9050 | A-37302137* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9051 | A-37300737* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9052 | A-37304217* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9053 | A-37301249* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9054 | A-37303177* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9055 | A-37472412* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9060 | A-37472807* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9061 | A-37470436* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9062 | A-37472808* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9067 | A-37474000* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9068 | A-37470144* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9069 | A-37470777* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9070 | A-37474001* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9071 | A-37471819* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9072 | A-37474002* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2015-9073 | A-37473407* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10343 | A-32580186* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10344 | A-32583954* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10346 | A-37473408* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10347 | A-37471089* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10382 | A-28823584* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10383 | A-28822389* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10388 | A-32580294* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-10391 | A-32583804* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-5871 | A-37473055* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-5872 | A-37472809* | ไม่มี | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
การอัปเดตอุปกรณ์ Google
ตารางนี้แสดงระดับแพตช์ความปลอดภัยในการอัปเดตผ่านอากาศ (OTA) ครั้งล่าสุดและเฟิร์มแวร์สำหรับอุปกรณ์ Google รูปภาพเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google
| อุปกรณ์ Google | ระดับแพตช์ความปลอดภัย |
|---|---|
| Pixel / Pixel XL | 5 กรกฎาคม 2017 |
| Nexus 5X | 5 กรกฎาคม 2017 |
| Nexus 6 | 5 กรกฎาคม 2017 |
| Nexus 6P | 5 กรกฎาคม 2017 |
| Nexus 9 | 5 กรกฎาคม 2017 |
| Nexus Player | 5 กรกฎาคม 2017 |
| Pixel C | 5 กรกฎาคม 2017 |
การอัปเดตอุปกรณ์ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ด้วย (หากมี)
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864* | EoP | ปานกลาง | TCB |
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
| CVE | นักวิจัย |
|---|---|
| CVE-2017-8263 | Billy Lau จาก Google |
| CVE-2017-0711 | Chengming Yang, Baozeng Ding และ Yang Song จากกลุ่มรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ของ Alibaba |
| CVE-2017-0681 | Chi Zhang, Hanxiang Wen, Mingjian Zhou (@Mingjian_Zhou) และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-0706 | Daxing Guo (@freener0) จาก Xuanwu Lab, Tencent |
| CVE-2017-8260 | Derrek (@derrekr6) และ Scott Bauer |
| CVE-2017-8265 | Di Shen (@returnsme) จาก KeenLab (@keen_lab) ของ Tencent |
| CVE-2017-0703 | Dzmitry Lukyanenka |
| CVE-2017-0692, CVE-2017-0694 | Elphet และ Gong Guang จากทีมอัลฟ่าของ Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665 | Chi Zhang, Hanxiang Wen, Mingjian Zhou (@Mingjian_Zhou) และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-8268, CVE-2017-8261 | Jianqiang Zhao (@jianqiangzhao) และ pjf จาก IceSword Lab, Qihoo 360 |
| CVE-2017-0698 | Joey Brand จาก Census Consulting Inc. |
| CVE-2017-0666, CVE-2017-0684 | Mingjian Zhou (@Mingjian_Zhou), Chi Zhang และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 (@jiych_guru) |
| CVE-2017-9417 | Nitay Artenstein จาก Exodus Intelligence |
| CVE-2017-0705, CVE-2017-8259 | Scott Bauer |
| CVE-2017-0667 | Timothy Becker จาก CSS Inc. |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | Vasily Vasiliev |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE-2017-0674, CVE-2017-0677 | V.E.O (@VYSEa) จากทีมตอบสนองต่อภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro |
| CVE-2017-0708 | Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัยของ Tencent |
| CVE-2017-0690 | Yangkang (@dnpushme) และ Liyadong จากทีม Qex ของ Qihoo 360 |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Yonggang Guo (@guoygang) จากทีมวิจัย IceSword ของ Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | Yuan-Tsung Lo (computernik@gmail.com) และ Xuxian Jiangจากทีม C0RE |
| CVE-2017-0704, CVE-2017-0669 | Yuxiang Li (@Xbalien29) จากแผนกแพลตฟอร์มความปลอดภัยของ Tencent |
| CVE-2017-0710 | Zach Riggle (@ebeip90) จากทีมรักษาความปลอดภัยของ Android |
| CVE-2017-0678 | Zinuo Han จากศูนย์ตอบกลับด้านความปลอดภัยของเมืองเฉิงตู, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691, CVE-2017-0700 | Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. และ Ao Wang (@ArayzSegment) จากทีม Pangu |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านวิธีการในกำหนดการอัปเดตของ Pixel และ Nexus
- ระดับแพตช์ความปลอดภัยของวันที่ 01-07-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 01-07-2017
- ระดับแพตช์ความปลอดภัยของวันที่ 05-07-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-07-2017 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงการแก้ไขเป็น
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 กรกฎาคม 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
- อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 กรกฎาคม 2017 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในอัปเดตเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมีเครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 กรกฎาคม 2017 | เผยแพร่กระดานข่าวสารแล้ว |
| 1.1 | 6 กรกฎาคม 2017 | ปรับปรุงกระดานข่าวสารให้รวมลิงก์ AOSP |
| 1.2 | 11 กรกฎาคม 2017 | แก้ไขกระดานข่าวสารเพื่ออัปเดตการรับรอง |
| 1.3 | 17 สิงหาคม 2017 | ประกาศฉบับแก้ไขเพื่ออัปเดตหมายเลขอ้างอิง |
| 1.4 | 19 กันยายน 2017 | การขอบคุณที่อัปเดตสำหรับ CVE-2017-0710 |
| 1.5 | 26 กันยายน 2017 | การขอบคุณที่อัปเดตสำหรับ CVE-2017-0681 |