กระดานข่าวความปลอดภัยของ Android—กรกฎาคม 2017

เผยแพร่เมื่อ 5 กรกฎาคม 2017 | อัปเดตเมื่อวันที่ 26 กันยายน 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 5 กรกฎาคม 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในกรอบงานสื่อที่อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดตามอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การลดปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-07-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 05-07-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 และ 2017-07-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว

การบรรเทาผลกระทบจาก Android และ Google Play Protect

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

ระดับแพตช์ความปลอดภัย 07-07-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-07-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

รันไทม์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-3544 A-35784677 อาร์ซีอี ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องโดยใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารี

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0664 A-36491278 อีโอพี สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0665 A-36991414 อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0666 A-37285689 อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0667 A-37478824 อีโอพี สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0668 A-22011579 บัตรประจำตัวประชาชน ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0669 A-34114752 บัตรประจำตัวประชาชน สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0670 A-36104177 ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ห้องสมุด

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารีได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0671 A-34514762 * อาร์ซีอี สูง 4.4.4
CVE-2016-2109 A-35443725 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0672 A-34778578 ดอส สูง 7.0, 7.1.1, 7.1.2

กรอบสื่อ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0540 A-33966031 อาร์ซีอี วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0673 A-33974623 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0674 A-34231163 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0675 A-34779227 [ 2 ] อาร์ซีอี วิกฤต 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0676 A-34896431 อาร์ซีอี วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0677 A-36035074 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0678 A-36576151 อาร์ซีอี วิกฤต 7.0, 7.1.1, 7.1.2
CVE-2017-0679 A-36996978 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0680 A-37008096 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0681 A-37208566 อาร์ซีอี วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0682 A-36588422 * อาร์ซีอี สูง 7.0, 7.1.1, 7.1.2
CVE-2017-0683 A-36591008 * อาร์ซีอี สูง 7.0, 7.1.1, 7.1.2
CVE-2017-0684 A-35421151 อีโอพี สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0685 A-34203195 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0686 A-34231231 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0688 A-35584425 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0689 A-36215950 ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0690 A-36592202 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0691 A-36724453 ดอส สูง 7.0, 7.1.1, 7.1.2
CVE-2017-0692 A-36725407 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0693 A-36993291 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0694 A-37093318 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0695 A-37094889 ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0696 A-37207120 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0697 A-37239013 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0698 A-35467458 บัตรประจำตัวประชาชน ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0699 A-36490809 บัตรประจำตัวประชาชน ปานกลาง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

UI ของระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0700 A-35639138 อาร์ซีอี สูง 7.1.1, 7.1.2
CVE-2017-0701 A-36385715 [ 2 ] อาร์ซีอี สูง 7.1.1, 7.1.2
CVE-2017-0702 A-36621442 อาร์ซีอี สูง 7.1.1, 7.1.2
CVE-2017-0703 A-33123882 อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0704 A-33059280 อีโอพี ปานกลาง 7.1.1, 7.1.2

ระดับแพตช์ความปลอดภัย 07-07-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-07-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ส่วนประกอบของบรอดคอม

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-9417 A-38041027 *
B-RB#123023
อาร์ซีอี วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-0705 A-34973477 *
B-RB#119898
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0706 A-35195787 *
B-RB#120532
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi

ส่วนประกอบของเอชทีซี

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0707 A-36088467 * อีโอพี ปานกลาง ไดร์เวอร์แอลอีดี
CVE-2017-0708 A-35384879 * บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์เสียง
CVE-2017-0709 A-35468048 * บัตรประจำตัวประชาชน ต่ำ ไดรเวอร์ฮับเซนเซอร์

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-6074 A-35784697
เคอร์เนลต้นน้ำ
อีโอพี สูง ระบบย่อยเครือข่าย
CVE-2017-5970 A-35805460
เคอร์เนลต้นน้ำ
ดอส สูง ระบบย่อยเครือข่าย
CVE-2015-5707 A-35841297
เคอร์เนลต้นน้ำ [ 2 ]
อีโอพี ปานกลาง ไดรเวอร์ SCSI
CVE-2017-7308 A-36725304
เคอร์เนลอัพสตรีม [ 2 ] [ 3 ]
อีโอพี ปานกลาง ไดรเวอร์เครือข่าย
CVE-2014-9731 A-35841292
เคอร์เนลต้นน้ำ
บัตรประจำตัวประชาชน ปานกลาง ระบบไฟล์

ส่วนประกอบ MediaTek

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0711 A-36099953 *
M-ALPS03206781
อีโอพี สูง ไดรเวอร์เครือข่าย

ส่วนประกอบของ NVIDIA

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0340 A-33968204 *
N-CVE-2017-0340
อีโอพี สูง Libnvparser
CVE-2017-0326 A-33718700 *
N-CVE-2017-0326
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์วิดีโอ

ส่วนประกอบของควอลคอมม์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-8255 A-36251983
QC-CR#985205
อีโอพี สูง บูตโหลดเดอร์
CVE-2016-10389 A-34500449
QC-CR#1009145
อีโอพี สูง บูตโหลดเดอร์
CVE-2017-8253 A-35400552
QC-CR#1086764
อีโอพี สูง ไดรเวอร์กล้อง
CVE-2017-8262 A-32938443
QC-CR#2029113
อีโอพี สูง ไดรเวอร์กราฟฟิก
CVE-2017-8263 A-34126808 *
QC-CR#1107034
อีโอพี สูง ระบบย่อยหน่วยความจำที่ใช้ร่วมกันแบบไม่ระบุชื่อ
CVE-2017-8267 A-34173755 *
QC-CR#2001129
อีโอพี สูง ระบบย่อยหน่วยความจำที่ใช้ร่วมกันแบบไม่ระบุชื่อ
CVE-2017-8273 A-35400056
QC-CR#1094372 [ 2 ]
อีโอพี สูง บูตโหลดเดอร์
CVE-2016-5863 A-36251182
QC-CR#1102936
อีโอพี ปานกลาง ไดรเวอร์ USB HID
CVE-2017-8243 A-34112490 *
QC-CR#2001803
อีโอพี ปานกลาง ไดรเวอร์ SoC
CVE-2017-8246 A-37275839
QC-CR#2008031
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-8256 A-37286701
QC-CR#1104565
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-8257 A-37282763
QC-CR#2003129
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8259 A-34359487
QC-CR#2009016
อีโอพี ปานกลาง ไดรเวอร์ SoC
CVE-2017-8260 A-34624155
QC-CR#2008469
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8261 A-35139833 *
QC-CR#2013631
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8264 A-33299365 *
QC-CR#1107702
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8265 A-32341313
QC-CR#1109755
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8266 A-33863407
QC-CR#1110924
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8268 A-34620535 *
QC-CR#2002207
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8270 A-35468665 *
QC-CR#2021363
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-8271 A-35950388 *
QC-CR#2028681
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8272 A-35950805 *
QC-CR#2028702
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8254 A-36252027
QC-CR#832914
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์เสียง
CVE-2017-8258 A-37279737
QC-CR#2005647
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8269 A-33967002 *
QC-CR#2013145
บัตรประจำตัวประชาชน ปานกลาง ไดร์เวอร์ไอพีเอ

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS ในปี 2557-2559 สิ่งเหล่านี้รวมอยู่ในกระดานข่าวความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android การแก้ไขช่องโหว่เหล่านี้มีให้โดยตรงจาก Qualcomm

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2014-9411 A-37473054 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9968 A-37304413 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9973 A-37470982 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9974 A-37471979 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9975 A-37471230 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9977 A-37471087 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9978 A-37468982 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9979 A-37471088 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9980 A-37471029 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-0575 A-37296999 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-8592 A-37470090 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-8595 A-37472411 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-8596 A-37472806 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9034 A-37305706 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9035 A-37303626 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9036 A-37303519 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9037 A-37304366 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9038 A-37303027 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9039 A-37302628 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9040 A-37303625 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9041 A-37303518 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9042 A-37301248 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9043 A-37305954 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9044 A-37303520 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9045 A-37302136 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9046 A-37301486 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9047 A-37304367 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9048 A-37305707 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9049 A-37301488 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9050 A-37302137 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9051 A-37300737 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9052 A-37304217 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9053 A-37301249 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9054 A-37303177 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9055 A-37472412 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9060 A-37472807 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9061 A-37470436 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9062 A-37472808 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9067 A-37474000 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9068 A-37470144 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9069 A-37470777 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9070 A-37474001 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9071 A-37471819 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9072 A-37474002 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9073 A-37473407 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10343 A-32580186 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10344 A-32583954 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10346 A-37473408 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10347 A-37471089 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10382 A-28823584 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10383 A-28822389 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10388 A-32580294 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10391 A-32583804 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-5871 A-37473055 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-5872 A-37472809 * ไม่มี สูง ส่วนประกอบแบบปิด

การอัปเดตอุปกรณ์ Google

ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

อุปกรณ์กูเกิล ระดับแพตช์ความปลอดภัย
พิกเซล / พิกเซล XL 05 กรกฎาคม 2017
เน็กซัส 5X 05 กรกฎาคม 2017
เน็กซัส 6 05 กรกฎาคม 2017
เน็กซัส 6พี 05 กรกฎาคม 2017
เน็กซัส 9 05 กรกฎาคม 2017
ผู้เล่นเน็กซัส 05 กรกฎาคม 2017
พิกเซล ซี 05 กรกฎาคม 2017

การอัปเดตอุปกรณ์ของ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ ถ้ามี:

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0710 A-34951864 * อีโอพี ปานกลาง ทีซีบี

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

CVE นักวิจัย
CVE-2017-8263 บิลลี่ เลา แห่ง Google
CVE-2017-0711 Chengming Yang, Baozeng Ding และ Yang Song แห่ง Alibaba Mobile Security Group
CVE-2017-0681 Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0706 ต้าซิง กัว ( @freener0 ) จาก Xuanwu Lab, Tencent
CVE-2017-8260 เดอร์เร็ก ( @derrekr6 ) และสก็อตต์ บาวเออร์
CVE-2017-8265 Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent
CVE-2017-0703 ดซมิทรี ลุคยาเนนก้า
CVE-2017-0692, CVE-2017-0694 Elphet และ Gong Guang จากทีม Alpha บริษัท Qihoo 360 Technology Co. Ltd.
CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0665 Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-8268, CVE-2017-8261 Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360
CVE-2017-0698 Joey Brand จาก Census Consulting Inc.
CVE-2017-0666, CVE-2017-0684 Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0697, CVE-2017-0670 นิกกี้1235 ( @jiych_guru )
CVE-2017-9417 นิเทย์ อาร์เทนสไตน์ แห่ง Exodus Intelligence
CVE-2017-0705, CVE-2017-8259 สกอตต์ บาวเออร์
CVE-2017-0667 ทิโมธี เบกเกอร์ แห่ง CSS Inc.
CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 วาซิลี วาซิลีฟ
CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE- 2017-0674, CVE-2017-0677 VEO ( @VYSEa ) จาก ทีมตอบสนองภัยคุกคามมือถือ , Trend Micro
CVE-2017-0708 Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent
CVE-2017-0690 Yangkang ( @dnpushme ) และ Liyadong จากทีม Qihoo 360 Qex
CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0704, CVE-2017-0669 Yuxiang Li ( @ Xbalien29 ) จากแผนกแพลตฟอร์มความปลอดภัย Tencent
CVE-2017-0710 Zach Riggle ( @ebeip90 ) จากทีมรักษาความปลอดภัย Android
CVE-2017-0678 Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0691, CVE-2017-0700 Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. และ Ao Wang ( @ArayzSegment ) จาก ทีม Pangu

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์รักษาความปลอดภัยของ 2017-07-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-07-01
  • ระดับแพตช์รักษาความปลอดภัย 05-07-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 07-07-2560 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยในวันที่ 1 กรกฎาคม 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 กรกฎาคม 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ ประเภท หมายถึงอะไร

รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

คำย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
อีโอพี การยกระดับสิทธิพิเศษ
บัตรประจำตัวประชาชน การเปิดเผยข้อมูล
ดอส การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจำแนกประเภท

4. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิงของ Broadcom

5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

รุ่นต่างๆ

เวอร์ชัน วันที่ หมายเหตุ
1.0 5 กรกฎาคม 2017 เผยแพร่กระดานข่าวแล้ว
1.1 6 กรกฎาคม 2017 กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP
1.2 11 กรกฎาคม 2017 กระดานข่าวแก้ไขเพื่ออัปเดตการรับทราบ
1.3 17 สิงหาคม 2017 กระดานข่าวแก้ไขเพื่ออัปเดตหมายเลขอ้างอิง
1.4 19 กันยายน 2017 อัปเดตการรับทราบสำหรับ CVE-2017-0710
1.5 26 กันยายน 2017 อัปเดตการรับทราบสำหรับ CVE-2017-0681