เผยแพร่เมื่อ 7 สิงหาคม 2017 | อัปเดตเมื่อวันที่ 23 สิงหาคม 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 5 สิงหาคม 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในกรอบงานสื่อที่อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดตามอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การลดปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 01-08-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-08-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 05-08-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-08-01 และ 2017-08-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การบรรเทาผลกระทบจาก Android และ Google Play Protect
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัย 01-08-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-08-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
กรอบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องโดยใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0712 | A-37207928 | อีโอพี | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0713 | A-32096780 [ 2 ] | อาร์ซีอี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
กรอบสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0714 | A-36492637 | อาร์ซีอี | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0715 | A-36998372 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0716 | A-37203196 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0718 | A-37273547 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0719 | A-37273673 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0720 | A-37430213 | อาร์ซีอี | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0721 | A-37561455 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0722 | A-37660827 | อาร์ซีอี | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0723 | A-37968755 | อาร์ซีอี | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0745 | A-37079296 | อาร์ซีอี | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0724 | A-36819262 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0725 | A-37627194 | ดอส | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0726 | A-36389123 | ดอส | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0727 | A-33004354 | อีโอพี | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0728 | A-37469795 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0729 | A-37710346 | อีโอพี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0730 | A-36279112 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0731 | A-36075363 | อีโอพี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0732 | A-37504237 | อีโอพี | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0733 | A-38391487 | ดอส | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0734 | A-38014992 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0735 | A-38239864 [ 2 ] | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0736 | A-38487564 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0687 | A-35583675 | ดอส | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0737 | A-37563942 | อีโอพี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0805 | A-37237701 | อีโอพี | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0738 | A-37563371 [ 2 ] | บัตรประจำตัวประชาชน | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0739 | A-37712181 | บัตรประจำตัวประชาชน | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ระดับแพตช์ความปลอดภัย 08-08-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-08-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ส่วนประกอบของบรอดคอม
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0740 | A-37168488 * B-RB#116402 | อาร์ซีอี | ปานกลาง | ไดรเวอร์เครือข่าย |
ส่วนประกอบเคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-10661 | A-36266767 เคอร์เนลต้นน้ำ | อีโอพี | สูง | ระบบไฟล์ |
| CVE-2017-0750 | A-36817013 * | อีโอพี | ปานกลาง | ระบบไฟล์ |
| CVE-2017-10662 | A-36815012 เคอร์เนลต้นน้ำ | อีโอพี | ปานกลาง | ระบบไฟล์ |
| CVE-2017-10663 | A-36588520 เคอร์เนลต้นน้ำ | อีโอพี | ปานกลาง | ระบบไฟล์ |
| CVE-2017-0749 | A-36007735 * | อีโอพี | ปานกลาง | เคอร์เนลลินุกซ์ |
ส่วนประกอบ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0741 | A-32458601 * M-ALPS03007523 | อีโอพี | สูง | ไดรเวอร์กราฟฟิก |
| CVE-2017-0742 | A-36074857 * M-ALPS03275524 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
ส่วนประกอบของควอลคอมม์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0746 | A-35467471 * QC-CR#2029392 | อีโอพี | ปานกลาง | ไดรเวอร์ไอพีเอ |
| CVE-2017-0747 | A-32524214 * QC-CR#2044821 | อีโอพี | ปานกลาง | ส่วนประกอบที่เป็นกรรมสิทธิ์ |
| CVE-2017-9678 | A-35258962 * QC-CR#2028228 | อีโอพี | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-9691 | A-33842910 * QC-CR#1116560 | อีโอพี | ปานกลาง | ไดรเวอร์ MobiCore (Trustonic) |
| CVE-2017-9684 | A-35136547 * QC-CR#2037524 | อีโอพี | ปานกลาง | ไดรเวอร์ยูเอสบี |
| CVE-2017-9682 | A-36491445 * QC-CR#2030434 | บัตรประจำตัวประชาชน | ปานกลาง | ไดรเวอร์กราฟฟิก |
การอัปเดตอุปกรณ์ Google
ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
| อุปกรณ์กูเกิล | ระดับแพตช์ความปลอดภัย |
|---|---|
| พิกเซล / พิกเซล XL | 05 สิงหาคม 2017 |
| เน็กซัส 5X | 05 สิงหาคม 2017 |
| เน็กซัส 6 | 05 สิงหาคม 2017 |
| เน็กซัส 6พี | 05 สิงหาคม 2017 |
| เน็กซัส 9 | 05 สิงหาคม 2017 |
| ผู้เล่นเน็กซัส | 05 สิงหาคม 2017 |
| พิกเซล ซี | 05 สิงหาคม 2017 |
การอัปเดตอุปกรณ์ของ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ ถ้ามี:
| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0744 | A-34112726 * N-CVE-2017-0744 | อีโอพี | ต่ำ | ไดรเวอร์เสียง |
| CVE-2017-9679 | A-35644510 * QC-CR#2029409 | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์ SoC |
| CVE-2017-9680 | A-35764241 * QC-CR#2030137 | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์ SoC |
| CVE-2017-0748 | A-35764875 * QC-CR#2029798 | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์เสียง |
| CVE-2017-9681 | A-36386593 * QC-CR#2030426 | บัตรประจำตัวประชาชน | ต่ำ | คนขับวิทยุ |
| CVE-2017-9693 | A-36817798 * QC-CR#2044820 | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์เครือข่าย |
| CVE-2017-9694 | A-36818198 * QC-CR#2045470 | บัตรประจำตัวประชาชน | ต่ำ | ไดรเวอร์เครือข่าย |
| CVE-2017-0751 | A-36591162 * QC-CR#2045061 | อีโอพี | ต่ำ | พนักงานขับรถคิวซีอี |
| CVE-2017-9692 | A-36731152 * QC-CR#2021707 | ดอส | ต่ำ | ไดรเวอร์กราฟิก |
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
| CVE | นักวิจัย |
|---|---|
| CVE-2017-0741, CVE-2017-0742, CVE-2017-0751 | Baozeng Ding ( @sploving ), Chengming Yang และ Yang Song แห่ง Alibaba Mobile Security Group |
| CVE-2017-9682 | Billy Lau จาก Android Security |
| CVE-2017-0739 | Dacheng Shao , Hongli Han ( @HexB1n ), Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-9691, CVE-2017-0744 | Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0727 | Guang Gong (龚广) ( @oldfresher ) จาก Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0737 | Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0748 | Hao Chen และ Guang Gong จากทีม Alpha ของ Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0731 | Hongli Han ( @HexB1n ), Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-9679 | Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla |
| CVE-2017-0726 | นิกกี้1235 ( @jiych_guru ) |
| CVE-2017-9684, CVE-2017-9694, CVE-2017-9693, CVE-2017-9681, CVE-2017-0738, CVE-2017-0728 | Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) และ Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室) |
| CVE-2017-9680, CVE-2017-0740 | สก็อตต์ บาวเออร์ ( @ScottyBauer1 ) |
| CVE-2017-0724 | Seven Shen ( @lingtongshen ) จาก TrendMicro |
| CVE-2017-0732, CVE-2017-0805 | ทิโมธี เบกเกอร์ แห่ง CSS Inc. |
| CVE-2017-10661 | Tong Lin ( segfault5514@gmail.com ), Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0712 | บาเลริโอ คอสตามัญญา ( @vaio_co ) และ มาร์โก บาร์โตลี ( @wsxarcher ) |
| CVE-2017-0716 | วาซิลี วาซิลีฟ |
| CVE-2017-0750, CVE-2017-0713, CVE-2017-0715, CVE-2017-10662CVE-2017-10663 | VEO ( @VYSEa ) จาก ทีมตอบสนองภัยคุกคามมือถือ , Trend Micro |
| CVE-2017-9678 | Yan Zhou จากทีม Eagleye, SCC, Huawei |
| CVE-2017-0749, CVE-2017-0746 | Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0729 | Yongke Wang จาก Xuanwu Lab ของ Tencent |
| CVE-2017-0714, CVE-2017-0719, CVE-2017-0718, CVE-2017-0722, CVE-2017-0725, CVE-2017-0720, CVE-2017-0745 | Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus
- ระดับแพตช์รักษาความปลอดภัยของ 2017-08-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-08-01
- ระดับแพตช์รักษาความปลอดภัย 05-08-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 08-08-2560 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-08-01]
- [ro.build.version.security_patch]:[2017-08-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยในวันที่ 1 สิงหาคม 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 สิงหาคม 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| คำย่อ | คำนิยาม |
|---|---|
| อาร์ซีอี | การเรียกใช้โค้ดจากระยะไกล |
| อีโอพี | การยกระดับสิทธิพิเศษ |
| บัตรประจำตัวประชาชน | การเปิดเผยข้อมูล |
| ดอส | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจำแนกประเภท |
4. รายการในคอลัมน์ References หมายถึงอะไร?
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
| เอ็ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| บี- | หมายเลขอ้างอิงของ Broadcom |
5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายถึงอะไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
รุ่นต่างๆ
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 7 สิงหาคม 2017 | เผยแพร่กระดานข่าวแล้ว |
| 1.1 | 8 สิงหาคม 2017 | กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP และการรับทราบ |
| 1.2 | 14 สิงหาคม 2017 | กระดานข่าวแก้ไขเพื่อเพิ่ม CVE-2017-0687 |
| 1.2 | 23 สิงหาคม 2017 | กระดานข่าวแก้ไขเพื่อเพิ่ม CVE-2017-0805 |