เผยแพร่เมื่อวันที่ 7 สิงหาคม 2017 | อัปเดตเมื่อวันที่ 23 สิงหาคม 2017
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของวันที่ 5 สิงหาคม 2017 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดูกำหนดการอัปเดต Pixel และ Nexus เพื่อดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารอย่างน้อย 1 เดือนที่ผ่านมา เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บข้อมูลโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวสารนี้แล้ว กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์นอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงในเฟรมเวิร์กสื่อ ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการบรรเทาปัญหาแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านอากาศ (OTA) และภาพเฟิร์มแวร์ล่าสุดสำหรับอุปกรณ์ Google อยู่ในส่วนการอัปเดตอุปกรณ์ Google
ประกาศ
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดูข้อมูลเพิ่มเติมได้ในคำถามที่พบบ่อยและคำตอบ
- 2017-08-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-08-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-08-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้บ่งบอกว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-08-01 และ 2017-08-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การลดความเสี่ยงของ Android และ Google Play Protect
ข้อมูลต่อไปนี้เป็นสรุปของมาตรการบรรเทาความเสี่ยงที่ได้จากแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัยของวันที่ 01-08-2017 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-08-2017 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ โดยมีคำอธิบายปัญหา รวมถึงตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0712 | A-37207928 | EoP | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0713 | A-32096780 [2] | RCE | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
เฟรมเวิร์กสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-0714 | A-36492637 | RCE | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0715 | A-36998372 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0716 | A-37203196 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0718 | A-37273547 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0719 | A-37273673 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0720 | A-37430213 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0721 | A-37561455 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0722 | A-37660827 | RCE | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0723 | A-37968755 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0745 | A-37079296 | RCE | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0724 | A-36819262 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0725 | A-37627194 | DoS | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0726 | A-36389123 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0727 | A-33004354 | EoP | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0728 | A-37469795 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0729 | A-37710346 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0730 | A-36279112 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0731 | A-36075363 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0732 | A-37504237 | EoP | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0733 | A-38391487 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0734 | A-38014992 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0735 | A-38239864 [2] | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0736 | A-38487564 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0687 | A-35583675 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0737 | A-37563942 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0805 | A-37237701 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0738 | A-37563371 [2] | รหัส | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0739 | A-37712181 | รหัส | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
2017-08-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดของช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 05-08-2017 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ และระบุรายละเอียดต่างๆ เช่น CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง, คอมโพเนนต์ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
คอมโพเนนต์ Broadcom
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0740 | A-37168488* B-RB#116402 |
RCE | ปานกลาง | โปรแกรมควบคุมเครือข่าย |
คอมโพเนนต์เคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-10661 | A-36266767 Upstream kernel |
EoP | สูง | ระบบไฟล์ |
| CVE-2017-0750 | A-36817013* | EoP | ปานกลาง | ระบบไฟล์ |
| CVE-2017-10662 | A-36815012 Upstream kernel |
EoP | ปานกลาง | ระบบไฟล์ |
| CVE-2017-10663 | A-36588520 Upstream kernel |
EoP | ปานกลาง | ระบบไฟล์ |
| CVE-2017-0749 | A-36007735* | EoP | ปานกลาง | เคอร์เนล Linux |
คอมโพเนนต์ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0741 | A-32458601* M-ALPS03007523 |
EoP | สูง | โปรแกรมควบคุม GPU |
| CVE-2017-0742 | A-36074857* M-ALPS03275524 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
คอมโพเนนต์ Qualcomm
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0746 | A-35467471* QC-CR#2029392 |
EoP | ปานกลาง | ไดรเวอร์ IPA |
| CVE-2017-0747 | A-32524214* QC-CR#2044821 |
EoP | ปานกลาง | คอมโพเนนต์ที่เป็นกรรมสิทธิ์ |
| CVE-2017-9678 | A-35258962* QC-CR#2028228 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-9691 | A-33842910* QC-CR#1116560 |
EoP | ปานกลาง | ไดรเวอร์ MobiCore (Trustonic) |
| CVE-2017-9684 | A-35136547* QC-CR#2037524 |
EoP | ปานกลาง | ไดรเวอร์ USB |
| CVE-2017-9682 | A-36491445* QC-CR#2030434 |
รหัส | ปานกลาง | โปรแกรมควบคุม GPU |
การอัปเดตอุปกรณ์ Google
ตารางนี้แสดงระดับแพตช์ความปลอดภัยในการอัปเดตผ่านอากาศ (OTA) ครั้งล่าสุดและเฟิร์มแวร์สำหรับอุปกรณ์ Google รูปภาพเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google
| อุปกรณ์ Google | ระดับแพตช์ความปลอดภัย |
|---|---|
| Pixel / Pixel XL | 5 สิงหาคม 2017 |
| Nexus 5X | 5 สิงหาคม 2017 |
| Nexus 6 | 5 สิงหาคม 2017 |
| Nexus 6P | 5 สิงหาคม 2017 |
| Nexus 9 | 5 สิงหาคม 2017 |
| Nexus Player | 5 สิงหาคม 2017 |
| Pixel C | 5 สิงหาคม 2017 |
การอัปเดตอุปกรณ์ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ด้วย (หากมี)
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0744 | A-34112726* N-CVE-2017-0744 |
EoP | ต่ำ | โปรแกรมควบคุมเสียง |
| CVE-2017-9679 | A-35644510* QC-CR#2029409 |
รหัส | ต่ำ | ไดรเวอร์ SoC |
| CVE-2017-9680 | A-35764241* QC-CR#2030137 |
รหัส | ต่ำ | ไดรเวอร์ SoC |
| CVE-2017-0748 | A-35764875* QC-CR#2029798 |
รหัส | ต่ำ | โปรแกรมควบคุมเสียง |
| CVE-2017-9681 | A-36386593* QC-CR#2030426 |
รหัส | ต่ำ | ไดรเวอร์วิทยุ |
| CVE-2017-9693 | A-36817798* QC-CR#2044820 |
รหัส | ต่ำ | โปรแกรมควบคุมเครือข่าย |
| CVE-2017-9694 | A-36818198* QC-CR#2045470 |
รหัส | ต่ำ | โปรแกรมควบคุมเครือข่าย |
| CVE-2017-0751 | A-36591162* QC-CR#2045061 |
EoP | ต่ำ | ไดรเวอร์ QCE |
| CVE-2017-9692 | A-36731152* QC-CR#2021707 |
DoS | ต่ำ | ไดรเวอร์กราฟิก |
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
| CVE | นักวิจัย |
|---|---|
| CVE-2017-0741, CVE-2017-0742, CVE-2017-0751 | Baozeng Ding (@sploving), Chengming Yang และ Yang Song จากกลุ่มรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ของ Alibaba |
| CVE-2017-9682 | Billy Lau จากทีมรักษาความปลอดภัยของ Android |
| CVE-2017-0739 | Dacheng Shao, Hongli Han (@HexB1n), Mingjian Zhou (@Mingjian_Zhou), และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-9691, CVE-2017-0744 | Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0727 | Guang Gong (龚广) (@oldfresher) จากทีม Alpha, Qihoo 360 Tech. Co. Ltd. |
| CVE-2017-0737 | Hanxiang Wen, Mingjian Zhou (@Mingjian_Zhou) และ Xuxian Jiangจากทีม C0RE |
| CVE-2017-0748 | Hao Chen และ Guang Gong จากทีมอัลฟ่าของ Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0731 | Hongli Han (@HexB1n), Mingjian Zhou (@Mingjian_Zhou), และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-9679 | Nathan Crandall (@natecray) จากทีมความปลอดภัยของผลิตภัณฑ์ Tesla |
| CVE-2017-0726 | Niky1235 (@jiych_guru) |
| CVE-2017-9684, CVE-2017-9694, CVE-2017-9693, CVE-2017-9681, CVE-2017-0738, CVE-2017-0728 | Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) และ Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室) |
| CVE-2017-9680, CVE-2017-0740 | Scott Bauer (@ScottyBauer1) |
| CVE-2017-0724 | Seven Shen (@lingtongshen) จาก TrendMicro |
| CVE-2017-0732, CVE-2017-0805 | Timothy Becker จาก CSS Inc. |
| CVE-2017-10661 | Tong Lin (segfault5514@gmail.com), Yuan-Tsung Lo (computernik@gmail.com) และ Xuxian Jiang จากทีม C0RE |
| CVE-2017-0712 | Valerio Costamagna (@vaio_co) และ Marco Bartoli (@wsxarcher) |
| CVE-2017-0716 | Vasily Vasiliev |
| CVE-2017-0750, CVE-2017-0713, CVE-2017-0715, CVE-2017-10662CVE-2017-10663 | V.E.O (@VYSEa) จากทีมตอบสนองต่อภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro |
| CVE-2017-9678 | Yan Zhou จากทีม Eagleye, SCC, Huawei |
| CVE-2017-0749, CVE-2017-0746 | Yonggang Guo (@guoygang) จากทีมวิจัย IceSword ของ Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0729 | Yongke Wang จาก Xuanwu Lab ของ Tencent |
| CVE-2017-0714, CVE-2017-0719, CVE-2017-0718, CVE-2017-0722, CVE-2017-0725, CVE-2017-0720, CVE-2017-0745 | Zinuo Han จากศูนย์ตอบกลับด้านความปลอดภัยของเมืองเฉิงตู, Qihoo 360 Technology Co. Ltd. |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านวิธีการในกำหนดการอัปเดตของ Pixel และ Nexus
- ระดับแพตช์ความปลอดภัยของวันที่ 01-08-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 01-08-2017
- ระดับแพตช์ความปลอดภัยของวันที่ 05-08-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-08-2017 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงการแก้ไขเป็น
- [ro.build.version.security_patch]:[2017-08-01]
- [ro.build.version.security_patch]:[2017-08-05]
2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 สิงหาคม 2017 จะต้องแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
- อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 สิงหาคม 2017 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในอัปเดตเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 7 สิงหาคม 2017 | เผยแพร่กระดานข่าวสารแล้ว |
| 1.1 | 8 สิงหาคม 2017 | แก้ไขกระดานข่าวสารเพื่อใส่ลิงก์ AOSP และคำขอบคุณ |
| 1.2 | 14 สิงหาคม 2017 | แก้ไขกระดานข่าวสารเพื่อเพิ่ม CVE-2017-0687 |
| 1.2 | 23 สิงหาคม 2017 | ปรับปรุงกระดานข่าวสารเพื่อเพิ่ม CVE-2017-0805 |