กระดานข่าวความปลอดภัยของ Android—กันยายน 2017

Published กันยายน 5, 2017 | อัปเดตเมื่อ 5 ตุลาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยวันที่ 05 กันยายน 2017 หรือใหม่กว่านั้นช่วยแก้ปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP

ปัญหาที่ร้ายแรงที่สุดคือจุดอ่อนระดับร้ายแรงในกรอบงานสื่อที่อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตแบบ over-the-air ล่าสุด (OTA) และอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ของ Google

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2017-09-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-09-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2017-09-05 : สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-09-01 และ 2017-09-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว

การลดบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect เปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

2017-09-01 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-09-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติมได้

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0752 A-62196835 [ 2 ] EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ห้องสมุด

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0753 A-62218744 RCE สูง 7.1.1, 7.1.2, 8.0
CVE-2017-6983 A-63852675 RCE สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0755 A-32178311 EoP สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

กรอบสื่อ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0756 A-34621073 RCE วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0757 A-36006815 RCE วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0758 A-36492741 RCE วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0759 A-36715268 RCE วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0760 A-37237396 RCE วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0761 A-38448381 RCE วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0762 A-62214264 RCE วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0763 A-62534693 RCE วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0764 A-62872015 RCE วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0765 A-62872863 RCE วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0766 A-37776688 RCE สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0767 A-37536407 [ 2 ] EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0768 A-62019992 EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0769 A-37662122 EoP สูง 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0770 A-38234812 EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0771 A-37624243 DoS สูง 7.0, 7.1.1, 7.1.2
CVE-2017-0772 A-38115076 DoS สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0773 A-37615911 DoS สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0774 A-62673844 [ 2 ] DoS สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0775 A-62673179 DoS สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0776 A-38496660 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0
DoS สูง 6.0.1
CVE-2017-0777 A-38342499 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2
DoS สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0778 A-62133227 ไอดี ปานกลาง 7.0, 7.1.1, 7.1.2
DoS สูง 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0779 A-38340117 [ 2 ] ไอดี ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

รันไทม์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้แอปพลิเคชันหยุดทำงาน

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0780 A-37742976 DoS สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0781 A-63146105 [ 2 ] RCE วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0782 A-63146237 [ 2 ] [ 3 ] RCE วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0783 A-63145701 ไอดี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0784 A-37287958 EoP ปานกลาง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0785 A-63146698 ไอดี ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

2017-09-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-09-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

ส่วนประกอบ Broadcom

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-11120 A-62575409 *
B-V2017061204
RCE วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-11121 A-62576413 *
B-V2017061205
RCE วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-7065 A-62575138 *
B-V2017061202
RCE วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-0786 A-37351060 *
B-V20176060101
EoP สูง ไดรเวอร์ Wi-Fi
CVE-2017-0787 A-37722970 *
B-V2017053104
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0788 A-37722328 *
B-V2017053103
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0789 A-37685267 *
B-V2017053102
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0790 A-37357704 *
B-V2017053101
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0791 A-37306719 *
B-V2017052302
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0792 A-37305578 *
B-V2017052301
ไอดี ปานกลาง ไดรเวอร์ Wi-Fi

ส่วนประกอบ Imgtk

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0793 A-35764946 * ไอดี สูง ระบบย่อยหน่วยความจำ

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-8890 A-38413975
ต้นน้ำเคอร์เนล
RCE วิกฤต ระบบย่อยเครือข่าย
CVE-2017-9076 A-62299478
ต้นน้ำเคอร์เนล
EoP สูง ระบบย่อยเครือข่าย
CVE-2017-9150 A-62199770
ต้นน้ำเคอร์เนล
ไอดี สูง เคอร์เนลลินุกซ์
CVE-2017-7487 A-62070688
ต้นน้ำเคอร์เนล
EoP สูง ไดรเวอร์โปรโตคอล IPX
CVE-2017-6214 A-37901268
ต้นน้ำเคอร์เนล
DoS สูง ระบบย่อยเครือข่าย
CVE-2017-6346 A-37897645
ต้นน้ำเคอร์เนล
EoP สูง เคอร์เนลลินุกซ์
CVE-2017-5897 A-37871211
ต้นน้ำเคอร์เนล
ไอดี สูง ระบบย่อยเครือข่าย
CVE-2017-7495 A-62198330
ต้นน้ำเคอร์เนล
ไอดี สูง ระบบไฟล์
CVE-2017-7616 A-37751399
ต้นน้ำเคอร์เนล
ไอดี ปานกลาง เคอร์เนลลินุกซ์
CVE-2017-12146 A-35676417
ต้นน้ำเคอร์เนล
EoP ปานกลาง เคอร์เนลลินุกซ์
CVE-2017-0794 A-35644812 * EoP ปานกลาง ไดรเวอร์ SCSI

ส่วนประกอบ MediaTek

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0795 A-36198473 *
M-ALPS03361480
EoP สูง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0796 A-62458865 *
M-ALPS03353884
M-ALPS03353886
M-ALPS03353887
EoP สูง ไดรเวอร์ AUXADC
CVE-2017-0797 A-62459766 *
M-ALPS03353854
EoP สูง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0798 A-36100671 *
M-ALPS03365532
EoP สูง เคอร์เนล
CVE-2017-0799 A-36731602 *
M-ALPS03342072
EoP สูง Lastbus
CVE-2017-0800 A-37683975 *
M-ALPS03302988
EoP สูง ตี๋
CVE-2017-0801 A-38447970 *
M-ALPS03337980
EoP สูง LibMtkOmxVdec
CVE-2017-0802 A-36232120 *
M-ALPS03384818
EoP ปานกลาง เคอร์เนล
CVE-2017-0803 A-36136137 *
M-ALPS03361477
EoP ปานกลาง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0804 A-36274676 *
M-ALPS03361487
EoP ปานกลาง ไดรเวอร์ MMC

ส่วนประกอบ Qualcomm

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-11041 A-36130225 *
QC-CR#2053101
RCE วิกฤต LibOmxVenc
CVE-2017-10996 A-38198574
QC-CR#901529
ไอดี สูง เคอร์เนลลินุกซ์
CVE-2017-9725 A-38195738
QC-CR#896659
EoP สูง ระบบย่อยหน่วยความจำ
CVE-2017-9724 A-38196929
QC-CR#863303
EoP สูง เคอร์เนลลินุกซ์
CVE-2017-8278 A-62379474
QC-CR#2013236
EoP สูง ไดรเวอร์เสียง
CVE-2017-10999 A-36490777 *
QC-CR#2010713
EoP ปานกลาง ไดรเวอร์ IPA
CVE-2017-11001 A-36815555 *
QC-CR#2051433
ไอดี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-11002 A-37712167 *
QC-CR#2058452 QC-CR#2054690 QC-CR#2058455
ไอดี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-8250 A-62379051
QC-CR#2003924
EoP ปานกลาง ไดรเวอร์ GPU
CVE-2017-9677 A-62379475
QC-CR#2022953
EoP ปานกลาง ไดรเวอร์เสียง
CVE-2017-10998 A-38195131
QC-CR#108461
EoP ปานกลาง ไดรเวอร์เสียง
CVE-2017-9676 A-62378596
QC-CR#2016517
ไอดี ปานกลาง ระบบไฟล์
CVE-2017-8280 A-62377236
QC-CR#2015858
EoP ปานกลาง ไดรเวอร์ WLAN
CVE-2017-8251 A-62379525
QC-CR#2006015
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-10997 A-33039685 *
QC-CR#1103077
EoP ปานกลาง ไดรเวอร์ PCI
CVE-2017-11000 A-36136563 *
QC-CR#2031677
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8247 A-62378684
QC-CR#2023513
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-9720 A-36264696 *
QC-CR#2041066
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8277 A-62378788
QC-CR#2009047
EoP ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8281 A-62378232
QC-CR#2015892
ไอดี ปานกลาง มัลติมีเดียยานยนต์
CVE-2017-11040 A-37567102 *
QC-CR#2038166
ไอดี ปานกลาง ไดรเวอร์วิดีโอ

การอัปเดตอุปกรณ์ Google

ตารางนี้มีระดับแพตช์ความปลอดภัยในการอัปเดตแบบ over-the-air ล่าสุด (OTA) และอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google OTA ของอุปกรณ์ Google อาจมีการอัปเดตเพิ่มเติมด้วย อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

อุปกรณ์ Google ระดับแพตช์ความปลอดภัย
พิกเซล / พิกเซล XL 2017-09-05
Nexus 5X 2017-09-05
Nexus 6 2017-09-05
Nexus 6P 2017-09-05
Nexus 9 2017-09-05
Nexus Player 2017-09-05
Pixel C 2017-09-05

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

CVEs นักวิจัย
CVE-2017-11000 Baozeng Ding ( @sploving ), Chengming Yang และ Yang Song แห่ง Alibaba Mobile Security Group
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 Ben Seri และ Gregory Vishnepolsky จาก Armis, Inc. ( https://armis.com )
CVE-2017-0800, CVE-2017-0798 Chengming Yang, Baozeng Ding และ Yang Song จาก Alibaba Mobile Security Group
CVE-2017-0765 Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0758 Chong Wang และ 金哲 (Zhe Jin) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 Cong Zheng ( @shellcong ), Wenjun Hu, Xiao Zhang และ Zhi Xu จาก Palo Alto Networks
CVE-2017-0801 Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0755 Dawei Peng จาก Alibaba Mobile Security Team ( weibo: Vinc3nt4H )
CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 Elphet และ Gong Guang จาก Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team
CVE-2017-10997 Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 Jake Corina ( @JakeCorina ) แห่งทีม Shellphish Grill
CVE-2017-0780 Jason Gu และ Seven Shen จาก Trend Micro
CVE-2017-0769 Mingjian Zhou ( @Mingjian_Zhou ), Dacheng Shao และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室)
CVE-2017-0772 Seven Shen จาก Trend Micro
CVE-2017-0757 Vasily Vasiliev
CVE-2017-0768, CVE-2017-0779 Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0759 Weichao Sun แห่งอาลีบาบาอิงค์
CVE-2017-0796 Xiangqian Zhang, Chengming Yang, Baozeng Ding และ Yang Song แห่ง Alibaba Mobile Security Group
CVE-2017-0753 Yangkang ( @dnpushme ) และ hujianfei จาก Qihoo360 Qex Team
CVE-2017-12146 Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Yongke Wang และ Yuebin Sun จาก Xuanwu Lab ของ Tencent
CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 Yu Pan และ Yang Dai จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd
CVE-2017-0760 Zinuo Han และ 金哲 (Zhe Jin) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus

  • ระดับแพตช์ความปลอดภัย 2017-09-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-09-01
  • ระดับแพตช์ความปลอดภัย 2017-09-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-09-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2017-09-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยปี 2017-09-05 หรือใหม่กว่าจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ Type หมายถึงอะไร

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำนิยาม
RCE การเรียกใช้โค้ดจากระยะไกล
EoP ยกระดับสิทธิพิเศษ
ไอดี การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร

รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิง Broadcom

5. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

รุ่น

เวอร์ชั่น วันที่ หมายเหตุ
1.0 5 กันยายน 2017 เผยแพร่แถลงการณ์
1.1 12 กันยายน 2017 เพิ่มรายละเอียดสำหรับ CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 และ CVE-2017-0785 ซึ่งเป็นส่วนหนึ่งของการเปิดเผยข้อมูลที่มีการประสานงานกับอุตสาหกรรม
1.2 13 กันยายน 2017 กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP
1.3 25 กันยายน 2017 เพิ่มรายละเอียดสำหรับ CVE-2017-11120 และ CVE-2017-11121 ซึ่งเป็นส่วนหนึ่งของการเปิดเผยข้อมูลที่มีการประสานงานกับอุตสาหกรรม
1.4 28 กันยายน 2017 อัปเดตการอ้างอิงผู้จัดจำหน่ายสำหรับ CVE-2017-11001