Published พฤศจิกายน 6, 2017 | อัปเดตเมื่อ 8 พฤศจิกายน 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัย 2017-11-06 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
พันธมิตร Android ได้รับแจ้งปัญหาทั้งหมดในระดับแพตช์ 2017-11-01 และ 2017-11-05 อย่างน้อยหนึ่งเดือนก่อนเผยแพร่ พันธมิตร Android ได้รับแจ้งปัญหาทั้งหมดในระดับแพตช์ 2017-11-06 ภายในเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญใน Media framework ที่อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตแบบ over-the-air ล่าสุด (OTA) และอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีให้ใน เดือนพฤศจิกายน 2017 Pixel / Nexus Security Bulletin
ประกาศ
- เราได้เปิดตัว Pixel / Nexus Security Bulletin ใหม่ ซึ่งมีข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยเพิ่มเติมและการปรับปรุงการทำงานที่ได้รับการแก้ไขบนอุปกรณ์ Pixel และ Nexus ที่รองรับ ผู้ผลิตอุปกรณ์ Android อาจเลือกที่จะแก้ไขปัญหาเหล่านี้ในอุปกรณ์ของตน ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม
- แพตช์ความปลอดภัยสำหรับช่องโหว่ KRACK มีให้ภายใต้ระดับแพตช์ความปลอดภัย 2017-11-06
การลดบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect เปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
ระดับแพตช์ความปลอดภัย 2017-11-01—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-11-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
กรอบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติมได้
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0830 | A-62623498 | EoP | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0831 | A-37442941 [ 2 ] | EoP | สูง | 8.0 |
กรอบสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0832 | A-62887820 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0833 | A-62896384 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0834 | A-63125953 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0835 | A-63316832 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0836 | A-64893226 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0839 | A-64478003 | ไอดี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0840 | A-62948670 | ไอดี | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0841 | A-37723026 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0842 | A-37502513 | EoP | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
2017-11-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-11-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ส่วนประกอบเคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9077 | A-62265013 ต้นน้ำเคอร์เนล | EoP | สูง | ระบบย่อยเครือข่าย |
| CVE-2017-7541 | A-64258073 ต้นน้ำเคอร์เนล | EoP | สูง | WLAN |
ส่วนประกอบ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0843 | A-62670819 * M-ALPS03361488 | EoP | สูง | CCCI |
ส่วนประกอบ NVIDIA
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6264 | A-34705430 * N-CVE-2017-6264 | EoP | สูง | ไดรเวอร์ GPU |
ส่วนประกอบ Qualcomm
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-11013 | A-64453535 QC-CR#2058261 [ 2 ] | RCE | วิกฤต | WLAN |
| CVE-2017-11015 | A-64438728 QC-CR#2060959 [ 2 ] | RCE | วิกฤต | WLAN |
| CVE-2017-11014 | A-64438727 QC-CR#2060959 | RCE | วิกฤต | WLAN |
| CVE-2017-11092 | A-62949902 * QC-CR#2077454 | EoP | สูง | ไดรเวอร์ GPU |
| CVE-2017-9690 | A-36575870 * QC-CR#2045285 | EoP | สูง | ไดรเวอร์ QBT1000 |
| CVE-2017-11017 | A-64453575 QC-CR#2055629 | EoP | สูง | บูตลินุกซ์ |
| CVE-2017-11028 | A-64453533 QC-CR#2008683 [ 2 ] | ไอดี | สูง | กล้อง |
2017-11-06 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-11-06 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้ก่อนที่จะเข้าร่วมเครือข่าย Wi-Fi ที่ไม่ปลอดภัย
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-13077 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13078 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13079 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13080 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13081 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13082 | A-67737262 | EoP | สูง | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13086 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13087 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13088 | A-67737262 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
หมายเหตุ : พันธมิตร Android อาจต้องได้รับการแก้ไขจากผู้ผลิตชิปเซ็ต หากมี
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
- ระดับแพตช์ความปลอดภัย 2017-11-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-11-01
- ระดับแพตช์ความปลอดภัย 2017-11-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-11-05 และระดับแพตช์ก่อนหน้าทั้งหมด
- ระดับแพตช์ความปลอดภัย 2017-11-06 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-11-06 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-11-01]
- [ro.build.version.security_patch]:[2017-11-05]
- [ro.build.version.security_patch]:[2017-11-06]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสามระดับ
กระดานข่าวนี้มีโปรแกรมแก้ไขความปลอดภัยสามระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2017-11-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับโปรแกรมแก้ไขความปลอดภัย 2017-11-05 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับโปรแกรมแก้ไขความปลอดภัยนั้น ระดับโปรแกรมแก้ไขความปลอดภัย 2017-11-01 ตลอดจนการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยปี 2017-11-06 หรือใหม่กว่านั้นจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ Type หมายถึงอะไร
รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำนิยาม |
|---|---|
| RCE | การเรียกใช้โค้ดจากระยะไกล |
| EoP | ยกระดับสิทธิพิเศษ |
| ไอดี | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจัดประเภท |
4. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
5. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้กับกระดานข่าวความปลอดภัยของอุปกรณ์/พันธมิตร เช่น กระดานข่าวสาร Pixel / Nexus
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้เป็นสิ่งจำเป็นเพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์/คู่ค้า ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ขอแนะนำให้ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตบันทึกการมีอยู่ของการแก้ไขอื่นๆ บนอุปกรณ์ของตนผ่านเว็บไซต์ความปลอดภัยของตนเอง เช่น กระดานข่าวด้านความปลอดภัยของ Samsung , LGE หรือ Pixel / Nexus
รุ่น
| เวอร์ชั่น | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 6 พฤศจิกายน 2017 | เผยแพร่แถลงการณ์ |
| 1.1 | 8 พฤศจิกายน 2017 | กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP |