Published พฤศจิกายน 6, 2017 | อัปเดตเมื่อ 8 พฤศจิกายน 2017
Pixel / Nexus Security Bulletin มีรายละเอียดของช่องโหว่ด้านความปลอดภัยและการปรับปรุงการทำงานที่ส่งผลต่อ อุปกรณ์ Google Pixel และ Nexus (อุปกรณ์ Google) ที่รองรับ สำหรับอุปกรณ์ Google ระดับแพตช์ความปลอดภัยปี 2017-11-05 หรือใหม่กว่ายังระบุปัญหาทั้งหมดในกระดานข่าวนี้ด้วย หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็นระดับแพตช์ 2017-11-05 เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
หมายเหตุ: อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
ประกาศ
นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ใน แถลงการณ์ความปลอดภัยของ Android เดือนพฤศจิกายน 2017 แล้ว อุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่าง พาร์ทเนอร์ได้รับแจ้งปัญหาเหล่านี้อย่างน้อยหนึ่งเดือนก่อน และอาจเลือกที่จะรวมไว้เป็นส่วนหนึ่งของการอัปเดตอุปกรณ์
แพตช์ความปลอดภัย
ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน Android Open Source Project (AOSP) ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
กรอบ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0845 | A-35028827 | DoS | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
กรอบสื่อ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0838 | A-63522818 | EoP | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0852 | A-62815506 | DoS | สูง | 5.0.2, 5.1.1, 6.0 |
| CVE-2017-0847 | A-65540999 | EoP | ปานกลาง | 8.0 |
| CVE-2017-0848 | A-64477217 | ไอดี | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0849 | A-62688399 | ไอดี | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0850 | A-64836941 * | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0851 | A-35430570 | ไอดี | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0853 | A-63121644 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0854 | A-63873837 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0857 | A-65122447 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0858 | A-64836894 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0859 | A-36075131 * | NSI | NSI | 7.0, 7.1.1, 7.1.2 |
| DoS | สูง | 6.0, 6.0.1 |
รันไทม์
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2016-2105 | A-63710022 * | RCE | ปานกลาง | 5.0.2, 5.1.1 |
| CVE-2016-2106 | A-63709511 * | RCE | ปานกลาง | 5.0.2, 5.1.1 |
| CVE-2017-3731 | A-63710076 * | ไอดี | ปานกลาง | 5.0.2, 5.1.1 |
ระบบ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0860 | A-31097064 | EoP | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ส่วนประกอบเคอร์เนล
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6001 | A-37901413 ต้นน้ำเคอร์เนล | EoP | ปานกลาง | เคอร์เนลหลัก |
| CVE-2017-0861 | A-36006981 * | EoP | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-0862 | A-36006779 * | EoP | ปานกลาง | เคอร์เนล |
| CVE-2017-11600 | A-64257838 ต้นน้ำเคอร์เนล | EoP | ปานกลาง | ระบบย่อยเครือข่าย |
| CVE-2017-0863 | A-37950620 * | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
ส่วนประกอบ MediaTek
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0864 | A-37277147 * M-ALPS03394571 | EoP | ปานกลาง | IoCtl (ไฟฉาย) |
| CVE-2017-0865 | A-65025090 * M-ALPS02973195 | EoP | ปานกลาง | ไดรเวอร์ SoC |
ส่วนประกอบ NVIDIA
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0866 | A-38415808 * N-CVE-2017-0866 | EoP | ปานกลาง | โครงสร้างพื้นฐานการแสดงผลโดยตรง |
| CVE-2017-6274 | A-34705801 * N-CVE-2017-6274 | EoP | ปานกลาง | ตัวขับความร้อน |
| CVE-2017-6275 | A-34702397 * N-CVE-2017-6275 | ไอดี | ปานกลาง | ตัวขับความร้อน |
ส่วนประกอบ Qualcomm
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-11073 | A-62084791 * QC-CR#2064767 | EoP | ปานกลาง | ระบบย่อยเครือข่าย |
| CVE-2017-11035 | A-64431968 QC-CR#2055659 [ 2 ] | EoP | ปานกลาง | WLAN |
| CVE-2017-11012 | A-64455446 QC-CR#2054760 | EoP | ปานกลาง | WLAN |
| CVE-2017-11085 | A-62952032 * QC-CR#2077909 | EoP | ปานกลาง | เครื่องเสียง |
| CVE-2017-11091 | A-37478866 * QC-CR#2064235 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-11026 | A-64453104 QC-CR#1021460 | EoP | ปานกลาง | บูตลินุกซ์ |
| CVE-2017-11038 | A-35888677 * QC-CR#2034087 | EoP | ปานกลาง | ระบบย่อยหน่วยความจำ |
| CVE-2017-11032 | A-64431966 QC-CR#1051435 | EoP | ปานกลาง | เคอร์เนลลินุกซ์ |
| CVE-2017-9719 | A-64438726 QC-CR#2042697 [ 2 ] | EoP | ปานกลาง | แสดง |
| CVE-2017-11024 | A-64441352 QC-CR#2031178 | EoP | ปานกลาง | การเชื่อมต่อแบบมีสาย |
| CVE-2017-11025 | A-64440043 QC-CR#2013494 | EoP | ปานกลาง | เครื่องเสียง |
| CVE-2017-11023 | A-64434485 QC-CR#2029216 | EoP | ปานกลาง | บริการ |
| CVE-2017-11029 | A-64433362 QC-CR#2025367 [ 2 ] | EoP | ปานกลาง | กล้อง |
| CVE-2017-11018 | A-64441628 QC-CR#897844 | EoP | ปานกลาง | กล้อง |
| CVE-2017-9721 | A-64441353 QC-CR#2039552 | EoP | ปานกลาง | แสดง |
| CVE-2017-9702 | A-36492827 * QC-CR#2037398 | EoP | ปานกลาง | กล้อง |
| CVE-2017-11089 | A-36819059 * QC-CR#2055013 | ไอดี | ปานกลาง | WLAN |
| CVE-2017-8239 | A-36251230 * QC-CR#1091603 | ไอดี | ปานกลาง | กล้อง |
| CVE-2017-11090 | A-36818836 * QC-CR#2061676 | ไอดี | ปานกลาง | WLAN |
| CVE-2017-11093 | A-37625232 * QC-CR#2077623 | ไอดี | ปานกลาง | HDMI |
| CVE-2017-8279 | A-62378962 QC-CR#2015227 | ไอดี | ปานกลาง | บริการ |
| CVE-2017-9696 | A-36232584 * QC-CR#2029867 | ไอดี | ปานกลาง | เคอร์เนล |
| CVE-2017-11058 | A-37718081 QC-CR#2061251 | ไอดี | ปานกลาง | WLAN |
| CVE-2017-11022 | A-64440918 QC-CR#1086582 [ 2 ] | ไอดี | ปานกลาง | WLAN |
| CVE-2017-9701 | A-63868730 QC-CR#2038992 | ไอดี | ปานกลาง | บูตลินุกซ์ |
| CVE-2017-11027 | A-64453534 QC-CR#2055630 | ไอดี | ปานกลาง | บูตลินุกซ์ |
อัพเดตการทำงาน
การอัปเดตเหล่านี้รวมอยู่ในอุปกรณ์ Pixel ที่ได้รับผลกระทบเพื่อแก้ไขปัญหาการทำงานที่ไม่เกี่ยวข้องกับความปลอดภัยของอุปกรณ์ Pixel ตารางนี้มีข้อมูลอ้างอิงที่เกี่ยวข้อง หมวดหมู่ที่ได้รับผลกระทบ เช่น Bluetooth หรือข้อมูลมือถือ และสรุปประเด็น
| อ้างอิง | หมวดหมู่ | การปรับปรุง |
|---|---|---|
| A-65225835 | เครื่องเสียง | เกณฑ์การเตือนระดับเสียงที่ปรับในบางภูมิภาค |
| A-37943083 | บลูทู ธ | การปรับปรุงสำหรับอุปกรณ์ Bluetooth ที่รองรับ AVRCP เวอร์ชัน 1.3 เท่านั้น |
| A-63790458 | บลูทู ธ | ปรับปรุงการจับคู่การเชื่อมต่อชุดหูฟัง |
| A-64142363 | บลูทู ธ | ปรับปรุงการแสดงข้อมูลเพลงในอุปกรณ์ Bluetooth บางรุ่น |
| A-64991621 | บลูทู ธ | ปรับปรุงข้อมูลเมตาใน carkits บางตัว |
| A-65223508 | บลูทู ธ | ปรับปรุงการเชื่อมต่อ Bluetooth กับ carkit บางรุ่น |
| A-65463237 | บลูทู ธ | ปรับปรุง Magic Tether บน BLE |
| A-64977836 | กล้อง | ปรับปรุงออโต้โฟกัสระหว่างการจับภาพวิดีโอ |
| A-65099590 | กล้อง | ปรับปรุงความเร็วการตอบสนองของกล้องหน้า |
| A-68159303 | แสดง | การปรับเพื่อแสดงการตั้งค่าโหมดสี |
| A-68254840 | แสดง | การปรับเพื่อแสดงการตั้งค่าความสว่าง |
| A-68279369 | แสดง | การปรับความสว่างของแถบนำทาง |
| A-64103722 | ข้อมูลมือถือ | ปรับการเปลี่ยน YouTube จากข้อมูลมือถือเป็น Wi-Fi |
| A-65113738 | ข้อมูลมือถือ | การปรับข้อมูลมือถือบน 3 เครือข่าย |
| A-37187694 | ความเสถียร | ปรับปรุงความเสถียรของแอปพลิเคชัน |
| A-67959484 | ความเสถียร | ปรับคุณภาพการโทร |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
ระดับแพตช์ความปลอดภัย 2017-11-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-11-05 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
2. รายการในคอลัมน์ Type หมายถึงอะไร
รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำนิยาม |
|---|---|
| RCE | การเรียกใช้โค้ดจากระยะไกล |
| EoP | ยกระดับสิทธิพิเศษ |
| ไอดี | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจัดประเภท |
3. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
4. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้กับกระดานข่าวสารความปลอดภัยของ Android
ต้องมีช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยของ Android เพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ที่บันทึกไว้ในกระดานข่าวนี้ ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย
รุ่น
| เวอร์ชั่น | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 6 พฤศจิกายน 2017 | เผยแพร่แถลงการณ์ |
| 1.1 | 8 พฤศจิกายน 2017 | กระดานข่าวสารอัปเดตด้วยลิงก์ AOSP และรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดตการทำงาน |