Published ธันวาคม 4, 2017 | อัปเดต 6 ธันวาคม 2017
Pixel / Nexus Security Bulletin มีรายละเอียดของช่องโหว่ด้านความปลอดภัยและการปรับปรุงการทำงานที่ส่งผลต่อ อุปกรณ์ Google Pixel และ Nexus (อุปกรณ์ Google) ที่รองรับ สำหรับอุปกรณ์ Google ระดับแพตช์ความปลอดภัยปี 2017-12-05 หรือใหม่กว่าจะจัดการปัญหาทั้งหมดในกระดานข่าวนี้ หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็นระดับแพตช์ 2017-12-05 เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
หมายเหตุ: อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
ประกาศ
นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ใน แถลงการณ์ความปลอดภัยของ Android เดือนธันวาคม 2017 อุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่าง พาร์ทเนอร์ได้รับแจ้งปัญหาเหล่านี้อย่างน้อยหนึ่งเดือนก่อน และอาจเลือกที่จะรวมไว้เป็นส่วนหนึ่งของการอัปเดตอุปกรณ์
แพตช์ความปลอดภัย
ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน Android Open Source Project (AOSP) ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
กรอบสื่อ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-13154 | A-63666573 | EoP | สูง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0879 | A-65025028 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13149 | A-65719872 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13150 | A-38328132 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-13152 | A-62872384 | ไอดี | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
ส่วนประกอบ Broadcom
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13161 | A-63930471 * BC-V2017092501 | EoP | ปานกลาง | ไม่ได้กำหนด |
ส่วนประกอบเคอร์เนล
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13167 | A-37240993 * | EoP | สูง | ตัวจับเวลาเสียง |
| CVE-2017-13163 | A-37429972 * | EoP | ปานกลาง | ไดรเวอร์ MTP USB |
| CVE-2017-15868 | A-33982955 ต้นน้ำเคอร์เนล | EoP | ปานกลาง | ไดรเวอร์ไร้สาย |
| CVE-2017-13165 | A-31269937 * | EoP | ปานกลาง | ระบบไฟล์ |
| CVE-2017-13166 | A-34624167 * | EoP | ปานกลาง | ไดรเวอร์วิดีโอ V4L2 |
| CVE-2017-1000380 | A-64217740 ต้นน้ำเคอร์เนล | EoP | ปานกลาง | ตัวจับเวลาเสียง |
| CVE-2017-13168 | A-65023233 * | EoP | ปานกลาง | ไดรเวอร์ SCSI |
| CVE-2017-13169 | A-37512375 * | ไอดี | ปานกลาง | เซิร์ฟเวอร์กล้อง |
| CVE-2017-13164 | A-36007193 * | ไอดี | ปานกลาง | ไดรเวอร์เครื่องผูก |
ส่วนประกอบ MediaTek
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13172 | A-36493287 * M-ALPS03495791 | EoP | ปานกลาง | ไดรเวอร์บลูทูธ |
ส่วนประกอบ NVIDIA
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6280 | A-63851980 * N-CVE-2017-6280 | ไอดี | ปานกลาง | ไดรเวอร์ NVIDIA |
| CVE-2017-13175 | A-64339309 * N-CVE-2017-13175 | ไอดี | ปานกลาง | ลิบวิลเฮล์ม |
ส่วนประกอบ Qualcomm
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9708 | A-62674846 * QC-CR#2081806 | EoP | ปานกลาง | เคอร์เนล |
| CVE-2017-11042 | A-38232268 * QC-CR#2070438 | EoP | ปานกลาง | เครื่องผูก |
| CVE-2017-11030 | A-64431967 QC-CR#2034255 [ 2 ] | EoP | ปานกลาง | แสดง |
| CVE-2017-9703 | A-34329758 * QC-CR#2038086 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-9718 | A-36386076 * QC-CR#2045918 | EoP | ปานกลาง | เคอร์เนล |
| CVE-2017-8244 | A-35138888 * QC-CR#2013361 | EoP | ปานกลาง | ดีบักไดรเวอร์ |
| CVE-2017-14901 | A-65468984 QC-CR#2059714 | EoP | ปานกลาง | WLAN |
| CVE-2017-9698 | A-63868678 QC-CR#2023860 | EoP | ปานกลาง | กราฟิก |
| CVE-2017-9700 | A-63868780 QC-CR#2043822 | EoP | ปานกลาง | เครื่องเสียง |
| CVE-2017-9722 | A-64453224 QC-CR#2034239 [ 2 ] | EoP | ปานกลาง | แสดง |
| CVE-2017-11049 | A-64728945 QC-CR#2034909 | EoP | ปานกลาง | แสดง |
| CVE-2017-11047 | A-64728948 QC-CR#2057285 | EoP | ปานกลาง | แสดง |
| CVE-2017-14898 | A-65468978 QC-CR#2054748 | EoP | ปานกลาง | WLAN |
| CVE-2017-14899 | A-65468980 QC-CR#2054752 | EoP | ปานกลาง | WLAN |
| CVE-2017-11044 | A-65468989 QC-CR#2063166 | EoP | ปานกลาง | กราฟิก |
| CVE-2017-11045 | A-65468993 QC-CR#2060377 [ 2 ] | EoP | ปานกลาง | กล้อง |
| CVE-2017-14900 | A-65468983 QC-CR#2058468 | EoP | ปานกลาง | WLAN |
| CVE-2017-9710 | A-63868933 QC-CR#2023883 | EoP | ปานกลาง | ข้อมูล HLOS |
| CVE-2017-11019 | A-64453105 QC-CR#2030638 | EoP | ปานกลาง | แสดง |
| CVE-2017-11016 | A-64453423 QC-CR#2038685 | EoP | ปานกลาง | เครื่องเสียง |
| CVE-2017-11033 | A-64453422 QC-CR#2031930 [ 2 ] | EoP | ปานกลาง | เคอร์เนล |
| CVE-2017-14896 | A-65468975 QC-CR#2013716 | EoP | ปานกลาง | GUD mobicore ไดรเวอร์ |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 | ไอดี | ปานกลาง | ไดรเวอร์ DCI |
| CVE-2017-14903 | A-63522505 * QC-CR#2088768 | ไอดี | ปานกลาง | WLAN |
| CVE-2017-11031 | A-64442463 QC-CR#2059181 | ไอดี | ปานกลาง | แสดง |
| CVE-2017-14905 | A-37719782 QC-CR#2061251 | ไอดี | ปานกลาง | เครือข่ายไร้สาย |
ส่วนประกอบโอเพ่นซอร์สของ Qualcomm
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-14907 | A-62212113 * | ไม่มี | วิกฤต | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-5341 | A-6398306 * | ไม่มี | ปานกลาง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2017-9709 | A-65944335 * | ไม่มี | ปานกลาง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2017-15813 | A-63979947 * | ไม่มี | ปานกลาง | ส่วนประกอบที่ปิดแหล่งที่มา |
อัพเดตการทำงาน
อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดต Android 8.1 ซึ่งเป็นส่วนหนึ่งของ OTA ประจำเดือนธันวาคม Android 8.1 มีการอัปเดตการทำงานและการปรับปรุงส่วนต่างๆ ของแพลตฟอร์ม Android มากมาย
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
ระดับแพตช์ความปลอดภัย 2017-12-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-12-05 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
2. รายการในคอลัมน์ Type หมายถึงอะไร
รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำนิยาม |
|---|---|
| RCE | การเรียกใช้โค้ดจากระยะไกล |
| EoP | ยกระดับสิทธิพิเศษ |
| ไอดี | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจัดประเภท |
3. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
4. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้กับกระดานข่าวสารความปลอดภัยของ Android
ต้องมีช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยของ Android เพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ที่บันทึกไว้ในกระดานข่าวนี้ ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย
รุ่น
| เวอร์ชั่น | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 4 ธันวาคม 2017 | เผยแพร่แถลงการณ์ |
| 1.1 | 5 ธันวาคม 2017 | กระดานข่าวสารอัปเดตพร้อมลิงก์ไปยังรูปภาพเฟิร์มแวร์และรายละเอียดเกี่ยวกับการอัปเดตการทำงาน |
| 1.2 | 6 ธันวาคม 2017 | กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP |