Published มกราคม 2, 2018 | อัพเดทเมื่อ 29 มกราคม 2018
Pixel / Nexus Security Bulletin มีรายละเอียดของช่องโหว่ด้านความปลอดภัยและการปรับปรุงการทำงานที่ส่งผลต่อ อุปกรณ์ Google Pixel และ Nexus (อุปกรณ์ Google) ที่รองรับ สำหรับอุปกรณ์ Google ระดับแพตช์ความปลอดภัย 2018-01-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และปัญหาทั้งหมดใน กระดานข่าวความปลอดภัยของ Android มกราคม 2018 หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูที่ ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็นระดับแพตช์ 2018-01-05 เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
หมายเหตุ: อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
ประกาศ
นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ใน กระดานข่าวความปลอดภัยของ Android มกราคม 2018 แล้ว อุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่าง พาร์ทเนอร์ได้รับแจ้งปัญหาเหล่านี้อย่างน้อยหนึ่งเดือนก่อน และอาจเลือกที่จะรวมไว้เป็นส่วนหนึ่งของการอัปเดตอุปกรณ์
แพตช์ความปลอดภัย
ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน Android Open Source Project (AOSP) ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
กรอบ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0846 | A-64934810 [ 2 ] | ไอดี | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
กรอบสื่อ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-13201 | A-63982768 | ไอดี | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13202 | A-67647856 | ไอดี | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13206 | A-65025048 | ไอดี | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13207 | A-37564426 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13185 | A-65123471 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13187 | A-65034175 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13188 | A-65280786 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13203 | A-63122634 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-13204 | A-64380237 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-13205 | A-645550583 | ไอดี | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-13200 | A-63100526 | ไอดี | ต่ำ | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| ไอดี | ปานกลาง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13186 | A-65735716 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-13189 | A-68300072 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 6.0.1 | ||
| CVE-2017-13190 | A-68299873 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 6.0.1 | ||
| CVE-2017-13194 | A-64710201 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13198 | A-68399117 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 |
ระบบ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-13212 | A-62187985 | EoP | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
ส่วนประกอบ Broadcom
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13213 | A-63374465 * B-V2017081501 | EoP | ปานกลาง | ไดรเวอร์ Bcmdhd |
ส่วนประกอบ HTC
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-11072 | A-65468991 * | EoP | ปานกลาง | ตัวอัพเดตตารางพาร์ติชั่น |
ส่วนประกอบเคอร์เนล
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13219 | A-62800865 * | DoS | ปานกลาง | ตัวควบคุมหน้าจอสัมผัส Synaptics |
| CVE-2017-13220 | A-63527053 * | EoP | ปานกลาง | BlueZ |
| CVE-2017-13221 | A-64709938 * | EoP | ปานกลาง | ไดรเวอร์ Wifi |
| CVE-2017-11473 | A-64253928 ต้นน้ำเคอร์เนล | EoP | ปานกลาง | เคอร์เนล |
| CVE-2017-13222 | A-38159576 * | ไอดี | ปานกลาง | เคอร์เนล |
| CVE-2017-14140 | A-65468230 ต้นน้ำเคอร์เนล | ไอดี | ปานกลาง | เคอร์เนล |
| CVE-2017-15537 | A-68805943 ต้นน้ำเคอร์เนล | ไอดี | ปานกลาง | เคอร์เนล |
ส่วนประกอบ MediaTek
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13225 | A-38308024 * M-ALPS03495789 | EoP | สูง | MTK Media |
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13226 | A-32591194 * M-ALPS03149184 | EoP | ปานกลาง | MTK |
ส่วนประกอบ Qualcomm
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9705 | A-67713091 QC-CR#2059828 | EoP | ปานกลาง | ไดร์เวอร์ SOC |
| CVE-2017-15847 | A-67713087 QC-CR#2070309 | EoP | ปานกลาง | ไดร์เวอร์ SOC |
| CVE-2017-15848 | A-67713083 QC-CR#2073777 | EoP | ปานกลาง | คนขับ |
| CVE-2017-11081 | A-67713113 QC-CR#2077622 | EoP | ปานกลาง | WLan |
| CVE-2017-15845 | A-67713111 QC-CR#2072966 | EoP | ปานกลาง | WLan |
| CVE-2017-14873 | A-67713104 QC-CR#2057144 [ 2 ] | EoP | ปานกลาง | ไดร์เวอร์กราฟิก |
| CVE-2017-11035 | A-67713108 QC-CR#2070583 | EoP | ปานกลาง | ไดรเวอร์ไร้สาย |
| CVE-2017-11003 | A-64439673 QC-CR#2026193 | EoP | ปานกลาง | Bootloader |
| CVE-2017-9689 | A-62828527 QC-CR#2037019 | EoP | ปานกลาง | ไดรเวอร์ HDMI |
| CVE-2017-14879 | A-63890276 * QC-CR#2056307 | EoP | ปานกลาง | ไดรเวอร์ IPA |
| CVE-2017-11080 | A-66937382 QC-CR#2078272 | EoP | ปานกลาง | Bootloader |
| CVE-2017-14869 | A-67713093 QC-CR#2061498 | ไอดี | ปานกลาง | Bootloader |
| CVE-2017-11066 | A-65468971 QC-CR#2068506 | ไอดี | ปานกลาง | Bootloader |
| CVE-2017-15850 | A-62464339 * QC-CR#2113240 | ไอดี | ปานกลาง | ไดรเวอร์ไมโครโฟน |
| CVE-2017-9712 | A-63868883 QC-CR#2033195 | ไอดี | ปานกลาง | ไดรเวอร์ไร้สาย |
| CVE-2017-11079 | A-67713100 QC-CR#2078342 | ไอดี | ปานกลาง | Bootloader |
| CVE-2017-14870 | A-67713096 QC-CR#2061506 | ไอดี | ปานกลาง | Bootloader |
| CVE-2017-11079 | A-66937383 QC-CR#2078342 | ไอดี | ปานกลาง | Bootloader |
อัพเดตการทำงาน
การอัปเดตเหล่านี้รวมอยู่ในอุปกรณ์ Pixel ที่ได้รับผลกระทบเพื่อแก้ไขปัญหาการทำงานที่ไม่เกี่ยวข้องกับความปลอดภัยของอุปกรณ์ Pixel ตารางนี้มีข้อมูลอ้างอิงที่เกี่ยวข้อง หมวดหมู่ที่ได้รับผลกระทบ เช่น Bluetooth หรือข้อมูลมือถือ และการปรับปรุง
| อ้างอิง | หมวดหมู่ | การปรับปรุง |
|---|---|---|
| A-68810306 | ที่เก็บคีย์ | ปรับการจัดการการอัปเกรดคีย์ในที่เก็บคีย์ |
| A-70213235 | ความเสถียร | ปรับปรุงความเสถียรและประสิทธิภาพหลังจากติดตั้ง OTA |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
ระดับแพตช์ความปลอดภัย 2018-01-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2018-01-05 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
2. รายการในคอลัมน์ Type หมายถึงอะไร
รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำนิยาม |
|---|---|
| RCE | การเรียกใช้โค้ดจากระยะไกล |
| EoP | ยกระดับสิทธิพิเศษ |
| ไอดี | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจัดประเภท |
3. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
4. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้กับกระดานข่าวสารความปลอดภัยของ Android
ต้องมีช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยของ Android เพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ที่บันทึกไว้ในกระดานข่าวนี้ ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย
รุ่น
| เวอร์ชั่น | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 2 มกราคม 2018 | เผยแพร่แถลงการณ์ |
| 1.1 | 5 มกราคม 2018 | กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP |
| 1.2 | 29 มกราคม 2018 | เพิ่ม CVE-2017-13225 |