Google มุ่งมั่นที่จะพัฒนาความเท่าเทียมทางเชื้อชาติสำหรับชุมชนคนผิวดำ มาดูกันว่า
หน้านี้ได้รับการแปลโดย Cloud Translation API
Switch to English

กระดานข่าวความปลอดภัยของ Nexus - ธันวาคม 2015

เผยแพร่เมื่อ 07 ธันวาคม 2558 | อัปเดต 7 มีนาคม 2559

เราได้เปิดตัวอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) ซึ่งเป็นส่วนหนึ่งของกระบวนการเผยแพร่ความปลอดภัย Android Bulletin รายเดือน อิมเมจของเฟิร์มแวร์ Nexus ได้รับการเผยแพร่ใน เว็บไซต์ Google Developer แล้วเช่นกัน สร้าง LMY48Z ขึ้นไปและ Android 6.0 ด้วยระดับแพทช์รักษาความปลอดภัยตั้งแต่วันที่ 1 ธันวาคม 2015 หรือหลังจากนั้นจะแก้ไขปัญหาเหล่านี้ อ้างถึงส่วน คำถามและคำตอบทั่วไป สำหรับรายละเอียดเพิ่มเติม

พันธมิตรได้รับแจ้งเกี่ยวกับและแจ้งการอัปเดตสำหรับปัญหาเหล่านี้ในวันที่ 2 พฤศจิกายน 2558 หรือก่อนหน้า มีการเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ในที่เก็บ Android Open Source Project (AOSP)

ปัญหาที่ร้ายแรงที่สุดของปัญหาเหล่านี้คือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้รหัสระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบด้วยวิธีการต่าง ๆ เช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบที่ใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนา

เราไม่มีรายงานการเอารัดเอาเปรียบลูกค้าที่ใช้งานของปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วน บรรเทาสาธารณภัย สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการเช่น SafetyNet ซึ่งปรับปรุงการรักษาความปลอดภัยของแพลตฟอร์ม Android เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัพเดทเหล่านี้ไปยังอุปกรณ์

การบรรเทา

นี่เป็นบทสรุปของการบรรเทาที่จัดทำโดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการเช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยสามารถใช้ประโยชน์จาก Android ได้สำเร็จ

  • การเอารัดเอาเปรียบสำหรับปัญหาต่าง ๆ บน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android รุ่นใหม่ เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดต Android เวอร์ชันล่าสุดเท่าที่จะทำได้
  • ทีมรักษาความปลอดภัย Android กำลังตรวจสอบการละเมิดด้วยแอปพลิเคชันตรวจสอบและ SafetyNet ซึ่งจะเตือนเกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายเกี่ยวกับการติดตั้ง ห้ามใช้เครื่องมือการรูทอุปกรณ์ใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากด้านนอกของ Google Play เปิดใช้งานตรวจสอบแอปโดยค่าเริ่มต้นและจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันการรูทที่รู้จัก ตรวจสอบว่าแอปพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ประโยชน์จากช่องโหว่การเลื่อนระดับสิทธิ์ หากแอพพลิเคชั่นดังกล่าวได้รับการติดตั้งแล้วแอพจะทำการแจ้งเตือนผู้ใช้และพยายามที่จะลบแอพพลิเคชั่นดังกล่าวออก
  • ตามความเหมาะสมแอปพลิเคชันของ Google แฮงเอาท์และ Messenger จะไม่ส่งต่อสื่อไปยังกระบวนการเช่น mediaserver โดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับความช่วยเหลือของพวกเขา:

  • Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • Flanker ( @flanker_hqd ) ของ KeenTeam ( @ K33nTeam ): CVE-2015-6620
  • กวงกง (龚广) ( @oldfresher , higongguang@gmail.com) ของ Qihoo 360 Technology Co.Ltd : CVE-2015-6626
  • Mark Carter ( @hanpingchinese ) ของ EmberMitre Ltd: CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • Natalie Silvanovich จาก Google Project Zero: CVE-2015-6616
  • Peter Pi จาก Trend Micro: CVE-2015-6616, CVE-2015-6628
  • Qidan He ( @flanker_hqd ) และ Marco Grassi ( @marcograss ) ของ KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • Tzu-Yin (Nina) Tai: CVE-2015-6627
  • Joaquín Rinaudo ( @xeroxnir ) จาก Programa STIC ที่Fundación Dr. Manuel Sadosky, บัวโนสไอเรส, อาร์เจนตินา: CVE-2015-6631
  • Wangtao (neobyte) ของ Baidu X-Team: CVE-2015-6626

รายละเอียดช่องโหว่ความปลอดภัย

ในส่วนด้านล่างนี้เราให้รายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยแต่ละรายการที่ใช้กับระดับแพทช์ 2015-12-01 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE ข้อบกพร่องที่เกี่ยวข้องความรุนแรงเวอร์ชันที่อัปเดตและรายงานวันที่ เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลง AOSP ที่แก้ไขปัญหานี้กับรหัสข้อบกพร่อง เมื่อมีการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อผิดพลาดเดียวการอ้างอิง AOSP เพิ่มเติมจะเชื่อมโยงไปยังหมายเลขที่ตามหลัง ID บั๊ก

ช่องโหว่การเรียกใช้รหัสระยะไกลใน Mediaserver

ในระหว่างการประมวลผลไฟล์สื่อและข้อมูลของไฟล์ที่สร้างขึ้นเป็นพิเศษช่องโหว่ในสื่อกลางอาจทำให้ผู้โจมตีสามารถก่อให้เกิดความเสียหายหน่วยความจำและการเรียกใช้รหัสจากระยะไกลเป็นกระบวนการผู้ไกล่เกลี่ย

ฟังก์ชั่นที่ได้รับผลกระทบมีให้เป็นส่วนหลักของระบบปฏิบัติการและมีแอพพลิเคชั่นหลายตัวที่อนุญาตให้เข้าถึงเนื้อหาระยะไกลโดยเฉพาะอย่างยิ่ง MMS และเบราว์เซอร์ที่เล่นสื่อได้

ปัญหานี้ได้รับการจัดระดับความรุนแรงอย่างรุนแรงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลภายในบริบทของบริการสื่อกลาง บริการ mediaserver มีการเข้าถึงสตรีมเสียงและวิดีโอรวมถึงการเข้าถึงสิทธิพิเศษที่แอปของบุคคลที่สามไม่สามารถเข้าถึงได้ตามปกติ

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6616 ANDROID-24630158 วิกฤติ 6.0 และต่ำกว่า Google Internal
ANDROID-23882800 วิกฤติ 6.0 และต่ำกว่า Google Internal
ANDROID-17769851 วิกฤติ 5.1 และต่ำกว่า Google Internal
ANDROID-24441553 วิกฤติ 6.0 และต่ำกว่า 22 ก.ย. 2558
ANDROID-24157524 วิกฤติ 6.0 8 ก.ย. 2558

ช่องโหว่การเรียกใช้รหัสระยะไกลใน Skia

ช่องโหว่ในองค์ประกอบ Skia อาจถูกใช้เป็นประโยชน์เมื่อประมวลผลไฟล์สื่อที่ออกแบบมาเป็นพิเศษซึ่งอาจนำไปสู่ความเสียหายของหน่วยความจำและการเรียกใช้รหัสระยะไกลในกระบวนการที่ได้รับการยกเว้น ปัญหานี้ได้รับการจัดระดับความรุนแรงอย่างรุนแรงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลผ่านวิธีการโจมตีหลายวิธีเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6617 ANDROID-23648740 วิกฤติ 6.0 และต่ำกว่า ภายในของ Google

ระดับความสูงของสิทธิ์ในเคอร์เนล

การยกระดับสิทธิ์ช่องโหว่ในเคอร์เนลระบบอาจทำให้แอปพลิเคชันที่เป็นอันตรายในท้องถิ่นสามารถรันโค้ดโดยอำเภอใจได้ภายในบริบทรูทอุปกรณ์ ปัญหานี้ได้รับการจัดอันดับว่าเป็นความรุนแรงที่สำคัญเนื่องจากความเป็นไปได้ของการประนีประนอมอุปกรณ์ถาวรในพื้นที่และอุปกรณ์สามารถซ่อมแซมได้โดยการกะพริบระบบปฏิบัติการอีกครั้งเท่านั้น

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6619 ANDROID-23520714 วิกฤติ 6.0 และต่ำกว่า 7 มิถุนายน 2558

ช่องโหว่การเรียกใช้รหัสระยะไกลในไดรเวอร์การแสดงผล

มีช่องโหว่ในไดรเวอร์การแสดงผลที่เมื่อประมวลผลไฟล์สื่ออาจทำให้หน่วยความจำเสียหายและการใช้รหัสโดยอำเภอใจในบริบทของไดรเวอร์โหมดผู้ใช้ที่โหลดโดย mediaserver ปัญหานี้ได้รับการจัดระดับความรุนแรงอย่างรุนแรงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลผ่านวิธีการโจมตีหลายวิธีเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6633 ANDROID-23987307 * วิกฤติ 6.0 และต่ำกว่า Google Internal
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] วิกฤติ 5.1 และต่ำกว่า Google Internal

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีอยู่ใน ไซต์ Google Developer

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในบลูทู ธ

ช่องโหว่ในส่วนประกอบ Bluetooth ของ Android อาจอนุญาตให้มีการเรียกใช้รหัสระยะไกล อย่างไรก็ตามต้องดำเนินการหลายขั้นตอนก่อนที่จะเกิดขึ้น ในการดำเนินการนี้จะต้องใช้อุปกรณ์ที่จับคู่สำเร็จหลังจากเปิดใช้งานโปรไฟล์เครือข่ายพื้นที่ส่วนบุคคล (PAN) (ตัวอย่างเช่นการใช้ Bluetooth Tethering) และอุปกรณ์ถูกจับคู่ การเรียกใช้รหัสระยะไกลจะเป็นสิทธิ์ของบริการบลูทู ธ อุปกรณ์มีความเสี่ยงต่อปัญหานี้จากอุปกรณ์ที่จับคู่สำเร็จเท่านั้นขณะอยู่ในพื้นที่ใกล้เคียง

ปัญหานี้จัดอยู่ในอันดับความรุนแรงสูงเนื่องจากผู้โจมตีสามารถเรียกใช้รหัสโดยอำเภอจากระยะไกลหลังจากดำเนินการด้วยตนเองหลายขั้นตอนและจากผู้โจมตีใกล้เคียงในพื้นที่ซึ่งก่อนหน้านี้ได้รับอนุญาตให้จับคู่อุปกรณ์

CVE ข้อผิดพลาด (s) ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6618 ANDROID-24595992 * สูง 4.4, 5.0 และ 5.1 28 ก.ย. 2558

* โปรแกรมแก้ไขสำหรับปัญหานี้ไม่ได้อยู่ใน AOSP การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีอยู่ใน ไซต์ Google Developer

การยกระดับสิทธิ์ช่องโหว่ใน libstagefright

มีช่องโหว่หลายจุดใน libstagefright ที่สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเรียกใช้รหัสโดยอำเภอใจในบริบทของบริการสื่อกลาง ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่ไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6620 ANDROID-24123723 สูง 6.0 และต่ำกว่า 10 ก.ย. 2558
ANDROID-24445127 สูง 6.0 และต่ำกว่า 2 ก.ย. 2558

การยกระดับสิทธิ์ช่องโหว่ใน SystemUI

เมื่อตั้งค่าการเตือนโดยใช้แอปพลิเคชันนาฬิกาช่องโหว่ในองค์ประกอบ SystemUI อาจทำให้แอปพลิเคชันสามารถทำงานที่ระดับสิทธิ์ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่ไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6621 ANDROID-23909438 สูง 5.0, 5.1 และ 6.0 7 ก.ย. 2558

ช่องโหว่การเปิดเผยข้อมูลในห้องสมุด Native Frameworks

ช่องโหว่การเปิดเผยข้อมูลในห้องสมุด Android Native Frameworks อาจอนุญาตให้มีการข้ามมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากในการโจมตีของผู้บุกรุกที่ใช้ประโยชน์จากแพลตฟอร์มดังกล่าว ปัญหาเหล่านี้จะจัดอันดับให้เป็นความรุนแรงสูงเพราะพวกเขายังสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่จะไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6622 ANDROID-23905002 สูง 6.0 และต่ำกว่า 7 ก.ย. 2558

การยกระดับสิทธิ์ช่องโหว่ใน Wi-Fi

การยกระดับสิทธิ์ช่องโหว่ใน Wi-Fi สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเรียกใช้รหัสโดยอำเภอใจในบริบทของบริการระบบที่ยกระดับ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ซึ่งไม่สามารถเข้าถึงแอพลิเคชันของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6623 ANDROID-24872703 สูง 6.0 Google Internal

การยกระดับสิทธิ์ช่องโหว่ใน System Server

การยกระดับสิทธิ์ช่องโหว่ในส่วนประกอบของ System Server อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลที่เกี่ยวข้องกับบริการได้ ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่จะไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6624 ANDROID-23999740 สูง 6.0 ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน libstagefright

มีช่องโหว่ในการเปิดเผยข้อมูลใน libstage ซึ่งในระหว่างการสื่อสารกับผู้ไกล่เกลี่ยอาจอนุญาตให้มีการข้ามมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากในการโจมตีของผู้โจมตีที่ใช้ประโยชน์จากแพลตฟอร์ม ปัญหาเหล่านี้จะจัดอันดับให้เป็นความรุนแรงสูงเพราะพวกเขายังสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่จะไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6632 ANDROID-24346430 สูง 6.0 และต่ำกว่า Google Internal
CVE-2015-6626 ANDROID-24310423 สูง 6.0 และต่ำกว่า 2 ก.ย. 2558
CVE-2015-6631 ANDROID-24623447 สูง 6.0 และต่ำกว่า 21 ส.ค. 2558

ช่องโหว่การเปิดเผยข้อมูลในเสียง

ช่องโหว่ในองค์ประกอบ Audio อาจถูกโจมตีในระหว่างการประมวลผลไฟล์เสียง ช่องโหว่นี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบระหว่างการประมวลผลไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้เกิดการเปิดเผยข้อมูล ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่จะไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6627 ANDROID-24211743 สูง 6.0 และต่ำกว่า Google Internal

ช่องโหว่การเปิดเผยข้อมูลใน Media Framework

มีช่องโหว่การเปิดเผยข้อมูลใน Media Framework ที่ในระหว่างการสื่อสารกับผู้ไกล่เกลี่ยอาจอนุญาตให้มีการข้ามมาตรการรักษาความปลอดภัยเพื่อเพิ่มความยากลำบากในการโจมตีของผู้โจมตีที่ใช้ประโยชน์จากแพลตฟอร์ม ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันยังสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่จะไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6628 ANDROID-24074485 สูง 6.0 และต่ำกว่า 8 ก.ย. 2558

ช่องโหว่การเปิดเผยข้อมูลใน Wi-Fi

ช่องโหว่ในส่วนประกอบ Wi-Fi อาจทำให้ผู้โจมตีทำให้บริการ Wi-Fi เปิดเผยข้อมูล ปัญหานี้ได้รับการจัดอันดับเป็นความรุนแรงสูงเพราะมันสามารถนำมาใช้เพื่อให้ได้รับการยกระดับความสามารถเช่น ลายเซ็น หรือ SignatureOrSystem สิทธิพิเศษสิทธิ์ที่ไม่สามารถเข้าถึงการใช้งานของบุคคลที่สาม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6629 ANDROID-22667667 สูง 5.1 และ 5.0 Google Internal

การยกระดับสิทธิ์ช่องโหว่ใน System Server

การยกระดับสิทธิ์ช่องโหว่ใน System Server สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อเข้าถึงข้อมูลที่เกี่ยวข้องกับบริการ Wi-Fi ปัญหานี้จัดอยู่ในอันดับความรุนแรงปานกลางเนื่องจากสามารถใช้เพื่อให้ได้รับสิทธิ์ " อันตราย " อย่างไม่เหมาะสม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6625 ANDROID-23936840 ปานกลาง 6.0 Google Internal

ช่องโหว่การเปิดเผยข้อมูลใน SystemUI

ช่องโหว่การเปิดเผยข้อมูลใน SystemUI อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงภาพหน้าจอได้ ปัญหานี้จัดอยู่ในอันดับความรุนแรงปานกลางเนื่องจากสามารถใช้เพื่อให้ได้รับสิทธิ์ " อันตราย " อย่างไม่เหมาะสม

CVE บั๊กที่มีลิงก์ AOSP ความรุนแรง รุ่นที่ปรับปรุงแล้ว วันที่รายงาน
CVE-2015-6630 ANDROID-19121797 ปานกลาง 5.0, 5.1 และ 6.0 22 มกราคม 2015

คำถามและคำตอบทั่วไป

ส่วนนี้จะตรวจสอบคำตอบสำหรับคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านแถลงการณ์นี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการปรับปรุงเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

สร้าง LMY48Z ขึ้นไปและ Android 6.0 ด้วยระดับแพทช์รักษาความปลอดภัยตั้งแต่วันที่ 1 ธันวาคม 2015 หรือหลังจากนั้นจะแก้ไขปัญหาเหล่านี้ ดู เอกสารประกอบของ Nexus สำหรับคำแนะนำเกี่ยวกับวิธีตรวจสอบระดับแพตช์รักษาความปลอดภัย ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงการแก้ไขเป็น: [ro.build.version.security_patch]: [2015-12-01]

การแก้ไข

  • 7 ธันวาคม 2558: เผยแพร่ครั้งแรก
  • 09 ธันวาคม 2558: ประกาศแก้ไขเพื่อรวมลิงก์ AOSP
  • 22 ธันวาคม 2558: เพิ่มเครดิตที่หายไปในส่วนกิตติกรรมประกาศ
  • 7 มีนาคม 2559: เพิ่มเครดิตที่หายไปในส่วน Acknowledgments