กระดานข่าวความปลอดภัยของ Android—พฤศจิกายน 2016

เผยแพร่เมื่อ 7 พฤศจิกายน 2016 | อัปเดตเมื่อวันที่ 21 ธันวาคม 2559

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยให้กับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยในวันที่ 6 พฤศจิกายน 2016 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 20 ตุลาคม 2016 หรือก่อนหน้านั้น หากมีการเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาปัญหาบริการ Android และ Google สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

ประกาศ

  • ด้วยการเปิดตัวอุปกรณ์ Pixel และ Pixel XL คำว่า อุปกรณ์ทั้งหมดที่ Google รองรับ คือ "อุปกรณ์ Google" แทนที่จะเป็น "อุปกรณ์ Nexus"
  • กระดานข่าวนี้มีระดับแพตช์รักษาความปลอดภัยสามระดับเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-11-2559 : ระดับแพตช์ความปลอดภัยบางส่วน ระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-01 (และระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 05-11-2559 : ระดับแพตช์ความปลอดภัยเสร็จสมบูรณ์ ระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-01 และ 2016-11-05 (และระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • ระดับแพตช์ความปลอดภัยเพิ่มเติม

      ระดับแพตช์รักษาความปลอดภัยเพิ่มเติมมีไว้เพื่อระบุอุปกรณ์ที่มีการแก้ไขสำหรับปัญหาที่เปิดเผยต่อสาธารณะหลังจากกำหนดระดับแพตช์แล้ว ไม่จำเป็นต้องจัดการกับช่องโหว่ที่เปิดเผยเมื่อเร็วๆ นี้จนกว่าจะถึงระดับแพทช์รักษาความปลอดภัย 2016-12-01

      • 06-11-2559 : ระดับแพทช์รักษาความปลอดภัยนี้บ่งชี้ว่าอุปกรณ์ได้แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-11-05 และ CVE-2016-5195 ซึ่งเปิดเผยต่อสาธารณะเมื่อวันที่ 19 ตุลาคม 2016
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เดียวพร้อมระดับแพตช์ความปลอดภัยในวันที่ 5 พฤศจิกายน 2016

การบรรเทาปัญหาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบที่ได้รับจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพวกเขาพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการเพิ่มระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

  • Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome: CVE-2016-6722
  • Andrei Kapishnikov และ Miriam Gershenson จาก Google: CVE-2016-6703
  • Ao Wang ( @ArayzSegment ) และ Zinuo Han จาก PKAV เทคโนโลยีสารสนเทศ Silence: CVE-2016-6700, CVE-2016-6702
  • Askyshang จากแผนกแพลตฟอร์มความปลอดภัย Tencent: CVE-2016-6713
  • Billy Lau จาก Android Security: CVE-2016-6737
  • Constantinos Patsakis และ Efthimios Alepis จากมหาวิทยาลัย Piraeus: CVE-2016-6715
  • dragonltx จากทีมรักษาความปลอดภัยมือถือของ Alibaba: CVE-2016-6714
  • กัล เบเนียมินิ จาก Project Zero: CVE-2016-6707, CVE-2016-6717
  • Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
  • Guang Gong (龚广) ( @oldfresher ) จากทีม Alpha, Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd .: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698
  • Marco Grassi ( @marcograss ) จาก Keen Lab แห่ง Tencent ( @keen_lab ): CVE-2016-6828
  • เครื่องหมายตราสินค้า Project Zero : CVE-2016-6706
  • มาร์ค Renouf จาก Google: CVE-2016-6724
  • Michał Bednarski ( github.com/michalbednarski ): CVE-2016-6710
  • Min Chong แห่งความปลอดภัยของ Android: CVE-2016-6743
  • Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-6721
  • Qidan He (何淇丹) ( @flanker_hqd ) และ Gengming Liu (刘耕铭) ( @dmxcsnsbh ) แห่ง KeenLab, Tencent: CVE-2016-6705
  • โรบิน ลี จาก Google: CVE-2016-6708
  • สก็อตต์ บาวเออร์ ( @ScottyBauer1 ): CVE-2016-6751
  • Sergey Bobrov ( @Black2Fan ) จาก Kaspersky Lab: CVE-2016-6716
  • Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามบนมือถือของ Trend Micro: CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
  • Victor van der Veen, Herbert Bos, Kaveh Razavi และ Cristiano Giuffrida จาก Vrije Universiteit Amsterdam และ Yanick Fratantonio, Martina Lindorfer และ Giovanni Vigna จากมหาวิทยาลัยแคลิฟอร์เนีย ซานตาบาร์บารา: CVE-2016-6728
  • Weichao Sun ( @sunblate ) จาก Alibaba Inc: CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
  • Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-6720
  • Wish Wu (吴潍浠) ( @wish_wu ) จาก Trend Micro Inc.: CVE-2016-6704
  • Yakov Shafranovich จาก Nightwatch Cybersecurity : CVE-2016-6723
  • Yuan-Tsung Lo , Yao Jun , Tong Lin , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
  • Yuan-Tsung Lo , Yao Jun , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746

ขอขอบคุณ Zach Riggle จาก Android Security สำหรับการมีส่วนร่วมในประเด็นต่างๆ ในกระดานข่าวนี้

ระดับแพทช์รักษาความปลอดภัย 2016-11-01—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2016-11-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6699 A-31373622 วิกฤต ทั้งหมด 7.0 27 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน libzipfile

การยกระดับช่องโหว่ของสิทธิ์ใน libzipfile อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6700 A-30916186 วิกฤต ไม่มี* 4.4.4, 5.0.2, 5.1.1 17 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Skia

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libskia อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์มีเดียและข้อมูลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการแกลเลอรี

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6701 A-30190637 สูง ทั้งหมด 7.0 ภายในของ Google

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libjpeg

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libjpeg อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ libjpeg

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6702 A-30259087 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1 19 ก.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในรันไทม์ของ Android

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไลบรารีรันไทม์ของ Android อาจทำให้ผู้โจมตีใช้เพย์โหลดที่สร้างขึ้นมาเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้รันไทม์ของ Android

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6703 A-30765246 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษใน Mediaserver

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6704 A-30229821 [ 2 ] [ 3 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 ก.ค. 2559
CVE-2016-6705 A-30907212 [ 2 ] สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 ส.ค. 2559
CVE-2016-6706 A-31385713 สูง ทั้งหมด 7.0 8 กันยายน 2559

การยกระดับสิทธิ์ช่องโหว่ใน System Server

การยกระดับช่องโหว่ของสิทธิ์ในเซิร์ฟเวอร์ระบบอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6707 A-31350622 สูง ทั้งหมด 6.0, 6.0.1, 7.0 7 กันยายน 2559

การยกระดับช่องโหว่ของสิทธิ์ใน UI ของระบบ

การยกระดับสิทธิ์ใน UI ของระบบอาจทำให้ผู้ใช้ที่เป็นอันตรายในเครื่องสามารถข้ามการแจ้งเตือนการรักษาความปลอดภัยของโปรไฟล์งานในโหมดหลายหน้าต่างได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่องสำหรับนักพัฒนาหรือการแก้ไขการตั้งค่าความปลอดภัย

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6708 A-30693465 สูง ทั้งหมด 7.0 ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน Concrypt

ช่องโหว่ในการเปิดเผยข้อมูลใน Conscrypt อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ หากแอปพลิเคชันใช้ API การเข้ารหัสแบบเดิม ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6709 A-31081987 สูง ทั้งหมด 6.0, 6.0.1, 7.0 9 ต.ค. 2558

ช่องโหว่การเปิดเผยข้อมูลในตัวจัดการการดาวน์โหลด

ช่องโหว่ในการเปิดเผยข้อมูลในตัวจัดการการดาวน์โหลดอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6710 A-30537115 [ 2 ] สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 ก.ค. 2559

การปฏิเสธช่องโหว่การบริการใน Bluetooth

การปฏิเสธช่องโหว่การบริการใน Bluetooth อาจทำให้ผู้โจมตีใกล้เคียงบล็อกการเข้าถึง Bluetooth ไปยังอุปกรณ์ที่ได้รับผลกระทบได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2014-9908 A-28672558 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1 5 พฤษภาคม 2557

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การปฏิเสธช่องโหว่การบริการใน OpenJDK

การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน OpenJDK อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2015-0410 A-30703445 สูง ทั้งหมด 7.0 16 มกราคม 2558

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6711 A-30593765 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 ส.ค. 2559
CVE-2016-6712 A-30593752 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 ส.ค. 2559
CVE-2016-6713 A-30822755 สูง ทั้งหมด 6.0, 6.0.1, 7.0 11 ส.ค. 2559
CVE-2016-6714 A-31092462 สูง ทั้งหมด 6.0, 6.0.1, 7.0 22 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ใน Framework API

การยกระดับช่องโหว่ของสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องบันทึกเสียงโดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6715 A-29833954 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 มิถุนายน 2559

การยกระดับช่องโหว่ของสิทธิ์ใน AOSP Launcher

การยกระดับช่องโหว่ของสิทธิ์ในตัวเรียกใช้ AOSP อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถสร้างทางลัดที่มีสิทธิ์ระดับสูงโดยไม่ได้รับความยินยอมจากผู้ใช้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6716 A-30778130 ปานกลาง ทั้งหมด 7.0 5 ส.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน Mediaserver

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องมีการใช้ประโยชน์จากช่องโหว่ที่แยกต่างหากก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6717 A-31350239 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 7 กันยายน 2559

การยกระดับช่องโหว่ของสิทธิ์ในบริการตัวจัดการบัญชี

การยกระดับช่องโหว่ของสิทธิ์ในบริการตัวจัดการบัญชีอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถดึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องโต้ตอบกับผู้ใช้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการเลี่ยงผ่านข้อกำหนดในการโต้ตอบของผู้ใช้ในพื้นที่ (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6718 A-30455516 ปานกลาง ทั้งหมด 7.0 ภายในของ Google

การยกระดับช่องโหว่ของสิทธิพิเศษใน Bluetooth

การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถจับคู่กับอุปกรณ์ Bluetooth ใดๆ โดยไม่ได้รับความยินยอมจากผู้ใช้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6719 A-29043989 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6720 A-29422020 [ 2 ] [ 3 ] [ 4 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 มิ.ย. 2559
CVE-2016-6721 A-30875060 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0 13 ส.ค. 2559
CVE-2016-6722 A-31091777 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 ส.ค. 2559

การปฏิเสธช่องโหว่การบริการใน Proxy Auto Config

การปฏิเสธช่องโหว่ในบริการในการกำหนดค่าพร็อกซีอัตโนมัติอาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6723 A-30100884 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 11 ก.ค. 2559

การปฏิเสธช่องโหว่ของบริการใน Input Manager Service

การปฏิเสธช่องโหว่การบริการในบริการตัวจัดการอินพุตอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทำให้อุปกรณ์รีบูตอย่างต่อเนื่อง ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการปฏิเสธบริการชั่วคราวที่จำเป็นต้องรีเซ็ตเป็นค่าจากโรงงานเพื่อแก้ไข

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6724 A-30568284 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 ภายในของ Google

ระดับแพตช์รักษาความปลอดภัย 2016-11-05—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2016-11-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ Qualcomm crypto

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ Cryptocurrency ของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6725 A-30515053
QC-CR#1050970
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 25 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8961 A-30952474
เคอร์เนลต้นน้ำ
วิกฤต พิกเซล, พิกเซล XL 18 ต.ค. 2558
CVE-2016-7911 A-30946378
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 01 กรกฎาคม 2016
CVE-2016-7910 A-30942273
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 29 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เคอร์เนล SCSI

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เคอร์เนล SCSI อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8962 A-30951599
เคอร์เนลต้นน้ำ
วิกฤต พิกเซล, พิกเซล XL 30 ต.ค. 2558

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์สื่อเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์สื่อเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7913 A-30946097
เคอร์เนลต้นน้ำ
วิกฤต Nexus 6P, Android One, ผู้เล่น Nexus, Pixel, Pixel XL 28 มกราคม 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ USB ของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ USB ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7912 A-30950866
เคอร์เนลต้นน้ำ
วิกฤต พิกเซล C, พิกเซล, พิกเซล XL 14 เมษายน 2559

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6728 A-30400942* วิกฤต Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, ผู้เล่น Nexus, Pixel C, Android One 25 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader

การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6729 A-30977990*
QC-CR#977684
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 25 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6730 A-30904789*
N-CVE-2016-6730
วิกฤต พิกเซล ซี 16 ส.ค. 2559
CVE-2016-6731 A-30906023*
N-CVE-2016-6731
วิกฤต พิกเซล ซี 16 ส.ค. 2559
CVE-2016-6732 A-30906599*
N-CVE-2016-6732
วิกฤต พิกเซล ซี 16 ส.ค. 2559
CVE-2016-6733 A-30906694*
N-CVE-2016-6733
วิกฤต พิกเซล ซี 16 ส.ค. 2559
CVE-2016-6734 A-30907120*
N-CVE-2016-6734
วิกฤต พิกเซล ซี 16 ส.ค. 2559
CVE-2016-6735 A-30907701*
N-CVE-2016-6735
วิกฤต พิกเซล ซี 16 ส.ค. 2559
CVE-2016-6736 A-30953284*
N-CVE-2016-6736
วิกฤต พิกเซล ซี 18 ส.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเครือข่ายเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6828 A-31183296
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 18 ส.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเสียงเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-2184 A-30952477
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 31 มี.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6737 A-30928456* วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

ช่องโหว่ในส่วนประกอบของ Qualcomm

ตารางด้านล่างมีช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS เดือนมิถุนายน 2559 และการแจ้งเตือนความปลอดภัย 80-NV606-17

ซีวีอี อ้างอิง ความรุนแรง* อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6727 A-31092400** วิกฤต แอนดรอยด์วัน วอลคอมม์ภายใน
CVE-2016-6726 A-30775830** สูง เน็กซัส 6, แอนดรอยด์ วัน วอลคอมม์ภายใน

* ระดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้จำหน่าย

** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Expat

ตารางด้านล่างมีช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อไลบรารีของ Expat ปัญหาที่ร้ายแรงที่สุดเหล่านี้คือการยกระดับช่องโหว่ของสิทธิ์ในตัวแยกวิเคราะห์ Expat XML ซึ่งอาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดตามอำเภอใจในกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดโดยอำเภอใจในแอปพลิเคชันที่ใช้ Expat

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-0718 A-28698301 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 พฤษภาคม 2559
CVE-2012-6702 A-29149404 ปานกลาง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 06 มี.ค. 2559
CVE-2016-5300 A-29149404 ปานกลาง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 04 มิ.ย. 2559
CVE-2015-1283 A-27818751 ต่ำ ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 ก.ค. 2558

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Webview

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Webview อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่กำหนดเองได้เมื่อผู้ใช้นำทางไปยังเว็บไซต์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในกระบวนการที่ไม่มีสิทธิพิเศษ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-6754 A-31217937 สูง ไม่มี* 5.0.2, 5.1.1, 6.0, 6.0.1 23 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถโหลดแบบอักษรที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ Freetype

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2014-9675 A-24296662 [ 2 ] สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยประสิทธิภาพเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยประสิทธิภาพเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8963 A-30952077
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 15 ธันวาคม 2558

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการตรวจสอบการเรียกระบบเคอร์เนล

การยกระดับสิทธิ์ของช่องโหว่ของสิทธิ์การใช้งานในระบบย่อยการตรวจสอบการเรียกของระบบเคอร์เนลอาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายภายในเครื่องเพื่อรบกวนการตรวจสอบการเรียกของระบบในเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากเป็นทางเลี่ยงทั่วไปสำหรับการป้องกันระดับเคอร์เนลในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6136 A-30956807
เคอร์เนลต้นน้ำ
สูง Android One, Pixel C, ผู้เล่น Nexus 1 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุม Qualcomm crypto engine

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กลไกเข้ารหัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6738 A-30034511
QC-CR#1050538
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 7 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6739 A-30074605*
QC-CR#1049826
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 11 ก.ค. 2559
CVE-2016-6740 A-30143904
QC-CR#1056307
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 12 ก.ค. 2559
CVE-2016-6741 A-30559423
QC-CR#1060554
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 28 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์บัส Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์บัส Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-3904 A-30311977
QC-CR#1050455
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 22 ก.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6742 A-30799828* สูง Nexus 5X, แอนดรอยด์ วัน 9 สิงหาคม 2559
CVE-2016-6744 A-30970485* สูง เน็กซัส 5X 19 ส.ค. 2559
CVE-2016-6745 A-31252388* สูง Nexus 5X, Nexus 6P, Nexus 9, Android One, พิกเซล, พิกเซล XL 1 กันยายน 2559
CVE-2016-6743 A-30937462* สูง เน็กซัส 9, แอนดรอยด์ วัน ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล รวมถึงไดรเวอร์อุปกรณ์อินเทอร์เฟซสำหรับมนุษย์ ระบบไฟล์ และไดรเวอร์ Teletype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-8964 A-30951112
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 27 พฤศจิกายน 2558
CVE-2016-7915 A-30951261
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 19 มกราคม 2559
CVE-2016-7914 A-30513364
เคอร์เนลต้นน้ำ
สูง พิกเซล C, พิกเซล, พิกเซล XL 06 เม.ย. 2559
CVE-2016-7916 A-30951939
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 05 พฤษภาคม 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ NVIDIA GPU

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6746 A-30955105*
N-CVE-2016-6746
สูง พิกเซล ซี 18 ส.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ในบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6747 A-31244612*
N-CVE-2016-6747
สูง เน็กซัส 9 ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบเคอร์เนล รวมถึงระบบย่อยการจัดกลุ่มกระบวนการและระบบย่อยเครือข่าย อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7917 A-30947055
เคอร์เนลต้นน้ำ
ปานกลาง พิกเซล C, พิกเซล, พิกเซล XL 02 กุมภาพันธ์ 2559
CVE-2016-6753 A-30149174* ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 13 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบของ Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในส่วนประกอบของ Qualcomm รวมถึงไดรเวอร์ GPU, ไดรเวอร์พลังงาน, ไดรเวอร์ SMSM แบบจุดต่อจุด และไดรเวอร์เสียง อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-6748 A-30076504
QC-CR#987018
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 12 ก.ค. 2559
CVE-2016-6749 A-30228438
QC-CR#1052818
ปานกลาง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 12 ก.ค. 2559
CVE-2016-6750 A-30312054
QC-CR#1052825
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 21 กรกฎาคม 2016
CVE-2016-3906 A-30445973
QC-CR#1054344
ปานกลาง เน็กซัส 5X, เน็กซัส 6P 27 ก.ค. 2559
CVE-2016-3907 A-30593266
QC-CR#1054352
ปานกลาง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 2 ส.ค. 2559
CVE-2016-6698 A-30741851
QC-CR#1058826
ปานกลาง Nexus 5X, Nexus 6P, Android One, พิกเซล, พิกเซล XL 2 ส.ค. 2559
CVE-2016-6751 A-30902162*
QC-CR#1062271
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 15 ส.ค. 2559
CVE-2016-6752 A-31498159
QC-CR#987051
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

ระดับแพตช์รักษาความปลอดภัย 2016-11-06—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่แสดงอยู่ใน ระดับแพตช์ความปลอดภัย 2016-11-06—สรุปช่องโหว่ ด้านบน มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยหน่วยความจำเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

หมายเหตุ: ระดับแพตช์รักษาความปลอดภัย 2559-11-06 บ่งชี้ว่าปัญหานี้ รวมถึงปัญหาทั้งหมดที่เกี่ยวข้องกับ 2559-11-01 และ 2559-11-05 ได้รับการแก้ไขแล้ว

ซีวีอี อ้างอิง ความรุนแรง อัปเดตเวอร์ชันเคอร์เนล วันที่รายงาน
CVE-2016-5195 A-32141528
เคอร์เนลต้นน้ำ [ 2 ]
วิกฤต 3.10, 3.18 12 ต.ค. 2559

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์รักษาความปลอดภัยของ 2016-11-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2016-11-01
  • ระดับแพตช์รักษาความปลอดภัยของ 2016-11-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2016-11-05 และระดับแพตช์ก่อนหน้าทั้งหมด
  • ระดับแพตช์รักษาความปลอดภัยของ 2016-11-06 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2016-11-06 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าสตริงระดับแพตช์เป็น:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสามระดับ

กระดานข่าวนี้มีระดับแพตช์รักษาความปลอดภัยสามระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยในวันที่ 1 พฤศจิกายน 2016 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพทช์รักษาความปลอดภัยวันที่ 5 พฤศจิกายน 2016 หรือใหม่กว่า จะต้องมีแพทช์ที่เกี่ยวข้องทั้งหมดไว้ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 6 พฤศจิกายน 2016 หรือใหม่กว่า จะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google เครื่องใดที่ได้รับผลกระทบจากแต่ละปัญหา

ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยประจำ ปี 2559-11-01 , 2559-11-05 และ 2559-11-06 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดต ซึ่งครอบคลุมอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งได้รับการอัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือก 2-3 รายการ:

  • อุปกรณ์ Google ทั้งหมด : หากปัญหาเกิดขึ้นกับอุปกรณ์ Nexus และ Pixel ทั้งหมด ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" สรุป อุปกรณ์ที่รองรับต่อ ไปนี้: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
  • อุปกรณ์ Google บางรุ่น : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงรายการในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
  • ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต

4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าแมปดังต่อไปนี้:

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
บี- หมายเลขอ้างอิงของ Broadcom

การแก้ไข

  • 7 พฤศจิกายน 2559: เผยแพร่กระดานข่าว
  • 8 พฤศจิกายน: กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP และคำอธิบายที่อัปเดตสำหรับ CVE-2016-6709
  • 17 พฤศจิกายน: กระดานข่าวแก้ไขเพื่อรวมการระบุแหล่งที่มาสำหรับ CVE-2016-6828
  • 21 ธันวาคม: อัปเดตเครดิตนักวิจัย