Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

ประกาศความปลอดภัยของ Android - มกราคม 2017

เผยแพร่เมื่อ 03 มกราคม 2017 | อัปเดตเมื่อวันที่ 2 กุมภาพันธ์ 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวเราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) นอกจากนี้อิมเมจเฟิร์มแวร์อุปกรณ์ของ Google ได้เผยแพร่ไปยัง ไซต์ Google Developer ระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 5 มกราคม 2017 ขึ้นไปจะช่วยแก้ปัญหาเหล่านี้ทั้งหมด โปรดดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในแถลงการณ์เมื่อวันที่ 5 ธันวาคม 2016 หรือก่อนหน้านั้น แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านหลายวิธีเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลดการให้บริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ประกาศ

  • บูเลทีนนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2017-01-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2017-01-05 : กรอกสตริงระดับแพตช์ความปลอดภัย สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 และ 2017-01-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เพียงครั้งเดียวพร้อมด้วยระดับแพตช์ความปลอดภัยวันที่ 5 มกราคม 2017

สรุปช่องโหว่ด้านความปลอดภัย

ตารางด้านล่างประกอบด้วยรายการช่องโหว่ด้านความปลอดภัย Common Vulnerability and Exposures ID (CVE) ความรุนแรงที่ประเมินได้และอุปกรณ์ Google จะได้รับผลกระทบหรือไม่ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาที่ได้รับจาก แพลตฟอร์มความปลอดภัย Android และการป้องกันบริการเช่น SafetyNet ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ห้ามใช้เครื่องมือรูทอุปกรณ์ใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งเป็นที่รู้จักซึ่งใช้ช่องโหว่ในการเพิ่มสิทธิ์ หากแอปพลิเคชันดังกล่าวได้รับการติดตั้งแล้ว Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสมแอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งผ่านสื่อไปยังกระบวนการต่างๆเช่น Mediaserver โดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • Alexandru Blanda: CVE-2017-0390
  • Daniel Micay จาก Copperhead Security: CVE-2017-0397
  • Daxing Guo ( @ freener0 ) จาก Xuanwu Lab, Tencent: CVE-2017-0386
  • derrek ( @ derrekr6 ): CVE-2017-0392
  • Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
  • donfos (Aravind Machiry) จาก Shellphish Grill Team, UC Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
  • En He ( @ heeeeen4x ) จาก MS509 ทีม : CVE-2017-0394
  • Gengjia Chen ( @ chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. : CVE-2016-8464
  • ทีม Google WebM: CVE-2017-0393
  • Guang Gong (龚广) ( @oldfresher ) จาก Alpha Team, Qihoo 360 Technology Co. Ltd. : CVE-2017-0387
  • Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd. : CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016 -8465
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-8475
  • Jon Sawyer ( @jcase ) และ Sean Beaupre ( @firewaterdevs ): CVE-2016-8462
  • Jon Sawyer ( @jcase ), Sean Beaupre ( @firewaterdevs ) และ Ben Actis ( @Ben_RA ): CVE-2016-8461
  • Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @ nikos233 ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0383
  • Monk Avel: CVE-2017-0396, CVE-2017-0399
  • Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016- 8474
  • Qidan He (何淇丹) ( @flanker_hqd ) จาก KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
  • Roee Hay และ Michael Goberman จาก IBM Security X-Force: CVE-2016-8467
  • Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามของ Trend Micro Mobile: CVE-2016-8466
  • Stephen Morrow: CVE-2017-0389
  • VEO ( @VYSEa ) จาก Mobile Threat Research Team, Trend Micro : CVE-2017-0381
  • Weichao Sun ( @sunblate ) จาก Alibaba Inc. : CVE-2017-0391
  • Wenke Dou , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0402, CVE-2017-0398
  • Wenke Dou , Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0400
  • Wenke Dou , Hongli Han , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0384, CVE-2017-0385
  • Wenke Dou , Yuqi Lu ( @ nikos233 ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0401
  • Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
  • Yong Wang (王勇) ( @ ThomasKing2014 ) และ Jun Cheng จาก Alibaba Inc. : CVE-2017-0404
  • Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
  • Yuan-Tsung Lo , Yanfeng Wang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก C0RE Team : CVE-2016-8430, CVE-2016-8482
  • Yuxiang Li ( @ Xbalien29 ) จาก Tencent Security Platform Department: CVE-2017-0395
  • Zhanpeng Zhao (行之) ( @ 0xr0ot ) จาก Security Research Lab, Cheetah Mobile : CVE-2016-8451

เราขอขอบคุณนักวิจัยต่อไปนี้สำหรับการมีส่วนร่วมในกระดานข่าวนี้:

  • Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang และ Yang Song จาก Alibaba Mobile Security Group
  • Peter Pi ( @heisecode ) จาก Trend Micro
  • Zubin Mithra จาก Google

2017-01-01 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้เราจะให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-01-01 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้องความรุนแรงอุปกรณ์ Google ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้รหัสระยะไกลใน c-ares

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน c-ares สามารถเปิดใช้งานผู้โจมตีโดยใช้คำขอที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้รหัสตามอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-5180 A-32205736 สูง ทั้งหมด 7.0 29 กันยายน 2559

ช่องโหว่การเรียกใช้รหัสระยะไกลใน Framesequence

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence สามารถเปิดใช้งานผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสตามอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดระยะไกลในแอปพลิเคชันที่ใช้ไลบรารี Framesequence

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0382 A-32338390 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน Framework API

การยกระดับช่องโหว่ของสิทธิพิเศษใน Framework APIs อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจได้ภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0383 A-31677614 สูง ทั้งหมด 7.0, 7.1.1 21 ก.ย. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน Audioserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0384 A-32095626 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ต.ค. 2559
CVE-2017-0385 A-32585400 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน libnl

การเพิ่มช่องโหว่ของสิทธิพิเศษในไลบรารี libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0386 A-32255299 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0387 A-32660278 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 พ.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน External Storage Provider

ช่องโหว่ในการเปิดเผยข้อมูลใน External Storage Provider อาจทำให้ผู้ใช้รองในเครื่องอ่านข้อมูลจากการ์ด SD ที่จัดเก็บข้อมูลภายนอกที่ใส่โดยผู้ใช้หลัก ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0388 A-32523490 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การปฏิเสธช่องโหว่ของบริการในเครือข่ายหลัก

ช่องโหว่การปฏิเสธบริการในระบบเครือข่ายหลักอาจทำให้ผู้โจมตีระยะไกลใช้แพ็กเก็ตเครือข่ายที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0389 ก -31850211 [ 2 ] [ 3 ] สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 20 ก.ค. 2559

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีจากระยะไกลสามารถใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0390 A-31647370 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 ก.ย. 2559
CVE-2017-0391 A-32322258 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 20 ต.ค. 2559
CVE-2017-0392 A-32577290 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 ต.ค. 2559
CVE-2017-0393 A-30436808 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การปฏิเสธช่องโหว่ของบริการในระบบโทรศัพท์

ช่องโหว่การปฏิเสธบริการใน Telephony อาจทำให้ผู้โจมตีจากระยะไกลสามารถทำให้อุปกรณ์แฮงค์หรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0394 A-31752213 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 ก.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในรายชื่อติดต่อ

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในรายชื่อติดต่ออาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถสร้างข้อมูลติดต่อโดยไม่โต้ตอบ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบกับผู้ใช้ (การเข้าถึงฟังก์ชันการทำงานที่โดยปกติจะต้องมีการเริ่มต้นของผู้ใช้หรือการอนุญาตของผู้ใช้)

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0395 A-32219099 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 ต.ค. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0381 A-31607432 ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ก.ย. 2559
CVE-2017-0396 A-31781965 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 ก.ย. 2559
CVE-2017-0397 A-32377688 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 ต.ค. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่เข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0398 A-32438594 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0398 A-32635664 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0398 A-32624850 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0399 A-32247948 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ต.ค. 2559
CVE-2017-0400 A-32584034 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0401 A-32448258 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 ต.ค. 2559
CVE-2017-0402 ก -32436341 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559

2017-01-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้เราจะให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-01-05 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้องความรุนแรงอุปกรณ์ Google ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

การเพิ่มช่องโหว่ของสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-3288 A-32460277
เคอร์เนลต้นน้ำ
สำคัญ Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 9 ก.ค. 2558

การเพิ่มช่องโหว่ของสิทธิ์ใน Qualcomm bootloader

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8422 A-31471220
QC-CR # 979426
สำคัญ Nexus 6, Nexus 6P, Pixel, Pixel XL 22 ก.ค. 2559
CVE-2016-8423 A-31399736
QC-CR # 1000546
สำคัญ Nexus 6P, Pixel, Pixel XL 24 ส.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนล

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-5706 A-32289301
เคอร์เนลต้นน้ำ
สำคัญ ไม่มี* 1 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8424 A-31606947 *
N-CVE-2016-8424
สำคัญ Nexus 9 17 ก.ย. 2559
CVE-2016-8425 A-31797770 *
N-CVE-2016-8425
สำคัญ Nexus 9 28 ก.ย. 2559
CVE-2016-8426 A-31799206 *
N-CVE-2016-8426
สำคัญ Nexus 9 28 ก.ย. 2559
CVE-2016-8482 A-31799863 *
N-CVE-2016-8482
สำคัญ Nexus 9 28 ก.ย. 2559
CVE-2016-8427 A-31799885 *
N-CVE-2016-8427
สำคัญ Nexus 9 28 ก.ย. 2559
CVE-2016-8428 A-31993456 *
N-CVE-2016-8428
สำคัญ Nexus 9 6 ต.ค. 2559
CVE-2016-8429 A-32160775 *
N-CVE-2016-8429
สำคัญ Nexus 9 13 ต.ค. 2559
CVE-2016-8430 A-32225180 *
N-CVE-2016-8430
สำคัญ Nexus 9 17 ต.ค. 2559
CVE-2016-8431 A-32402179 *
N-CVE-2016-8431
สำคัญ พิกเซลค 25 ต.ค. 2559
CVE-2016-8432 A-32447738 *
N-CVE-2016-8432
สำคัญ พิกเซลค 26 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ MediaTek

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8433 A-31750190 *
MT-ALPS02974192
สำคัญ ไม่มี** 24 ก.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm GPU

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8434 A-32125137
QC-CR # 1081855
สำคัญ Nexus 5X, Nexus 6, Nexus 6P, Android One 12 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8435 A-32700935 *
N-CVE-2016-8435
สำคัญ พิกเซลค 7 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจมีการบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8436 A-32450261
QC-CR # 1007860
สำคัญ ไม่มี* 13 ต.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ในส่วนประกอบของ Qualcomm

ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมใน Qualcomm AMSS พฤศจิกายน 2015 สิงหาคม 2016 กันยายน 2016 และตุลาคม 2016 แถลงการณ์ด้านความปลอดภัย

CVE อ้างอิง ความรุนแรง * อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8438 A-31624565 ** สำคัญ ไม่มี*** Qualcomm ภายใน
CVE-2016-8442 A-31625910 ** สำคัญ ไม่มี*** Qualcomm ภายใน
CVE-2016-8443 A-32576499 ** สำคัญ ไม่มี*** Qualcomm ภายใน
CVE-2016-8437 A-31623057 ** สูง ไม่มี*** Qualcomm ภายใน
CVE-2016-8439 A-31625204 ** สูง ไม่มี*** Qualcomm ภายใน
CVE-2016-8440 A-31625306 ** สูง ไม่มี*** Qualcomm ภายใน
CVE-2016-8441 A-31625904 ** สูง ไม่มี*** Qualcomm ภายใน
CVE-2016-8398 A-31548486 ** สูง Nexus 5X, Nexus 6, Nexus 6P, Android One Qualcomm ภายใน
CVE-2016-8459 A-32577972 ** สูง ไม่มี*** Qualcomm ภายใน
CVE-2016-5080 A-31115235 ** ปานกลาง Nexus 5X Qualcomm ภายใน

* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้

** แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์ในกล้อง Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในกล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8412 A-31225246
QC-CR # 1071891
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 26 ส.ค. 2559
CVE-2016-8444 A-31243641 *
QC-CR # 1074310
สูง Nexus 5X, Nexus 6, Nexus 6P 26 ส.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในคอมโพเนนต์ MediaTek

การเพิ่มช่องโหว่ของสิทธิพิเศษในคอมโพเนนต์ MediaTek ซึ่งรวมถึงไดรเวอร์ระบายความร้อนและไดรเวอร์วิดีโออาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8445 A-31747590 *
MT-ALPS02968983
สูง ไม่มี** 25 ก.ย. 2559
CVE-2016-8446 A-31747749 *
MT-ALPS02968909
สูง ไม่มี** 25 ก.ย. 2559
CVE-2016-8447 A-31749463 *
MT-ALPS02968886
สูง ไม่มี** 25 ก.ย. 2559
CVE-2016-8448 A-31791148 *
MT-ALPS02982181
สูง ไม่มี** 28 ก.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8415 A-31750554
QC-CR # 1079596
สูง Nexus 5X, Pixel, Pixel XL 26 ก.ย. 2559

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8449 A-31798848 *
N-CVE-2016-8449
สูง Nexus 9 28 ก.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียง Qualcomm

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8450 A-32450563
QC-CR # 880388
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One 13 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ของหน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8451 A-32178033 * สูง ไม่มี** 13 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบย่อยการรักษาความปลอดภัยเคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยการรักษาความปลอดภัยเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7042 A-32178986
เคอร์เนลต้นน้ำ
สูง พิกเซลค 14 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบย่อยประสิทธิภาพของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยประสิทธิภาพของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0403 A-32402548 * สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 25 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนล

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบย่อยเสียงของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0404 A-32510733 * สูง Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL 27 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8452 A-32506396
QC-CR # 1050323
สูง Nexus 5X, Android One, Pixel, Pixel XL 28 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิทยุ Qualcomm

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิทยุ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5345 A-32639452
QC-CR # 1079713
สูง Android One 3 พ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบย่อยการทำโปรไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยการทำโปรไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-9754 A-32659848
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player 4 พ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8453 A-24739315 *
B-RB # 73392
สูง Nexus 6 ภายในของ Google
CVE-2016-8454 A-32174590*
B-RB#107142
High Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 14, 2016
CVE-2016-8455 A-32219121*
B-RB#106311
High Nexus 6P Oct 15, 2016
CVE-2016-8456 A-32219255*
B-RB#105580
High Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 15, 2016
CVE-2016-8457 A-32219453*
B-RB#106116
High Nexus 6, Nexus 6P, Nexus 9, Pixel C Oct 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Synaptics touchscreen driver

An elevation of privilege vulnerability in the Synaptics touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8458 A-31968442* High Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
High Nexus 9 Sep 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in bootloader

An information disclosure vulnerability in the bootloader could enable a local attacker to access data outside of its permission level. This issue is rated as High because it could be used to access sensitive data.

CVE References Severity Updated Google devices Date reported
CVE-2016-8461 A-32369621* High Nexus 9, Pixel, Pixel XL Oct 21, 2016
CVE-2016-8462 A-32510383* High Pixel, Pixel XL Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in Qualcomm FUSE file system

A denial of service vulnerability in the Qualcomm FUSE file system could enable a remote attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8463 A-30786860
QC-CR#586855
High None* Jan 03, 2014

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Denial of service vulnerability in bootloader

A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8467 A-30308784* High Nexus 6, Nexus 6P Jun 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Broadcom Wi-Fi driver

An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References Severity Updated Google devices Date reported
CVE-2016-8464 A-29000183*
B-RB#106314
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player May 26, 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Sep 28, 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Binder

An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References Severity Updated Google devices Date reported
CVE-2016-8468 A-32394425* Moderate Pixel C, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Moderate Nexus 9 Sep 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek driver

An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Moderate None** Sep 15, 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Moderate None** Sep 15, 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Moderate None** Sep 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in STMicroelectronics driver

An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8473 A-31795790* Moderate Nexus 5X, Nexus 6P Sep 28, 2016
CVE-2016-8474 A-31799972* Moderate Nexus 5X, Nexus 6P Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm audio post processor

An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Updated AOSP versions Date reported
CVE-2017-0399 A-32588756 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 18, 2016
CVE-2017-0400 A-32438598 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016
CVE-2017-0401 A-32588016 Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 26, 2016
CVE-2017-0402 A-32588352 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016

Information disclosure vulnerability in HTC input driver

An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8475 A-32591129* Moderate Pixel, Pixel XL Oct 30, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel file system

A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.

CVE References Severity Updated Google devices Date reported
CVE-2014-9420 A-32477499
Upstream kernel
Moderate Pixel C Dec 25, 2014

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
  • Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • January 03, 2017: Bulletin published.
  • January 04, 2017: Bulletin revised to include AOSP links.
  • January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
  • January 12, 2017: Removed duplicate entry for CVE-2016-8467.
  • January 24, 2017: Updated description and severity for CVE-2017-0381.
  • February 2, 2017: Updated CVE-2017-0389 with additional patch link.