กระดานข่าวความปลอดภัยของ Android—มกราคม 2017

เผยแพร่เมื่อ 3 มกราคม 2017 | อัปเดตเมื่อวันที่ 2 กุมภาพันธ์ 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยให้กับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยในวันที่ 5 มกราคม 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 5 ธันวาคม 2016 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาปัญหาบริการ Android และ Google สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-01-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2017-01-05 : ทำสตริงระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-01-01 และ 2017-01-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เดียวพร้อมระดับแพตช์ความปลอดภัยในวันที่ 5 มกราคม 2017

สรุปช่องโหว่ด้านความปลอดภัย

ตารางด้านล่างประกอบด้วยรายการช่องโหว่ด้านความปลอดภัย รหัสช่องโหว่และความเสี่ยงทั่วไป (CVE) ความรุนแรงที่ประเมิน และอุปกรณ์ Google จะได้รับผลกระทบหรือไม่ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

การบรรเทาปัญหาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบที่ได้รับจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพวกเขาพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการเพิ่มระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

  • อเล็กซานดรู บลานดา: CVE-2017-0390
  • Daniel Micay จาก Copperhead Security: CVE-2017-0397
  • Daxing Guo ( @freener0 ) จาก Xuanwu Lab, Tencent: CVE-2017-0386
  • เดอร์เร็ก ( @derrekr6 ): CVE-2017-0392
  • Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
  • donfos (Aravind Machiry) จากทีม Shellphish Grill, UC Santa Barbara: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
  • เอน เฮ ( @heeeeen4x ) แห่ง MS509Team : CVE-2017-0394
  • Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
  • ทีมงาน Google WebM: CVE-2017-0393
  • Guang Gong (龚广) ( @oldfresher ) ของทีม Alpha, Qihoo 360 Technology Co. Ltd. : CVE-2017-0387
  • Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016 -8465
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-8475
  • Jon Sawyer ( @jcase ) และ Sean Beaupre ( @firewaterdevs ): CVE-2016-8462
  • Jon Sawyer ( @jcase ), Sean Beaupre ( @firewaterdevs ) และ Ben Actis ( @Ben_RA ): CVE-2016-8461
  • Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0383
  • พระ Avel: CVE-2017-0396, CVE-2017-0399
  • Peter Pi ( @heisecode ) จาก Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016- 8474
  • Qidan He (何淇丹) ( @flanker_hqd ) แห่ง KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
  • Roee Hay และ Michael Goberman จาก IBM Security X-Force: CVE-2016-8467
  • Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามบนมือถือของ Trend Micro: CVE-2016-8466
  • สตีเฟน มอร์โรว์: CVE-2017-0389
  • VEO ( @VYSEa ) จากทีมวิจัยภัยคุกคามบนมือถือ, Trend Micro : CVE-2017-0381
  • Weichao Sun ( @sunblate ) แห่ง Alibaba Inc.: CVE-2017-0391
  • Wenke Dou , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0402, CVE-2017-0398
  • Wenke Dou , Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0400
  • Wenke Dou , Hongli Han , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0384, CVE-2017-0385
  • Wenke Dou , Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0401
  • Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
  • Yong Wang (王勇) ( @ThomasKing2014 ) และ Jun Cheng แห่ง Alibaba Inc.: CVE-2017-0404
  • Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
  • Yuan-Tsung Lo , Yanfeng Wang , Chiachih Wu ( @chiachih_wu ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-8430, CVE-2016-8482
  • Yuxiang Li ( @ Xbalien29 ) จากแผนกแพลตฟอร์มความปลอดภัย Tencent: CVE-2017-0395
  • Zhanpeng Zhao (行之) ( @0xr0ot ) จาก Security Research Lab, Cheetah Mobile : CVE-2016-8451

เราขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วมในกระดานข่าวนี้:

  • Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang และ Yang Song จาก Alibaba Mobile Security Group
  • Peter Pi ( @heisecode ) จาก Trend Micro
  • ซูบิน มิทรา จาก Google

ระดับแพตช์ความปลอดภัย 01-01-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-01-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน c-ares

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน c-ares อาจทำให้ผู้โจมตีใช้คำขอที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-5180 A-32205736 สูง ทั้งหมด 7.0 29 กันยายน 2016

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Framesequence

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารี Framesequence

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0382 A-32338390 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ใน Framework API

การยกระดับช่องโหว่ของสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0383 A-31677614 สูง ทั้งหมด 7.0, 7.1.1 21 กันยายน 2016

การยกระดับช่องโหว่ของสิทธิพิเศษใน Audioserver

การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0384 A-32095626 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ต.ค. 2559
CVE-2017-0385 A-32585400 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน libnl

การยกระดับช่องโหว่ของสิทธิพิเศษในไลบรารี libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0386 A-32255299 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน Mediaserver

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0387 A-32660278 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 พฤศจิกายน 2559

ช่องโหว่การเปิดเผยข้อมูลในผู้ให้บริการจัดเก็บข้อมูลภายนอก

ช่องโหว่ในการเปิดเผยข้อมูลในผู้ให้บริการจัดเก็บข้อมูลภายนอกอาจทำให้ผู้ใช้รองในเครื่องสามารถอ่านข้อมูลจากการ์ด SD ที่จัดเก็บข้อมูลภายนอกที่ผู้ใช้หลักใส่เข้าไปได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0388 A-32523490 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การปฏิเสธช่องโหว่ของบริการในเครือข่ายหลัก

การปฏิเสธช่องโหว่ของบริการในเครือข่ายหลักอาจทำให้ผู้โจมตีระยะไกลสามารถใช้แพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 20 ก.ค. 2559

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ในบริการใน Mediaserver อาจทำให้ผู้โจมตีจากระยะไกลสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0390 A-31647370 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 กันยายน 2559
CVE-2017-0391 A-32322258 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 20 ต.ค. 2559
CVE-2017-0392 A-32577290 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 ต.ค. 2559
CVE-2017-0393 A-30436808 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การปฏิเสธช่องโหว่การบริการในระบบโทรศัพท์

การปฏิเสธช่องโหว่การบริการใน Telephony อาจทำให้ผู้โจมตีจากระยะไกลสามารถทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0394 A-31752213 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 กันยายน 2016

การยกระดับช่องโหว่ของสิทธิพิเศษในรายชื่อติดต่อ

การยกระดับช่องโหว่ของสิทธิ์การใช้งานในรายชื่อติดต่ออาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถสร้างข้อมูลรายชื่อติดต่อแบบเงียบๆ ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง (การเข้าถึงฟังก์ชันการทำงานที่ปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0395 A-32219099 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0381 A-31607432 ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 กันยายน 2559
CVE-2017-0396 A-31781965 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 กันยายน 2016
CVE-2017-0397 A-32377688 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลใน Audioserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0398 A-32438594 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0398 A-32635664 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0398 A-32624850 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0399 A-32247948 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ต.ค. 2559
CVE-2017-0400 A-32584034 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0401 A-32448258 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 ต.ค. 2559
CVE-2017-0402 A-32436341 [ 2 ] ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559

ระดับแพตช์ความปลอดภัย 01-01-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่เกี่ยวข้องกับระดับแพตช์ 2017-01-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยหน่วยความจำเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-3288 A-32460277
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 9 ก.ค. 2558

การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader

การยกระดับช่องโหว่ของสิทธิพิเศษใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8422 A-31471220
QC-CR#979426
วิกฤต Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL 22 ก.ค. 2559
CVE-2016-8423 A-31399736
QC-CR#1000546
วิกฤต Nexus 6P, พิกเซล, พิกเซล XL 24 ส.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2015-5706 A-32289301
เคอร์เนลต้นน้ำ
วิกฤต ไม่มี* 1 ส.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
วิกฤต เน็กซัส 9 17 กันยายน 2559
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
วิกฤต เน็กซัส 9 28 กันยายน 2016
CVE-2016-8426 A-31799206*
N-CVE-2016-8426
วิกฤต เน็กซัส 9 28 กันยายน 2016
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
วิกฤต เน็กซัส 9 28 กันยายน 2016
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
วิกฤต เน็กซัส 9 28 กันยายน 2016
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
วิกฤต เน็กซัส 9 6 ต.ค. 2559
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
วิกฤต เน็กซัส 9 13 ต.ค. 2559
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
วิกฤต เน็กซัส 9 17 ต.ค. 2559
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
วิกฤต พิกเซล ซี 25 ต.ค. 2559
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
วิกฤต พิกเซล ซี 26 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ MediaTek

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8433 A-31750190*
MT-ALPS02974192
วิกฤต ไม่มี** 24 กันยายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm GPU

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ GPU ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8434 A-32125137
QC-CR#1081855
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, แอนดรอยด์วัน 12 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
วิกฤต พิกเซล ซี 7 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8436 A-32450261
QC-CR#1007860
วิกฤต ไม่มี* 13 ต.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ในส่วนประกอบของ Qualcomm

ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS เดือนพฤศจิกายน 2558 สิงหาคม 2559 กันยายน 2559 และเดือนตุลาคม 2559

ซีวีอี อ้างอิง ความรุนแรง* อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8438 A-31624565** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8442 A-31625910** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8443 A-32576499** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8437 A-31623057** สูง ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8439 A-31625204** สูง ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8440 A-31625306** สูง ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8441 A-31625904** สูง ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8398 A-31548486** สูง Nexus 5X, Nexus 6, Nexus 6P, แอนดรอยด์วัน วอลคอมม์ภายใน
CVE-2016-8459 A-32577972** สูง ไม่มี*** วอลคอมม์ภายใน
CVE-2016-5080 A-31115235** ปานกลาง เน็กซัส 5X วอลคอมม์ภายใน

* ระดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้จำหน่าย

** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในกล้อง Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในกล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8412 A-31225246
QC-CR#1071891
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 26 ส.ค. 2559
CVE-2016-8444 A-31243641*
QC-CR#1074310
สูง เน็กซัส 5X, เน็กซัส 6, เน็กซัส 6P 26 ส.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ MediaTek

การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ MediaTek รวมถึงไดรเวอร์ระบายความร้อนและไดรเวอร์วิดีโอ อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8445 A-31747590*
MT-ALPS02968983
สูง ไม่มี** 25 กันยายน 2559
CVE-2016-8446 A-31747749*
MT-ALPS02968909
สูง ไม่มี** 25 กันยายน 2559
CVE-2016-8447 A-31749463*
MT-ALPS02968886
สูง ไม่มี** 25 กันยายน 2559
CVE-2016-8448 A-31791148*
MT-ALPS02982181
สูง ไม่มี** 28 กันยายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8415 A-31750554
QC-CR#1079596
สูง Nexus 5X, พิกเซล, พิกเซล XL 26 กันยายน 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
สูง เน็กซัส 9 28 กันยายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8450 A-32450563
QC-CR#880388
สูง Nexus 5X, Nexus 6, Nexus 6P, แอนดรอยด์วัน 13 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8451 A-32178033* สูง ไม่มี** 13 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยการรักษาความปลอดภัยของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการรักษาความปลอดภัยของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-7042 A-32178986
เคอร์เนลต้นน้ำ
สูง พิกเซล ซี 14 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยประสิทธิภาพของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยประสิทธิภาพเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0403 A-32402548* สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 25 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเสียงเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0404 A-32510733* สูง Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, พิกเซล, พิกเซล XL 27 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8452 A-32506396
QC-CR#1050323
สูง Nexus 5X, Android One, พิกเซล, พิกเซล XL 28 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิทยุของ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิทยุ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5345 A-32639452
QC-CR#1079713
สูง แอนดรอยด์วัน 3 พฤศจิกายน 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยการทำโปรไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการทำโปรไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-9754 A-32659848
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player 4 พฤศจิกายน 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8453 A-24739315*
B-RB#73392
สูง เน็กซัส 6 ภายในของ Google
CVE-2016-8454 A-32174590*
B-RB#107142
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 14 ต.ค. 2559
CVE-2016-8455 A-32219121*
B-RB#106311
สูง เน็กซัส 6พี 15 ต.ค. 2559
CVE-2016-8456 A-32219255*
B-RB#105580
สูง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 15 ต.ค. 2559
CVE-2016-8457 A-32219453*
B-RB#106116
สูง Nexus 6, Nexus 6P, Nexus 9, พิกเซล C 15 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8458 A-31968442* สูง Nexus 5X, Nexus 6P, Nexus 9, Android One, พิกเซล, พิกเซล XL ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
สูง เน็กซัส 9 21 กันยายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลใน Bootloader

ช่องโหว่ในการเปิดเผยข้อมูลใน Bootloader อาจทำให้ผู้โจมตีในพื้นที่สามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8461 A-32369621* สูง Nexus 9, พิกเซล, พิกเซล XL 21 ต.ค. 2559
CVE-2016-8462 A-32510383* สูง พิกเซล, พิกเซล XL 27 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การปฏิเสธช่องโหว่การบริการในระบบไฟล์ Qualcomm FUSE

การปฏิเสธช่องโหว่ในการให้บริการในระบบไฟล์ Qualcomm FUSE อาจทำให้ผู้โจมตีระยะไกลสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8463 A-30786860
QC-CR#586855
สูง ไม่มี* 03 มกราคม 2014

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การปฏิเสธช่องโหว่การบริการใน bootloader

การปฏิเสธช่องโหว่ในบริการในบูตโหลดเดอร์อาจทำให้ผู้โจมตีทำให้เกิดการปฏิเสธบริการในพื้นที่อย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการอย่างถาวรในท้องถิ่น

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8467 A-30308784* สูง เน็กซัส 6, เน็กซัส 6พี 29 มิถุนายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8464 A-29000183*
B-RB#106314
ปานกลาง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 26 พฤษภาคม 2559
CVE-2016-8466 A-31822524*
B-RB#105268
ปานกลาง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 28 กันยายน 2016
CVE-2016-8465 A-32474971*
B-RB#106053
ปานกลาง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 27 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษใน Binder

การยกระดับช่องโหว่ของสิทธิ์ใน Binder อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8468 A-32394425* ปานกลาง พิกเซล C, พิกเซล, พิกเซล XL ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง NVIDIA

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้องอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
ปานกลาง เน็กซัส 9 7 กันยายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8470 A-31528889*
MT-ALPS02961395
ปานกลาง ไม่มี** 15 กันยายน 2559
CVE-2016-8471 A-31528890*
MT-ALPS02961380
ปานกลาง ไม่มี** 15 กันยายน 2559
CVE-2016-8472 A-31531758*
MT-ALPS02961384
ปานกลาง ไม่มี** 15 กันยายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ STMicroelectronics

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุม STMicroelectronics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8473 A-31795790* ปานกลาง เน็กซัส 5X, เน็กซัส 6P 28 กันยายน 2016
CVE-2016-8474 A-31799972* ปานกลาง เน็กซัส 5X, เน็กซัส 6P 28 กันยายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่ในการเปิดเผยข้อมูลในตัวประมวลผลเสียงของ Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในตัวประมวลผลเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0399 A-32588756 [ 2 ] ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ต.ค. 2559
CVE-2017-0400 A-32438598 [ 2 ] ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559
CVE-2017-0401 A-32588016 ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 ต.ค. 2559
CVE-2017-0402 A-32588352 [ 2 ] ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์อินพุตของ HTC

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์อินพุตของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8475 A-32591129* ปานกลาง พิกเซล, พิกเซล XL 30 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การปฏิเสธช่องโหว่การบริการในระบบไฟล์เคอร์เนล

การปฏิเสธช่องโหว่ของบริการในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการปฏิเสธบริการชั่วคราวที่จำเป็นต้องรีเซ็ตเป็นค่าจากโรงงานเพื่อแก้ไข

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-9420 A-32477499
เคอร์เนลต้นน้ำ
ปานกลาง พิกเซล ซี 25 ธันวาคม 2014

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์รักษาความปลอดภัยของ 2017-01-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 01-01-2017
  • ระดับแพตช์รักษาความปลอดภัยของ 2017-01-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 01-01-2017 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยในวันที่ 1 มกราคม 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 มกราคม 2017 หรือใหม่กว่า จะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google เครื่องใดที่ได้รับผลกระทบจากแต่ละปัญหา

ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยประจำ ปี 2017-01-01 และ 05-01-05 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดต ซึ่งครอบคลุมอุปกรณ์ Google ที่ได้รับผลกระทบต่างๆ ที่อัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือก 2-3 รายการ:

  • อุปกรณ์ Google ทั้งหมด : หากปัญหาเกิดขึ้นกับอุปกรณ์ทั้งหมดและอุปกรณ์ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" สรุป อุปกรณ์ที่รองรับ ต่อไปนี้: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
  • อุปกรณ์ Google บางรุ่น : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงรายการในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
  • ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android เวอร์ชันล่าสุดที่มีอยู่ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต

4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าแมปดังต่อไปนี้:

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
บี- หมายเลขอ้างอิงของ Broadcom

การแก้ไข

  • 3 มกราคม 2017: เผยแพร่กระดานข่าว
  • 4 มกราคม 2017: กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP
  • 5 มกราคม 2017: ชี้แจงหมายเลขเวอร์ชัน AOSP จาก 7.1 เป็น 7.1.1
  • 12 มกราคม 2017: ลบรายการที่ซ้ำกันสำหรับ CVE-2016-8467
  • 24 มกราคม 2017: อัปเดตคำอธิบายและความรุนแรงสำหรับ CVE-2017-0381
  • 2 กุมภาพันธ์ 2017: อัปเดต CVE-2017-0389 พร้อมลิงก์แพตช์เพิ่มเติม