Google is committed to advancing racial equity for Black communities. See how.
หน้านี้ได้รับการแปลโดย Cloud Translation API
Switch to English

ประกาศความปลอดภัยของ Android - กุมภาพันธ์ 2017

เผยแพร่เมื่อ 06 กุมภาพันธ์ 2017 | อัปเดตเมื่อ 8 กุมภาพันธ์ 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวเราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) นอกจากนี้อิมเมจเฟิร์มแวร์อุปกรณ์ของ Google ได้เผยแพร่ไปยัง ไซต์ Google Developer ระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 5 กุมภาพันธ์ 2017 ขึ้นไปจะช่วยแก้ปัญหาเหล่านี้ทั้งหมด โปรดดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในแถลงการณ์เมื่อวันที่ 3 มกราคม 2017 หรือก่อนหน้านั้น แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านหลายวิธีเช่นอีเมลการท่องเว็บและ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลดการให้บริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ประกาศ

  • บูเลทีนนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2017-02-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-02-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2017-02-05 : กรอกสตริงระดับแพตช์ความปลอดภัย สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-02-01 และ 2017-02-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวพร้อมด้วยระดับแพตช์ความปลอดภัย 5 กุมภาพันธ์ 2017

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาที่ได้รับจาก แพลตฟอร์มความปลอดภัย Android และการป้องกันบริการเช่น SafetyNet ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการมือถือของ Google และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play ห้ามใช้เครื่องมือรูทอุปกรณ์ใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งเป็นที่รู้จักซึ่งใช้ช่องโหว่ในการเพิ่มสิทธิ์ หากแอปพลิเคชันดังกล่าวได้รับการติดตั้งแล้ว Verify Apps จะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสมแอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งผ่านสื่อไปยังกระบวนการต่างๆเช่น Mediaserver โดยอัตโนมัติ

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

เราขอขอบคุณสิ่งต่อไปนี้สำหรับการมีส่วนร่วมในกระดานข่าวนี้:

  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) และ Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室)

2017-02-01 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-02-01 มีคำอธิบายปัญหาเหตุผลความรุนแรงและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้องความรุนแรงอุปกรณ์ Google ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้รหัสระยะไกลใน Surfaceflinger

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Surfaceflinger อาจทำให้ผู้โจมตีที่ใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Surfaceflinger

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0405 A-31960359 สำคัญ ทั้งหมด 7.0, 7.1.1 4 ต.ค. 2559

ช่องโหว่การเรียกใช้รหัสระยะไกลใน Mediaserver

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver สามารถเปิดใช้งานผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0406 A-32915871 [ 2 ] สำคัญ ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 14 พ.ย. 2559
CVE-2017-0407 A-32873375 สำคัญ ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 12 พ.ย. 2559

ช่องโหว่การเรียกใช้รหัสระยะไกลใน libgdx

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libgdx สามารถเปิดใช้งานผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0408 A-32769670 สูง ทั้งหมด 7.1.1 9 พ.ย. 2559

ช่องโหว่การเรียกใช้รหัสระยะไกลใน libstagefright

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libstagefright อาจทำให้ผู้โจมตีโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้รหัสระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0409 A-31999646 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Java.Net

การยกระดับสิทธิ์ในไลบรารี Java.Net สามารถเปิดใช้งานเนื้อหาเว็บที่เป็นอันตรายเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นโดยไม่ได้รับอนุญาตอย่างชัดเจน ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากเป็นการข้ามข้อกำหนดระยะไกลของการโต้ตอบกับผู้ใช้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-5552 A-31858037 สูง ทั้งหมด 7.0, 7.1.1 30 ก.ย. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน Framework API

การยกระดับช่องโหว่ของสิทธิพิเศษใน Framework APIs อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0410 A-31929765 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 ต.ค. 2559
CVE-2017-0411 A-33042690 [ 2 ] สูง ทั้งหมด 7.0, 7.1.1 21 พ.ย. 2559
CVE-2017-0412 A-33039926 [ 2 ] สูง ทั้งหมด 7.0, 7.1.1 21 พ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0415 A-32706020 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 4 พ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน Audioserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถที่ยกระดับในพื้นที่ซึ่งโดยปกติแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0416 A-32886609 [ 2 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google
CVE-2017-0417 A-32705438 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 พ.ย. 2559
CVE-2017-0418 A-32703959 [ 2 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 พ.ย. 2559
CVE-2017-0419 A-32220769 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 ต.ค. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Mail

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Mail อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่มีสิทธิ์เข้าถึง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0420 A-32615212 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 ก.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่มีสิทธิ์เข้าถึง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0413 A-32161610 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 13 ต.ค. 2559
CVE-2017-0414 A-32807795 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 10 พ.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Framework API

ช่องโหว่ในการเปิดเผยข้อมูลใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่มีสิทธิ์เข้าถึง

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0421 A-32555637 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การปฏิเสธช่องโหว่ของบริการใน Bionic DNS

ช่องโหว่การปฏิเสธบริการใน Bionic DNS อาจทำให้ผู้โจมตีจากระยะไกลสามารถใช้แพ็กเก็ตเครือข่ายที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0422 A-32322088 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 ต.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ในบลูทู ธ

การเพิ่มช่องโหว่ของสิทธิ์ในบลูทู ธ อาจทำให้ผู้โจมตีที่อยู่ใกล้สามารถจัดการการเข้าถึงเอกสารบนอุปกรณ์ได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องอาศัยช่องโหว่แยกต่างหากในบลูทู ธ สแตกก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0423 A-32612586 ปานกลาง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 พ.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging สามารถเปิดใช้งานผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นพิเศษเพื่อเข้าถึงข้อมูลนอกระดับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับผู้ใช้ในเชิงลึกหรือใช้เทคโนโลยีลดการใช้ประโยชน์ในกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0424 A-32322450 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 20 ต.ค. 2559

ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่เข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0425 A-32720785 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 พ.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลในระบบไฟล์

ช่องโหว่ในการเปิดเผยข้อมูลในระบบไฟล์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0426 A-32799236 [ 2 ] ปานกลาง ทั้งหมด 7.0, 7.1.1 ภายในของ Google

2017-02-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้เราจะให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-02-05 มีคำอธิบายของปัญหาเหตุผลความรุนแรงและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้องความรุนแรงอุปกรณ์ Google ที่อัปเดตเวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่ที่รายงาน เมื่อพร้อมใช้งานเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในโปรแกรมควบคุมการเข้ารหัสลับของ Qualcomm

ช่องโหว่ในการเรียกใช้รหัสจากระยะไกลในโปรแกรมควบคุมการเข้ารหัสลับของ Qualcomm อาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นวิกฤตเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดระยะไกลในบริบทของเคอร์เนล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8418 A-32652894
QC-CR # 1077457
สำคัญ ไม่มี* 10 ต.ค. 2559

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนล

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0427 A-31495866 * สำคัญ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 ก.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรภายในเครื่องจะถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0428 A-32401526 *
N-CVE-2017-0428
สำคัญ Nexus 9 25 ต.ค. 2559
CVE-2017-0429 A-32636619 *
N-CVE-2017-0429
สำคัญ Nexus 9 3 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในระบบย่อยเครือข่ายเคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-9914 A-32882659
เคอร์เนลต้นน้ำ
สำคัญ Nexus 6, Nexus Player 9 พ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าเป็นวิกฤตเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจถูกบุกรุกซึ่งอาจต้องมีการรีแฟลชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0430 A-32838767 *
B-RB # 107459
สำคัญ Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่ในส่วนประกอบของ Qualcomm

ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในเอกสารความปลอดภัยของ Qualcomm AMSS กันยายน 2016

CVE อ้างอิง ความรุนแรง * อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0431 A-32573899 ** สำคัญ ไม่มี*** Qualcomm ภายใน

* ระดับความรุนแรงของช่องโหว่เหล่านี้ถูกกำหนดโดยผู้ให้บริการ

** แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ MediaTek

การเพิ่มช่องโหว่ของสิทธิพิเศษในโปรแกรมควบคุม MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0432 A-28332719 *
M-ALPS02708925
สูง ไม่มี** 21 เม.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ของหน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของชิปเซ็ตหน้าจอสัมผัส ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0433 A-31913571 * สูง Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 8 ก.ย. 2559
CVE-2017-0434 A-33001936 * สูง Pixel, Pixel XL 18 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Secure Execution Environment Communicator

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรฟ์ Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8480 A-31804432
QC-CR # 1086186 [ 2 ]
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 ก.ย. 2559

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียง Qualcomm

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8481 A-31906415 *
QC-CR # 1078000
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 ต.ค. 2559
CVE-2017-0435 A-31906657 *
QC-CR # 1078000
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 ต.ค. 2559
CVE-2017-0436 A-32624661 *
QC-CR # 1078000
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0437 A-32402310
QC-CR # 1092497
สูง Nexus 5X, Pixel, Pixel XL 25 ต.ค. 2559
CVE-2017-0438 A-32402604
QC-CR # 1092497
สูง Nexus 5X, Pixel, Pixel XL 25 ต.ค. 2559
CVE-2017-0439 A-32450647
QC-CR # 1092059
สูง Nexus 5X, Pixel, Pixel XL 25 ต.ค. 2559
CVE-2016-8419 A-32454494
QC-CR # 1087209
สูง Nexus 5X, Pixel, Pixel XL 26 ต.ค. 2559
CVE-2016-8420 A-32451171
QC-CR # 1087807
สูง Nexus 5X, Pixel, Pixel XL 26 ต.ค. 2559
CVE-2016-8421 A-32451104
QC-CR # 1087797
สูง Nexus 5X, Pixel, Pixel XL 26 ต.ค. 2559
CVE-2017-0440 A-33252788
QC-CR # 1095770
สูง Nexus 5X, Pixel, Pixel XL 11 พ.ย. 2559
CVE-2017-0441 A-32872662
QC-CR # 1095009
สูง Nexus 5X, Pixel, Pixel XL 11 พ.ย. 2559
CVE-2017-0442 A-32871330
QC-CR # 1092497
สูง Nexus 5X, Pixel, Pixel XL 13 พ.ย. 2559
CVE-2017-0443 A-32877494
QC-CR # 1092497
สูง Nexus 5X, Pixel, Pixel XL 13 พ.ย. 2559
CVE-2016-8476 A-32879283
QC-CR # 1091940
สูง Nexus 5X, Pixel, Pixel XL 14 พ.ย. 2559

การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมเสียง Realtek

การเพิ่มช่องโหว่ของสิทธิพิเศษในโปรแกรมควบคุมเสียง Realtek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0444 A-32705232 * สูง Nexus 9 7 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส HTC

การเพิ่มช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัสของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0445 A-32769717 * สูง Pixel, Pixel XL 9 พ.ย. 2559
CVE-2017-0446 A-32917445 * สูง Pixel, Pixel XL 15 พ.ย. 2559
CVE-2017-0447 A-32919560 * สูง Pixel, Pixel XL 15 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0448 A-32721029 *
N-CVE-2017-0448
สูง Nexus 9 7 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยพลการภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษและได้รับการบรรเทาโดยการกำหนดค่าแพลตฟอร์มปัจจุบัน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0449 A-31707909 *
B-RB # 32094
ปานกลาง Nexus 6, Nexus 6P 23 ก.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ใน Audioserver

การเพิ่มช่องโหว่ของสิทธิพิเศษใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากได้รับการบรรเทาโดยการกำหนดค่าแพลตฟอร์มปัจจุบัน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0450 A-32917432 * ปานกลาง Nexus 9 15 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถข้ามการป้องกันที่ป้องกันไม่ให้เพิ่มสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับผู้ใช้ในเชิงลึกหรือเทคโนโลยีลดการใช้ประโยชน์

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10044 A-31711619 * ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่สามารถใช้ได้แบบสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm Secure Execution Environment Communicator

ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8414 A-31704078
QC-CR # 1076407
ปานกลาง Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 ก.ย. 2559

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์เสียง Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่เข้าถึงข้อมูลนอกระดับการอนุญาตได้ ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องมีการประนีประนอมกระบวนการที่มีสิทธิพิเศษก่อน

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0451 A-31796345
QC-CR # 1073129 [ 2 ]
ปานกลาง Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 27 ก.ย. 2559

คำถามและคำตอบทั่วไป

ส่วนนี้ตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดอ่านคำแนะนำเกี่ยวกับ กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์ความปลอดภัย 2017-02-01 หรือใหม่กว่าแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-02-01
  • ระดับแพตช์ความปลอดภัย 2017-02-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-02-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. เหตุใดแถลงการณ์นี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ส่วนย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 1 กุมภาพันธ์ 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นตลอดจนการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 5 กุมภาพันธ์ 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่กำลังแก้ไขอยู่ในการอัปเดตเดียว

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google ใดบ้างที่ได้รับผลกระทบจากแต่ละปัญหา

In the 2017-02-01 and 2017-02-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • February 06, 2017: Bulletin published.
  • February 08, 2017: Bulletin revised to include AOSP links.