發表於 2017 年 3 月 6 日 |更新於 2017 年 3 月 7 日
Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。除了該公告之外,我們還透過無線 (OTA) 更新發布了 Google 裝置的安全更新。 Google 裝置韌體映像也已發佈到Google Developer 網站。 2017 年 3 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。請參閱Pixel 和 Nexus 更新時間表,以了解如何檢查裝置的安全修補程式等級。
合作夥伴已於 2017 年 2 月 6 日或更早收到公告中所述的問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。
其中最嚴重的是一個嚴重的安全漏洞,在處理媒體文件時,該漏洞可能會透過電子郵件、網頁瀏覽和彩信等多種方法在受影響的裝置上遠端執行程式碼。嚴重性評估基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而被停用或成功繞過。
我們尚未收到有關客戶主動利用或濫用這些新報告問題的報告。有關Android 安全平台保護和服務保護(例如SafetyNet)的詳細信息,請參閱Android 和 Google 服務緩解措施部分,這些保護可提高 Android 平台的安全性。
我們鼓勵所有客戶接受對其設備的這些更新。
公告
- 此公告有兩個安全性修補程式等級字串,可讓 Android 合作夥伴靈活地更快地修復所有 Android 裝置上相似的漏洞子集。有關更多信息,請參閱常見問題和解答:
- 2017-03-01 :部分安全補丁等級字串。此安全性修補程式等級字串表示與 2017-03-01(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
- 2017-03-05 :完整的安全補丁等級字串。此安全性修補程式等級字串表示與 2017-03-01 和 2017-03-05(以及所有先前的安全性修補程式等級字串)相關的所有問題均已解決。
- 受支援的 Google 裝置將收到安全修補程式等級為 2017 年 3 月 5 日的單一 OTA 更新。
Android 和 Google 服務緩解措施
這是Android 安全平台和服務保護(例如 SafetyNet)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。
- 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
- Android 安全團隊透過Verify Apps 和SafetyNet積極監控濫用行為,旨在警告用戶潛在有害的應用程式。驗證應用程式在具有Google 行動服務的裝置上預設為啟用,對於從 Google Play 外部安裝應用程式的使用者尤其重要。 Google Play 中禁止裝置 Root 工具,但驗證應用程式會在使用者嘗試安裝偵測到的 Root 應用程式時向使用者發出警告,無論該應用程式來自何處。此外,驗證應用程式會嘗試識別並阻止安裝利用權限提升漏洞的已知惡意應用程式。如果已經安裝了此類應用程序,請驗證應用程式將通知用戶並嘗試刪除檢測到的應用程式。
- 在適當的情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體傳遞到 Mediaserver 等進程。
致謝
我們要感謝這些研究人員的貢獻:
- Google Dynamic Tools 團隊的 Alexander Potapenko:CVE-2017-0537
- 阿里巴巴行動安全事業部的 Baozeng Ding、Chengming Yang、Peng Xiao 和 Yang Song:CVE-2017-0506
- 阿里巴巴行動安全事業部的 Baozeng Ding、Ning You、Chengming Yang、Peng Xiao 和 Yang Song:CVE-2017-0463
- Android 安全部門的 Billy Lau:CVE-2017-0335、CVE-2017-0336、CVE-2017-0338、CVE-2017-0460
- derrek ( @derrekr6 ):CVE-2016-8413、CVE-2016-8477、CVE-2017-0531
- derrek ( @derrekr6 ) 和Scott Bauer ( @ScottyBauer1 ):CVE-2017-0521
- KeenLab ( @keen_lab ) 的 Di Shen ( @returnsme ),騰訊:CVE-2017-0334、CVE-2017-0456、CVE-2017-0457、CVE-2017-0525
- MS509Team的 En He ( @heeeeen4x ) 和 Bo Liu:CVE-2017-0490
- Gengjia Chen ( @hengjia4574 ) 和奇虎 360 科技有限公司 IceSword Lab 的pjf :CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0501、CVE-2017-0502、CVE-2017-05031 2017-0524、CVE-2017-0529、CVE-2017-0536
- 奇虎360科技有限公司Alpha團隊的Hao Chen與Guangong:CVE-2017-0453、CVE-2017-0461、CVE-2017-0464
- 索尼行動通訊公司的 Hiroki Yamamoto 和 Fang Chen:CVE-2017-0481
- IBM Security X-Force 研究人員 Sagi Kedmi 和 Roee Hay:CVE-2017-0510
- 奇虎 360 天眼實驗室的戴建軍 ( @Jioun_dai ):CVE-2017-0478
- 奇虎 360 IceSword Lab 的 Jiaqiang Zhu ( @jianqiangzhao ) 和pjf :CVE-2016-8416、CVE-2016-8478、CVE-2017-0458、CVE-2017-0459、CVE-2017-0458、CVE-2017-0459、CVE-20191C 、CVE-2017-0533、CVE-2017-0534
- C0RE 團隊的Lubo 張、 Tong Lin 、 Yuan-Tsung Lo和 Xuxian Jiang:CVE-2016-8479
- Google 的 Makoto Onuki:CVE-2017-0491
- C0RE 團隊的 Mingjian Zhou ( @Mingjian_Zhou )、 Hanxiang Wen和 Xuxian Jiang:CVE-2017-0479、CVE-2017-0480
- 內森·克蘭德爾 ( @natecray ):CVE-2017-0535
- Tesla Motors 產品安全團隊的 Nathan Crandall ( @natecray ):CVE-2017-0306
- 百度 X-Lab (百度安全實驗室) 的 Pengfei Ding (丁鵬飛)、Chenfu Bao (包沉浮)、Lenx Wei (韋韜):CVE-2016-8417
- 騰訊 KeenLab 的 Qidan He (何淇丹) ( @flanker_hqd ):CVE-2017-0337、CVE-2017-0476
- 奇虎 360 的 Qing Zhang 和新加坡理工學院 (SIT) 的廣東 Bai:CVE-2017-0496
- 螞蟻金服巴斯光年安全實驗室的 Quhe 和 wanchouchou:CVE-2017-0522
- DarkMatter 中的安全通訊撒哈拉:CVE-2017-0528
- 加州大學聖塔芭芭拉分校 Shellphish Grill 團隊的 salls ( @chris_salls ):CVE-2017-0505
- 鮑爾( @ScottyBauer1 ):CVE-2017-0504、CVE-2017-0516
- Sean Beaupre (beaups):CVE-2017-0455
- 趨勢科技的沉七 ( @lingtongshen ):CVE-2017-0452
- 富士通的 Shinichi Matsumoto:CVE-2017-0498
- ByteRev的Stéphane Marques :CVE-2017-0489
- Google 的 Svetoslav Ganov:CVE-2017-0492
- C0RE 團隊的Tong Lin 、 Yuan-Tsung Lo和 Xuxian Jiang:CVE-2017-0333
- 趨勢科技行動威脅反應團隊的 VEO ( @VYSEa ):CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471 -2017-0472、CVE-2017-0473、CVE-2017-0482、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0486、CVE-2017-0487、CVE-2017-0486、CVE-2017-0487、CVE-1 -0495
- 螞蟻金服巴斯光年安全實驗室的 Wish Wu (吳濰浠此彼) ( @wish_wu ):CVE-2017-0477
- 奇虎 360 科技有限公司 Vulpecker 團隊的 Yu Pan:CVE-2017-0517、CVE-2017-0532
- C0RE 團隊的Yuan-Tsung Lo和 Xuxian Jiang:CVE-2017-0526、CVE-2017-0527
- C0RE 團隊的 Yuqi Lu ( @nikos233 )、 Wenke Dou 、 Da Cheng Shao 、Mingjian Zhou ( @Mingjian_Zhou ) 和 Xuxian Jiang:CVE-2017-0483
- 奇虎 360 科技有限公司成都安全反應中心的 Zino Han ( weibo.com/ele7enxxh ):CVE-2017-0475、CVE-2017-0497
2017-03-01 安全修補程式等級—漏洞詳情
在下面的部分中,我們提供了適用於 2017-03-01 修補程式等級的每個安全漏洞的詳細資訊。其中包含問題的描述、嚴重性原理以及包含 CVE、相關參考文獻、嚴重性、更新的 Google 設備、更新的 AOSP 版本(如果適用)和報告日期的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
OpenSSL 和 BoringSSL 中的遠端程式碼執行漏洞
OpenSSL 和 BoringSSL 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在檔案和資料處理過程中導致記憶體損壞。由於可能在特權進程的上下文中執行遠端程式碼,因此該問題被評為「嚴重」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | 批判的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 8 月 5 日 |
Mediaserver 中的遠端程式碼執行漏洞
Mediaserver 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在媒體檔案和資料處理期間導致記憶體損壞。由於可能在 Mediaserver 進程的上下文中執行遠端程式碼,因此該問題被評為「嚴重」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [ 2 ] | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
| CVE-2017-0467 | A-33250932 [ 2 ] | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 30 日 |
| CVE-2017-0468 | A-33351708 [ 2 ] | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 5 日 |
| CVE-2017-0469 | A-33450635 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 8 日 |
| CVE-2017-0470 | A-33818500 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
| CVE-2017-0471 | A-33816782 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
| CVE-2017-0472 | A-33862021 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 23 日 |
| CVE-2017-0473 | A-33982658 | 批判的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 30 日 |
| CVE-2017-0474 | A-32589224 | 批判的 | 全部 | 7.0、7.1.1 | 谷歌內部 |
恢復驗證程序中的提權漏洞
復原驗證程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | 批判的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 2 日 |
AOSP 訊息傳遞中的遠端程式碼執行漏洞
AOSP 訊息傳遞中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在媒體檔案和資料處理過程中導致記憶體損壞。由於可能在非特權進程的上下文中執行遠端程式碼,因此該問題被評為「高」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
libgdx 中的遠端程式碼執行漏洞
libgdx 中的遠端執行程式碼漏洞可能使攻擊者能夠使用特製檔案在非特權程序的上下文中執行任意程式碼。由於使用此庫的應用程式中可能存在遠端程式碼執行,因此該問題被評為“高”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | 高的 | 全部 | 7.1.1 | 2016 年 12 月 14 日 |
Framesequence 庫中的遠端程式碼執行漏洞
Framesequence 庫中的遠端程式碼執行漏洞可能使攻擊者能夠使用特製檔案在非特權程序的上下文中執行任意程式碼。由於使用 Framesequence 庫的應用程式中可能存在遠端程式碼執行,因此該問題被評為「高」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | 高的 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 16 日 |
NFC 的提權漏洞
NFC 中的特權提升漏洞可能使鄰近攻擊者能夠在特權程序的上下文中執行任意程式碼。此問題被評為“高”,因為它可用於獲取對提升功能的本地訪問權限,而第三方應用程式通常無法存取這些功能。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 6 日 |
Audioserver 中的提權漏洞
Audioserver 中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。此問題被評為“高”,因為它可用於獲取對提升功能的本地訪問權限,而第三方應用程式通常無法存取這些功能。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [ 2 ] | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
| CVE-2017-0480 | A-32705429 [ 2 ] | 高的 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
Mediaserver 中的拒絕服務漏洞
Mediaserver 中的拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。由於有遠端拒絕服務的可能性,此問題的嚴重性被評為「高」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 22 日 |
| CVE-2017-0483 | A-33137046 [ 2 ] | 高的 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 24 日 |
| CVE-2017-0484 | A-33298089 [ 2 ] | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 1 日 |
| CVE-2017-0485 | A-33387820 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
| CVE-2017-0486 | A-33621215 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 14 日 |
| CVE-2017-0487 | A-33751193 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 19 日 |
| CVE-2017-0488 | A-34097213 | 高的 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 谷歌內部 |
位置管理器中的提權漏洞
位置管理器中的提權漏洞可讓本機惡意應用程式繞過作業系統對位置資料的保護。此問題被評為“中等”,因為它可用於產生不準確的數據。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | 緩和 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 20 日 |
Wi-Fi 的提權漏洞
Wi-Fi 中的提權漏洞可能使本機惡意應用程式能夠刪除使用者資料。此問題被評為“中等”,因為它是通常需要用戶啟動或用戶許可的用戶互動要求的本地繞過。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [ 2 ] [ 3 ] | 緩和 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
套件管理器中的提權漏洞
程式包管理器中的提權漏洞可能使本機惡意應用程式能夠阻止使用者卸載應用程式或刪除應用程式的權限。此問題被評為“中等”,因為它是用戶互動要求的本地繞過。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | 緩和 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 谷歌內部 |
系統 UI 中的提權漏洞
系統 UI 中的提權漏洞可能使本機惡意應用程式能夠建立覆蓋整個螢幕的 UI 覆蓋層。此問題被評為“中等”,因為它是通常需要用戶啟動或用戶許可的用戶互動要求的本地繞過。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | 緩和 | 全部 | 7.1.1 | 谷歌內部 |
AOSP 訊息傳遞中的資訊外洩漏洞
AOSP 訊息傳遞中的資訊外洩漏洞可能使遠端攻擊者能夠使用特製文件存取其權限等級以外的資料。此問題被評為“中等”,因為它可用於在未經許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | 緩和 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 9 日 |
Mediaserver資訊外洩漏洞
Mediaserver 中資訊外洩的漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它可用於在未經許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | 緩和 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 11 日 |
安裝精靈中的拒絕服務漏洞
安裝精靈中的拒絕服務漏洞可能允許本機惡意應用程式暫時阻止對受影響裝置的存取。此問題被評為“中”,因為可能需要恢復出廠設定才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | 緩和 | 沒有任何** | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 9 月 14 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的適用於 Google 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
Mediaserver 中的拒絕服務漏洞
Mediaserver 中的拒絕服務漏洞可能使攻擊者能夠使用特製檔案導致裝置掛起或重新啟動。此問題被評為“中等”,因為它需要不常見的設備配置。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | 緩和 | 全部 | 7.0、7.1.1 | 2016 年 12 月 2 日 |
安裝精靈中的拒絕服務漏洞
安裝精靈中的拒絕服務漏洞可能允許本地攻擊者在恢復原廠設定後要求 Google 帳戶登入。此問題被評為“中”,因為可能需要恢復出廠設定才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [ 2 ] | 緩和 | 全部 | 5.1.1、6.0、6.0.1、7.0、7.1.1 | 谷歌內部 |
Audioserver 中的拒絕服務漏洞
Audioserver 中的拒絕服務漏洞可能使本機惡意應用程式能夠導致裝置掛起或重新啟動。由於可能會暫時拒絕服務,因此該問題被評為“低”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 更新了 AOSP 版本 | 報告日期 |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | 低的 | 全部 | 5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 11 日 |
2017-03-05 安全修補程式等級—漏洞詳情
在下面的部分中,我們提供了適用於 2017-03-05 修補程式等級的每個安全漏洞的詳細資訊。其中包含問題的描述、嚴重性原理以及包含 CVE、相關參考文獻、嚴重性、更新的 Google 設備、更新的 AOSP 版本(如果適用)和報告日期的表格。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。
MediaTek 組件中的提權漏洞
MediaTek 元件(包括 M4U 驅動程式、聲音驅動程式、觸控螢幕驅動程式、GPU 驅動程式和命令佇列驅動程式)中的提權漏洞可能可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 | 批判的 | 沒有任何** | 2016 年 4 月 27 日 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 | 批判的 | 沒有任何** | 2016 年 4 月 27 日 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 | 批判的 | 沒有任何** | 2016 年 4 月 27 日 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 | 批判的 | 沒有任何** | 2016 年 4 月 28 日 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 | 批判的 | 沒有任何** | 2016 年 7 月 9 日 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 | 批判的 | 沒有任何** | 2016 年 9 月 28 日 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 | 批判的 | 沒有任何** | 2016 年 10 月 18 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
NVIDIA GPU 驅動程式中的提權漏洞
NVIDIA GPU 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 | 批判的 | 像素C | 2016 年 10 月 6 日 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 | 批判的 | 像素C | 2016 年 11 月 21 日 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 | 批判的 | 像素C | 2016 年 12 月 25 日 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 | 批判的 | Nexus 9 | 2017 年 1 月 6 日 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 | 批判的 | 像素C | 谷歌內部 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
核心 ION 子系統中的提權漏洞
核心 ION 子系統中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | 批判的 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus 播放器、Pixel C、Pixel、Pixel XL | 2016 年 10 月 6 日 |
| CVE-2017-0508 | A-33940449* | 批判的 | 像素C | 2016 年 12 月 28 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Broadcom Wi-Fi 驅動程式中的提權漏洞
Broadcom Wi-Fi 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 | 批判的 | 沒有任何** | 2016 年 10 月 12 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
內核 FIQ 偵錯器中的提權漏洞
核心 FIQ 偵錯器中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | 批判的 | Nexus 9 | 2016 年 10 月 25 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Qualcomm GPU 驅動程式中的提權漏洞
Qualcomm GPU 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 | 批判的 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 29 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
內核網路子系統中的提權漏洞
核心網路子系統中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 上游內核 | 批判的 | 像素 C、像素、像素 XL | 2016 年 12 月 4 日 |
| CVE-2016-10200 | A-33753815 上游內核 | 批判的 | Nexus 5X、Nexus 6P、像素、像素 XL | 2016 年 12 月 19 日 |
高通組件中的漏洞
以下漏洞影響 Qualcomm 組件,並在 Qualcomm AMSS 2016 年 9 月安全公告中進行了更詳細的描述。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2016-8485 | A-28823681** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2016-8486 | A-28823691** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2016-8487 | A-28823724** | 批判的 | 沒有任何*** | 高通內部 |
| CVE-2016-8488 | A-31625756** | 批判的 | 沒有任何*** | 高通內部 |
* 這些漏洞的嚴重性評級由供應商決定。
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
*** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
內核網路子系統中的提權漏洞
核心網路子系統中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 上游內核 | 高的 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus 播放器、Pixel C、Pixel、Pixel XL | 2016 年 10 月 12 日 |
| CVE-2016-9793 | A-33363517 上游內核 | 高的 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus 播放器、Pixel C、Pixel、Pixel XL | 2016 年 12 月 2 日 |
Qualcomm 輸入硬體驅動程式中的提權漏洞
Qualcomm 輸入硬體驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 | 高的 | Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
MediaTek 硬體感測器驅動程式中的提權漏洞
MediaTek 硬體感測器驅動程式中的提權漏洞可讓本機惡意應用程式在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 | 高的 | 沒有任何** | 2016 年 10 月 22 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm ADSPRPC 驅動程式中的提權漏洞
Qualcomm ADSPRPC 驅動程式中的提權漏洞可讓本機惡意應用程式在核心情境中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 | 高的 | Nexus 5X、Nexus 6P、像素、像素 XL | 2016 年 9 月 22 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Qualcomm 指紋感應器驅動程式中的提權漏洞
Qualcomm 指紋感應器驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 | 高的 | 像素、像素XL | 2016 年 10 月 24 日 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 | 高的 | 像素、像素XL | 2016 年 10 月 24 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Qualcomm 加密引擎驅動程式中的提權漏洞
Qualcomm 加密引擎驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 9 月 24 日 |
Qualcomm 相機驅動程式中的提權漏洞
Qualcomm 相機驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 | 高的 | 像素、像素XL | 2016 年 10 月 31 日 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 | 高的 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 15 日 |
MediaTek APK 中的提權漏洞
MediaTek APK 中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行任意程式碼。由於特權進程中可能存在本地任意程式碼執行的可能性,因此該問題被評為「高」。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 | 高的 | 沒有任何** | 2016 年 11 月 15 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm Wi-Fi 驅動程式中的提權漏洞
Qualcomm Wi-Fi 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 | 高的 | Nexus 5X、像素、像素 XL | 2016 年 11 月 15 日 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 | 高的 | Nexus 5X、安卓一號 | 2016 年 12 月 30 日 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 | 高的 | 沒有任何* | 谷歌內部 |
* 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
Synaptics 觸控螢幕驅動程式中的提權漏洞
Synaptics 觸控螢幕驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | 高的 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 11 月 18 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Qualcomm IPA 驅動程式中的提權漏洞
Qualcomm IPA 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 | 高的 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 23 日 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 | 高的 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 25 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
HTC Sensor Hub 驅動程式中的提權漏洞
HTC Sensor Hub 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | 高的 | Nexus 9 | 2016 年 12 月 25 日 |
| CVE-2017-0527 | A-33899318* | 高的 | Nexus 9、Pixel、Pixel XL | 2016 年 12 月 25 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
NVIDIA GPU 驅動程式中的提權漏洞
NVIDIA GPU 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。由於本地永久性設備受損的可能性,該問題被評為“嚴重”,這可能需要重新刷新作業系統才能修復設備。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 | 高的 | 沒有任何** | 2016 年 11 月 28 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
Qualcomm 網路驅動程式中的提權漏洞
Qualcomm 網路驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 30 日 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 | 高的 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL | 谷歌內部 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
核心安全子系統中的提權漏洞
核心安全子系統中的特權提升漏洞可能使本機惡意應用程式能夠在特權程序的上下文中執行程式碼。此問題被評為“高”,因為它是內核級深度防禦或利用緩解技術的一般繞過。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | 高的 | 像素、像素XL | 2016 年 12 月 4 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Qualcomm SPCom 驅動程式中的提權漏洞
Qualcomm SPCom 驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“高”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 | 高的 | 沒有任何* | 谷歌內部 |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 | 高的 | 沒有任何* | 谷歌內部 |
* 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
內核網路子系統中資訊外洩的漏洞
內核網路子系統中的資訊外洩漏洞可能使本地鄰近攻擊者能夠存取敏感資訊。該問題被評為“高”,因為它可能被用來在未經許可的情況下存取資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 上游內核 | 高的 | Nexus 播放器 | 2014 年 11 月 9 日 |
MediaTek 驅動程式存在資訊外洩漏洞
MediaTek 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 | 高的 | 沒有任何** | 2016 年 4 月 27 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
高通 bootloader 中的資訊外洩漏洞
高通引導程式中的資訊外洩漏洞可能有助於本地惡意應用程式在引導程式的上下文中執行任意程式碼。此問題被評為“高”,因為它是引導程式級深度防禦或利用緩解技術的一般繞過。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 | 高的 | 像素、像素XL | 2016 年 10 月 21 日 |
高通電源驅動程式資訊外洩漏洞
Qualcomm 電源驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 | 高的 | Nexus 5X、Nexus 6P | 2016 年 12 月 19 日 |
NVIDIA GPU驅動程式資訊外洩漏洞
NVIDIA GPU 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。該問題被評為“高”,因為它可用於在未經用戶明確許可的情況下存取敏感資料。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 | 高的 | 像素C | 2016 年 11 月 30 日 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 | 高的 | 像素C | 谷歌內部 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
內核加密子系統中的拒絕服務漏洞
內核加密子系統中的拒絕服務漏洞可能使遠端攻擊者能夠使用特製的網路封包導致裝置掛起或重新啟動。由於遠端拒絕服務的可能性,此問題被評為“高”。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 上游內核 | 高的 | Nexus 5X、Nexus 6P、像素、像素 XL | 2016 年 10 月 12 日 |
Qualcomm 相機驅動程式中的提權漏洞(特定於裝置)
Qualcomm 相機驅動程式中的提權漏洞可能使本機惡意應用程式能夠在核心上下文中執行任意程式碼。此問題被評為“中等”,因為它首先需要損害特權進程,並且可以透過當前的平台配置來緩解。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 | 緩和 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
高通Wi-Fi驅動程式存在資訊外洩漏洞
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 | 緩和 | Android One、Nexus 5X、Pixel、Pixel XL | 2016 年 10 月 9 日 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 | 緩和 | 像素、像素XL | 2016 年 11 月 3 日 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 | 緩和 | Android One、Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 11 月 13 日 |
MediaTek 視訊編解碼器驅動程式存在資訊外洩漏洞
MediaTek 視訊編解碼器驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限層級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 | 緩和 | 沒有任何** | 2016 年 10 月 22 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
** 已安裝所有可用更新的 Android 7.0 或更高版本的受支援 Google 裝置不受此漏洞影響。
高通視訊驅動程式存在資訊外洩漏洞
Qualcomm 視訊驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 | 緩和 | 像素、像素XL | 2016 年 10 月 27 日 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 | 緩和 | 像素、像素XL | 2016 年 10 月 28 日 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 | 緩和 | 像素、像素XL | 2016 年 10 月 28 日 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 | 緩和 | 像素、像素XL | 2016 年 10 月 28 日 |
高通攝影機驅動程式資訊外洩漏洞
高通攝影機驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 | 緩和 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 4 日 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [ 2 ] | 緩和 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 7 日 |
HTC 聲音編解碼器驅動程式中存在資訊外洩漏洞
HTC 聲音編解碼器驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | 緩和 | Nexus 9 | 2016 年 12 月 11 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
Synaptics觸控螢幕驅動程式中的資訊外洩漏洞
Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | 緩和 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 12 月 12 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
核心 USB gadget 驅動程式中的資訊外洩漏洞
核心 USB 小工具驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“中等”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | 緩和 | 像素C | 谷歌內部 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
高通攝影機驅動程式資訊外洩漏洞
高通攝影機驅動程式中的資訊外洩漏洞可能使本機惡意應用程式能夠存取其權限等級以外的資料。此問題被評為“低”,因為它首先需要損害特權進程。
| CVE | 參考 | 嚴重性 | 更新了 Google 設備 | 報告日期 |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 | 低的 | Nexus 5X、Nexus 6P、Android One | 2016 年 11 月 10 日 |
* 此問題的補丁尚未公開發布。該更新包含在Google 開發者網站上提供的 Nexus 裝置的最新二進位驅動程式中。
常見問題及解答
本節回答閱讀本公告後可能出現的常見問題。
1. 如何確定我的裝置是否已更新以解決這些問題?
若要了解如何檢查裝置的安全修補程式級別,請閱讀Pixel 和 Nexus 更新計畫上的說明。
- 2017-03-01 或更高版本的安全性修補程式等級解決了與 2017-03-01 安全性修補程式等級相關的所有問題。
- 2017-03-05 或更高版本的安全性修補程式等級解決了與 2017-03-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。
包含這些更新的裝置製造商應將補丁字串層級設定為:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. 為什麼本公告有兩個安全修補程式等級?
此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。
- 使用 2017 年 3 月 1 日安全修補程式等級的裝置必須包含與該安全修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復。
- 使用 2017 年 3 月 5 日或更高版本安全性修補程式層級的裝置必須包含本(和先前)安全性公告中的所有適用修補程式。
我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。
3. 如何確定哪些 Google 裝置受到每個問題的影響?
在2017-03-01和2017-03-05安全漏洞詳細資料部分中,每個表格都有一個「更新的 Google 裝置」列,涵蓋針對每個問題更新的受影響 Google 裝置的範圍。此欄有幾個選項:
- 所有 Google 設備:如果問題影響所有和 Pixel 設備,則該表的「更新的 Google 設備」列中將顯示「所有」。 「全部」封裝了以下支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
- 某些 Google 設備:如果問題未影響所有 Google 設備,則受影響的 Google 裝置將列在「更新的 Google 裝置」欄位中。
- 無 Google 裝置:如果沒有執行 Android 7.0 的 Google 裝置受此問題影響,則該表的「更新的 Google 裝置」欄位中將顯示「無」。
4. 參考文獻欄的條目對應什麼?
漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。這些前綴映射如下:
| 字首 | 參考 |
|---|---|
| A- | 安卓錯誤 ID |
| QC- | 高通參考號 |
| M- | 聯發科參考號 |
| N- | NVIDIA 參考號 |
| B- | 博通參考號 |
修訂
- 2017 年 3 月 6 日:發佈公告。
- 2017 年 3 月 7 日:公告經過修訂,包含 AOSP 連結。