กระดานข่าวความปลอดภัยของ Android—มีนาคม 2017

เผยแพร่เมื่อ 06 มีนาคม 2017 | อัปเดตเมื่อวันที่ 7 มีนาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยให้กับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยในวันที่ 5 มีนาคม 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 6 กุมภาพันธ์ 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาปัญหาบริการ Android และ Google สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-03-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-03-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 05-03-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-03-01 และ 2017-03-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เดียวพร้อมระดับแพตช์ความปลอดภัยในวันที่ 5 มีนาคม 2017

การบรรเทาปัญหาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบที่ได้รับจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพวกเขาพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการเพิ่มระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

  • Alexander Potapenko จากทีม Google Dynamic Tools: CVE-2017-0537
  • Baozeng Ding, Chengming Yang, Peng Xiao และ Yang Song แห่ง Alibaba Mobile Security Group: CVE-2017-0506
  • Baozeng Ding, Ning You, Chengming Yang, Peng Xiao และ Yang Song แห่ง Alibaba Mobile Security Group: CVE-2017-0463
  • Billy Lau จาก Android Security: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
  • เดอร์เร็ก ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • derrek ( @derrekr6 ) และ Scott Bauer ( @ScottyBauer1 ): CVE-2017-0521
  • Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
  • En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team : CVE-2017-0490
  • Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
  • Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • Hiroki Yamamoto และ Fang Chen จาก Sony Mobile Communications Inc.: CVE-2017-0481
  • นักวิจัย IBM Security X-Force Sagi Kedmi และ Roee Hay: CVE-2017-0510
  • Jianjun Dai ( @Jioun_dai ) จาก Qihoo 360 Skyeye Labs : CVE-2017-0478
  • Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519 , CVE-2017-0533, CVE-2017-0534
  • Lubo Zhang , Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก ทีม C0RE : CVE-2016-8479
  • มาโกโตะ โอนุกิ จาก Google: CVE-2017-0491
  • Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0479, CVE-2017-0480
  • นาธาน แครนดอลล์ ( @natecray ): CVE-2017-0535
  • Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla Motors: CVE-2017-0306
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) แห่ง Baidu X-Lab (百度安全实验室): CVE-2016-8417
  • Qidan He (何淇丹) ( @flanker_hqd ) แห่ง KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
  • Qing Zhang จาก Qihoo 360 และ Guangdong Bai จาก Singapore Institute of Technology (SIT): CVE-2017-0496
  • Quhe และ wanchouchou จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
  • ซาฮารา แห่งการสื่อสารที่ปลอดภัยใน DarkMatter: CVE-2017-0528
  • salls ( @chris_salls ) ของทีม Shellphish Grill, UC Santa Barbara: CVE-2017-0505
  • สก็อตต์ บาวเออร์ ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
  • Sean Beaupre (beups): CVE-2017-0455
  • Seven Shen ( @lingtongshen ) จาก Trend Micro: CVE-2017-0452
  • ชินิจิ มัตสึโมโตะ แห่งฟูจิตสึ: CVE-2017-0498
  • Stéphane Marques แห่ง ByteRev : CVE-2017-0489
  • Svetoslav Ganov จาก Google: CVE-2017-0492
  • Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0333
  • VEO ( @VYSEa ) ของ ทีมรับมือภัยคุกคามบนมือถือ Trend Micro : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE- 2017-0495
  • Wish Wu (吴潍浠 此彼) ( @wish_wu ) แห่ง Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
  • Yu Pan จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
  • Yuan-Tsung Lo และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0526, CVE-2017-0527
  • Yuqi Lu ( @nikos233 ), Wenke Dou , Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE : CVE-2017-0483
  • Zinuo Han ( weibo.com/ele7enxxh ) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497

ระดับแพตช์ความปลอดภัย 03-03-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-03-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน OpenSSL และ BoringSSL

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน OpenSSL และ BoringSSL อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์และข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการที่มีสิทธิ์พิเศษ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-2182 A-32096880 วิกฤต ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 5 ส.ค. 2559

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0466 A-33139050 [ 2 ] วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 25 พ.ย. 2559
CVE-2017-0467 A-33250932 [ 2 ] วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 30 พ.ย. 2559
CVE-2017-0468 A-33351708 [ 2 ] วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 5 ธันวาคม 2559
CVE-2017-0469 A-33450635 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 8 ธันวาคม 2559
CVE-2017-0470 A-33818500 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 21 ธันวาคม 2016
CVE-2017-0471 A-33816782 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 21 ธันวาคม 2016
CVE-2017-0472 A-33862021 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 23 ธันวาคม 2016
CVE-2017-0473 A-33982658 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 30 ธันวาคม 2559
CVE-2017-0474 A-32589224 วิกฤต ทั้งหมด 7.0, 7.1.1 ภายในของ Google

การยกระดับช่องโหว่ของสิทธิพิเศษในตัวตรวจสอบการกู้คืน

การยกระดับช่องโหว่ของสิทธิ์ในตัวตรวจสอบการกู้คืนอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0475 A-31914369 วิกฤต ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 ต.ค. 2559

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน AOSP Messaging

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน AOSP Messaging อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในระหว่างการประมวลผลไฟล์สื่อและข้อมูลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0476 A-33388925 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 6 ธันวาคม 2559

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libgdx

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libgdx อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0477 A-33621647 สูง ทั้งหมด 7.1.1 14 ธันวาคม 2559

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารี Framesequence

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0478 A-33718716 สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 16 ธันวาคม 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน NFC

การยกระดับช่องโหว่ของสิทธิพิเศษใน NFC อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0481 A-33434992 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 พ.ย. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน Audioserver

การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0479 A-32707507 [ 2 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 พ.ย. 2559
CVE-2017-0480 A-32705429 [ 2 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 พ.ย. 2559

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ในบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการบริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0482 A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 22 พ.ย. 2559
CVE-2017-0483 A-33137046 [ 2 ] สูง ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 พ.ย. 2559
CVE-2017-0484 A-33298089 [ 2 ] สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 1 ธันวาคม 2559
CVE-2017-0485 A-33387820 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 6 ธันวาคม 2559
CVE-2017-0486 A-33621215 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 14 ธันวาคม 2559
CVE-2017-0487 A-33751193 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 19 ธันวาคม 2559
CVE-2017-0488 A-34097213 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การยกระดับช่องโหว่ของสิทธิ์ในตัวจัดการสถานที่

การยกระดับช่องโหว่ของสิทธิ์ในตัวจัดการตำแหน่งอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันระบบปฏิบัติการสำหรับข้อมูลตำแหน่งได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากอาจใช้เพื่อสร้างข้อมูลที่ไม่ถูกต้องได้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0489 A-33091107 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 พ.ย. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ใน Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถลบข้อมูลผู้ใช้ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง ซึ่งโดยปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0490 A-33178389 [ 2 ] [ 3 ] ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 25 พ.ย. 2559

การยกระดับสิทธิ์ช่องโหว่ในตัวจัดการแพ็คเกจ

การยกระดับช่องโหว่ของสิทธิ์ใน Package Manager อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเปิดใช้งานได้ เพื่อป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งแอปพลิเคชันหรือลบสิทธิ์ออกจากแอปพลิเคชัน ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0491 A-32553261 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การยกระดับช่องโหว่ของสิทธิ์ใน UI ของระบบ

การยกระดับช่องโหว่ของสิทธิพิเศษใน UI ของระบบอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถสร้างการซ้อนทับ UI ที่ครอบคลุมทั้งหน้าจอได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากเป็นการข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ภายในเครื่อง ซึ่งโดยปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0492 A-30150688 ปานกลาง ทั้งหมด 7.1.1 ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน AOSP Messaging

ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0494 A-32764144 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 9 พ.ย. 2559

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0495 A-33552073 ปานกลาง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1 11 ธันวาคม 2559

การปฏิเสธช่องโหว่ของบริการในตัวช่วยสร้างการตั้งค่า

การปฏิเสธช่องโหว่ในบริการในตัวช่วยสร้างการตั้งค่าอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถบล็อกการเข้าถึงอุปกรณ์ที่ได้รับผลกระทบชั่วคราวได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากอาจต้องรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0496 A-31554152* ปานกลาง ไม่มี** 5.0.2, 5.1.1, 6.0, 6.0.1 14 กันยายน 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีอยู่ใน ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การปฏิเสธช่องโหว่การบริการใน Mediaserver

การปฏิเสธช่องโหว่ในบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0497 A-33300701 ปานกลาง ทั้งหมด 7.0, 7.1.1 2 ธันวาคม 2559

การปฏิเสธช่องโหว่ของบริการในตัวช่วยสร้างการตั้งค่า

การปฏิเสธช่องโหว่ในบริการในตัวช่วยสร้างการตั้งค่าอาจทำให้ผู้โจมตีในพื้นที่จำเป็นต้องลงชื่อเข้าใช้บัญชี Google หลังจากรีเซ็ตเป็นค่าจากโรงงาน ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากอาจต้องรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0498 A-30352311 [ 2 ] ปานกลาง ทั้งหมด 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 ภายในของ Google

การปฏิเสธช่องโหว่การบริการใน Audioserver

การปฏิเสธช่องโหว่การบริการใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับเป็นต่ำเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการชั่วคราว

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0499 A-32095713 ต่ำ ทั้งหมด 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ต.ค. 2559

ระดับแพตช์ความปลอดภัย 03-03-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-03-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ MediaTek

การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบของ MediaTek รวมถึงไดรเวอร์ M4U, ไดรเวอร์เสียง, ไดรเวอร์หน้าจอสัมผัส, ไดรเวอร์ GPU และไดรเวอร์ Command Queue อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0500 A-28429685*
M-ALPS02710006
วิกฤต ไม่มี** 27 เมษายน 2016
CVE-2017-0501 A-28430015*
M-ALPS02708983
วิกฤต ไม่มี** 27 เมษายน 2016
CVE-2017-0502 A-28430164*
M-ALPS02710027
วิกฤต ไม่มี** 27 เมษายน 2016
CVE-2017-0503 A-28449045*
M-ALPS02710075
วิกฤต ไม่มี** 28 เมษายน 2016
CVE-2017-0504 A-30074628*
M-ALPS02829371
วิกฤต ไม่มี** 9 ก.ค. 2559
CVE-2017-0505 A-31822282*
M-ALPS02992041
วิกฤต ไม่มี** 28 กันยายน 2016
CVE-2017-0506 A-32276718*
M-ALPS03006904
วิกฤต ไม่มี** 18 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
วิกฤต พิกเซล ซี 6 ต.ค. 2559
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
วิกฤต พิกเซล ซี 21 พฤศจิกายน 2016
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
วิกฤต พิกเซล ซี 25 ธันวาคม 2016
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
วิกฤต เน็กซัส 9 6 มกราคม 2017
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
วิกฤต พิกเซล ซี ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0507 A-31992382* วิกฤต Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, ผู้เล่น Nexus, Pixel C, พิกเซล, พิกเซล XL 6 ต.ค. 2559
CVE-2017-0508 A-33940449* วิกฤต พิกเซล ซี 28 ธันวาคม 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0509 A-32124445*
B-RB#110688
วิกฤต ไม่มี** 12 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับสิทธิ์ของช่องโหว่ของสิทธิ์ในการดีบักเกอร์ FIQ ของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในการดีบักเกอร์ FIQ ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0510 A-32402555* วิกฤต เน็กซัส 9 25 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm GPU

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ GPU ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8479 A-31824853*
QC-CR#1093687
วิกฤต Android One, Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL 29 กันยายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเครือข่ายเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-9806 A-33393474
เคอร์เนลต้นน้ำ
วิกฤต พิกเซล C, พิกเซล, พิกเซล XL 4 ธันวาคม 2559
CVE-2016-10200 A-33753815
เคอร์เนลต้นน้ำ
วิกฤต Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 19 ธันวาคม 2559

ช่องโหว่ในส่วนประกอบของ Qualcomm

ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS เดือนกันยายน 2559

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8484 A-28823575** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8485 A-28823681** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8486 A-28823691** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8487 A-28823724** วิกฤต ไม่มี*** วอลคอมม์ภายใน
CVE-2016-8488 A-31625756** วิกฤต ไม่มี*** วอลคอมม์ภายใน

* ระดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้จำหน่าย

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเครือข่ายเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8655 A-33358926
เคอร์เนลต้นน้ำ
สูง Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, ผู้เล่น Nexus, Pixel C, พิกเซล, พิกเซล XL 12 ต.ค. 2559
CVE-2016-9793 A-33363517
เคอร์เนลต้นน้ำ
สูง Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, ผู้เล่น Nexus, Pixel C, พิกเซล, พิกเซล XL 2 ธันวาคม 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ฮาร์ดแวร์อินพุตของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ฮาร์ดแวร์อินพุตของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0516 A-32341680*
QC-CR#1096301
สูง Android One, พิกเซล, พิกเซล XL 21 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เซ็นเซอร์ฮาร์ดแวร์ MediaTek

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เซ็นเซอร์ฮาร์ดแวร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0517 A-32372051*
M-ALPS02973195
สูง ไม่มี** 22 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm ADSPRPC

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm ADSPRPC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 22 กันยายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เซ็นเซอร์ลายนิ้วมือ Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เซ็นเซอร์ลายนิ้วมือ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0518 A-32370896*
QC-CR#1086530
สูง พิกเซล, พิกเซล XL 24 ต.ค. 2559
CVE-2017-0519 A-32372915*
QC-CR#1086530
สูง พิกเซล, พิกเซล XL 24 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุม Qualcomm crypto engine

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กลไกเข้ารหัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0520 A-31750232
QC-CR#1082636
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 24 กันยายน 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0458 A-32588962
QC-CR#1089433
สูง พิกเซล, พิกเซล XL 31 ต.ค. 2559
CVE-2017-0521 A-32919951
QC-CR#1097709
สูง Nexus 5X, Nexus 6P, Android One, พิกเซล, พิกเซล XL 15 พ.ย. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษใน MediaTek APK

การยกระดับช่องโหว่ของสิทธิ์ใน MediaTek APK อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดโดยอำเภอใจในกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0522 A-32916158*
M-ALPS03032516
สูง ไม่มี** 15 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0464 A-32940193
QC-CR#1102593
สูง Nexus 5X, พิกเซล, พิกเซล XL 15 พ.ย. 2559
CVE-2017-0453 A-33979145
QC-CR#1105085
สูง Nexus 5X, แอนดรอยด์ วัน 30 ธันวาคม 2559
CVE-2017-0523 A-32835279
QC-CR#1096945
สูง ไม่มี* ภายในของ Google

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0524 A-33002026 สูง Android One, Nexus 5X, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL 18 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm IPA

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm IPA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0456 A-33106520*
QC-CR#1099598
สูง Nexus 5X, Nexus 6P, Android One, พิกเซล, พิกเซล XL 23 พ.ย. 2559
CVE-2017-0525 A-33139056*
QC-CR#1097714
สูง Nexus 5X, Nexus 6P, Android One, พิกเซล, พิกเซล XL 25 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ HTC Sensor Hub

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ HTC Sensor Hub อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0526 A-33897738* สูง เน็กซัส 9 25 ธันวาคม 2016
CVE-2017-0527 A-33899318* สูง Nexus 9, พิกเซล, พิกเซล XL 25 ธันวาคม 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA GPU

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
สูง ไม่มี** 28 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เครือข่าย Qualcomm

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เครือข่าย Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0463 A-33277611
QC-CR#1101792
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 30 พ.ย. 2559
CVE-2017-0460 A-31252965*
QC-CR#1098801
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, พิกเซล, พิกเซล XL ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยการรักษาความปลอดภัยของเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการรักษาความปลอดภัยของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากเป็นทางเลี่ยงทั่วไปสำหรับการป้องกันระดับเคอร์เนลในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0528 A-33351919* สูง พิกเซล, พิกเซล XL 4 ธันวาคม 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm SPCom

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm SPCom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5856 A-32610665
QC-CR#1094078
สูง ไม่มี* ภายในของ Google
CVE-2016-5857 A-34386529
QC-CR#1094140
สูง ไม่มี* ภายในของ Google

* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนล

ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีที่ใกล้เคียงในพื้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-8709 A-34077221
เคอร์เนลต้นน้ำ
สูง ผู้เล่นเน็กซัส 9 พ.ย. 2557

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0529 A-28449427*
M-ALPS02710042
สูง ไม่มี** 27 เมษายน 2016

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเปิดเผยข้อมูลใน Qualcomm bootloader

ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm bootloader อาจช่วยให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของ bootloader ได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากเป็นการบายพาสทั่วไปสำหรับการป้องกันระดับ bootloader ในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบ

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0455 A-32370952
QC-CR#1082755
สูง พิกเซล, พิกเซล XL 21 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมพลังงานของ Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในโปรแกรมควบคุมพลังงานของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8483 A-33745862
QC-CR#1035099
สูง เน็กซัส 5X, เน็กซัส 6P 19 ธันวาคม 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ NVIDIA GPU

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ NVIDIA GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
สูง พิกเซล ซี 30 พ.ย. 2559
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
สูง พิกเซล ซี ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

การปฏิเสธช่องโหว่การบริการในระบบย่อยการเข้ารหัสเคอร์เนล

การปฏิเสธช่องโหว่ของบริการในระบบย่อยการเข้ารหัสเคอร์เนลอาจทำให้ผู้โจมตีระยะไกลสามารถใช้แพ็กเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8650 A-33401771
เคอร์เนลต้นน้ำ
สูง Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 12 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง Qualcomm (เฉพาะอุปกรณ์)

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8417 A-32342399
QC-CR#1088824
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 21 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0461 A-32073794
QC-CR#1100132
ปานกลาง Android One, Nexus 5X, พิกเซล, พิกเซล XL 9 ต.ค. 2559
CVE-2017-0459 A-32644895
QC-CR#1091939
ปานกลาง พิกเซล, พิกเซล XL 3 พฤศจิกายน 2559
CVE-2017-0531 A-32877245
QC-CR#1087469
ปานกลาง Android One, Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL 13 พ.ย. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณวิดีโอ MediaTek

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณวิดีโอ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0532 A-32370398*
M-ALPS03069985
ปานกลาง ไม่มี** 22 ต.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0533 A-32509422
QC-CR#1088206
ปานกลาง พิกเซล, พิกเซล XL 27 ต.ค. 2559
CVE-2017-0534 A-32508732
QC-CR#1088206
ปานกลาง พิกเซล, พิกเซล XL 28 ต.ค. 2559
CVE-2016-8416 A-32510746
QC-CR#1088206
ปานกลาง พิกเซล, พิกเซล XL 28 ต.ค. 2559
CVE-2016-8478 A-32511270
QC-CR#1088206
ปานกลาง พิกเซล, พิกเซล XL 28 ต.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-8413 A-32709702
QC-CR#518731
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 4 พฤศจิกายน 2559
CVE-2016-8477 A-32720522
QC-CR#1090007 [ 2 ]
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Android One, พิกเซล, พิกเซล XL 7 พ.ย. 2559

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณเสียง HTC

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณเสียง HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0535 A-33547247* ปานกลาง เน็กซัส 9 11 ธันวาคม 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์หน้าจอสัมผัส Synaptics

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0536 A-33555878* ปานกลาง Android One, Nexus 5X, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL 12 ธันวาคม 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์อุปกรณ์ USB ของเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์อุปกรณ์ USB ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากจำเป็นต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0537 A-31614969* ปานกลาง พิกเซล ซี ภายในของ Google

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นต่ำเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน

ซีวีอี อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0452 A-32873615*
QC-CR#1093693
ต่ำ Nexus 5X, Nexus 6P, แอนดรอยด์วัน 10 พ.ย. 2559

* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์รักษาความปลอดภัยของ 2017-03-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 03-03-2017
  • ระดับแพตช์รักษาความปลอดภัย 05-03-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 03-03-2560 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-03-01]
  • [ro.build.version.security_patch]:[2017-03-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยในวันที่ 1 มีนาคม 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 มีนาคม 2017 หรือใหม่กว่า จะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google เครื่องใดที่ได้รับผลกระทบจากแต่ละปัญหา

ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัย ประจำปี 2017-03-01 และ 05-03-05 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดต ซึ่งครอบคลุมอุปกรณ์ Google ที่ได้รับผลกระทบต่างๆ ที่อัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือก 2-3 รายการ:

  • อุปกรณ์ Google ทั้งหมด : หากปัญหาเกิดขึ้นกับอุปกรณ์ทั้งหมดและอุปกรณ์ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" สรุป อุปกรณ์ที่รองรับ ต่อไปนี้: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
  • อุปกรณ์ Google บางรุ่น : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงรายการในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
  • ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต

4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าแมปดังต่อไปนี้:

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิงของ Broadcom

การแก้ไข

  • 6 มีนาคม 2017: เผยแพร่กระดานข่าว
  • 7 มีนาคม 2017: กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP