Android 安全性公告 — 2017 年 3 月

發佈日期:2017 年 3 月 6 日 | 更新日期:2017 年 3 月 7 日

Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。在這篇公告發佈的同時,Google 已透過 OTA 更新機制發佈了 Google 裝置的安全性更新。此外,Google 韌體映像檔也已經發佈到 Google Developers 網站上。2017 年 3 月 5 日之後的安全修補等級已解決了這些已提及的所有問題。要瞭解如何查看裝置的安全修補等級,請參閱 Pixel 與 Nexus 更新時間表

我們的合作夥伴在 2017 年 2 月 6 日當天或更早之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。

在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。

針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果您想進一步瞭解 Android 安全性平台防護措施和服務防護措施 (例如 SafetyNet) 如何加強 Android 平台的安全性,請參閱 Android 和 Google 服務因應措施 一節。

我們建議所有客戶接受這些裝置更新。

公告

  • 本公告有兩個安全修補等級字串,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。如需額外資訊,請參閱常見問題與解答
    • 2017-03-01:部分安全修補等級字串。這個安全修補等級字串表示所有與 2017-03-01 相關的問題 (以及所有先前的安全修補等級字串) 都已獲得解決。
    • 2017-03-05:完整安全修補等級字串。這個安全修補等級字串表示所有與 2017-03-01 和 2017-03-05 相關的問題 (以及所有先前的安全修補等級字串) 都已獲得解決。
  • 支援的 Google 裝置會收到一項 OTA 更新,安全修補等級為 2017-03-05。

Android 和 Google 服務問題因應措施

本節概述 Android 安全性平台和 SafetyNet 等服務防護方案針對資安漏洞所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。

  • Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。
  • Android 安全性小組採用「驗證應用程式」和 SafetyNet 主動監控濫用情形;使用這些功能的目的是在發現可能有害的應用程式時警告使用者。「驗證應用程式」在搭載 Google 行動服務的裝置上都會預設啟用,且對於要從 Google Play 以外來源安裝應用程式的使用者來說格外重要。Google Play 禁止發佈任何可用於獲取裝置 Root 權限的工具,但「驗證應用程式」會在使用者嘗試安裝已偵測到的 Root 權限獲取應用程式 (無論其來源為何) 時發出警告。此外,「驗證應用程式」會設法找出已知會利用權限升級漏洞的惡意應用程式,並封鎖這類應用程式的安裝作業。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者並嘗試移除偵測到的應用程式。
  • 在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。

特別銘謝

感謝以下研究人員做出的貢獻:

  • Google 動態工具小組成員 Alexander Potapenko:CVE-2017-0537
  • 阿里巴巴行動安全小組成員 Baozeng Ding、Chengming Yang、Peng Xiao 和 Yang Song:CVE-2017-0506
  • 阿里巴巴行動安全小組成員 Baozeng Ding、Ning You、Chengming Yang、Peng Xiao 和 Yang Song:CVE-2017-0463
  • Android 安全性小組成員 Billy Lau:CVE-2017-0335、CVE-2017-0336、CVE-2017-0338、CVE-2017-0460
  • derrek (@derrekr6):CVE-2016-8413、CVE-2016-8477、CVE-2017-0531
  • derrek (@derrekr6) 和 Scott Bauer (@ScottyBauer1):CVE-2017-0521
  • 騰訊科恩實驗室 (@keen_lab) 的 Di Shen (@returnsme):CVE-2017-0334、CVE-2017-0456、CVE-2017-0457、CVE-2017-0525
  • MS509Team 的 En He (@heeeeen4x) 和 Bo Liu:CVE-2017-0490
  • 奇虎 360 科技有限公司 IceSword 實驗室的 Gengjia Chen (@chengjia4574) 和 pjf:CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0509、CVE-2017-0524、CVE-2017-0529、CVE-2017-0536
  • 奇虎 360 科技有限公司 Alpha 小組成員 Hao Chen 和 Guang Gong:CVE-2017-0453、CVE-2017-0461、CVE-2017-0464
  • Sony Mobile Communications Inc. 的 Hiroki Yamamoto 和 Fang Chen:CVE-2017-0481
  • IBM 安全性 X-Force 研究員 Sagi Kedmi 和 Roee Hay:CVE-2017-0510
  • 奇虎 360 Skyeye 實驗室 的 Jianjun Dai (@Jioun_dai):CVE-2017-0478
  • 奇虎 360 IceSword 實驗室的 Jianqiang Zhao (@jianqiangzhao) 和 pjf:CVE-2016-8416、CVE-2016-8478、CVE-2017-0458、CVE-2017-0459、CVE-2017-0518、CVE-2017-0519、CVE-2017-0533、CVE-2017-0534
  • C0RE 小組成員 Lubo ZhangTong LinYuan-Tsung Lo 和 Xuxian Jiang:CVE-2016-8479
  • Google 的 Makoto Onuki:CVE-2017-0491
  • C0RE 小組成員 Mingjian Zhou (@Mingjian_Zhou)、Hanxiang Wen 和 Xuxian Jiang:CVE-2017-0479、CVE-2017-0480
  • Nathan Crandall (@natecray):CVE-2017-0535
  • Tesla Motors Product 安全性小組成員 Nathan Crandall (@natecray):CVE-2017-0306
  • 百度安全實驗室的 Pengfei Ding (丁鹏飞)、Chenfu Bao (包沉浮) 和 Lenx Wei (韦韬):CVE-2016-8417
  • 騰訊科恩實驗室的 Qidan He (何淇丹) (@flanker_hqd):CVE-2017-0337、CVE-2017-0476
  • 奇虎 360 的 Qing Zhang 和新加坡理工大學 (SIT) 的 Guangdong Bai:CVE-2017-0496
  • 螞蟻金服巴斯光年安全實驗室的 Quhe 和 wanchouchou:CVE-2017-0522
  • DarkMatter 安全通訊小組的 Sahara:CVE-2017-0528
  • 加州大學聖塔芭芭拉分校 Shellphish Grill 小組的 salls (@chris_salls):CVE-2017-0505
  • Scott Bauer (@ScottyBauer1):CVE-2017-0504、CVE-2017-0516
  • Sean Beaupre (beaups):CVE-2017-0455
  • 趨勢科技的 Seven Shen (@lingtongshen):CVE-2017-0452
  • 富士通的 Shinichi Matsumoto:CVE-2017-0498
  • ByteRevStéphane Marques:CVE-2017-0489
  • Google 的 Svetoslav Ganov:CVE-2017-0492
  • C0RE 小組成員 Tong LinYuan-Tsung Lo 和 Xuxian Jiang:CVE-2017-0333
  • 趨勢科技行動威脅研究小組成員 V.E.O (@VYSEa):CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0482、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0494、CVE-2017-0495
  • 螞蟻金服巴斯光年安全實驗室的 Wish Wu (吴潍浠 此彼) (@wish_wu):CVE-2017-0477
  • 奇虎 360 科技有限公司 Vulpecker 小組成員 Yu Pan:CVE-2017-0517、CVE-2017-0532
  • C0RE 小組成員 Yuan-Tsung Lo 和 Xuxian Jiang:CVE-2017-0526、CVE-2017-0527
  • C0RE 小組成員 Yuqi Lu (@nikos233)、Wenke DouDacheng Shao、Mingjian Zhou (@Mingjian_Zhou) 和 Xuxian Jiang:CVE-2017-0483
  • 奇虎 360 科技有限公司成都安全性應變中心成員 Zinuo Han (weibo.com/ele7enxxh):CVE-2017-0475、CVE-2017-0497

2017-03-01 安全修補等級 — 資安漏洞詳情

下列各節針對 2017-03-01 安全修補等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。

OpenSSL 和 BoringSSL 中的遠端程式碼執行漏洞

在檔案和資料的處理期間,OpenSSL 和 BoringSSL 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在獲得授權的程序環境內執行,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2016-2182 A-32096880 最高 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 8 月 5 日

媒體伺服器中的遠端程式碼執行漏洞

在媒體檔案和資料的處理期間,媒體伺服器中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0466 A-33139050 [2] 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 11 月 25 日
CVE-2017-0467 A-33250932 [2] 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 11 月 30 日
CVE-2017-0468 A-33351708 [2] 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 5 日
CVE-2017-0469 A-33450635 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 8 日
CVE-2017-0470 A-33818500 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 21 日
CVE-2017-0471 A-33816782 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 21 日
CVE-2017-0472 A-33862021 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 23 日
CVE-2017-0473 A-33982658 最高 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 30 日
CVE-2017-0474 A-32589224 最高 全部 7.0、7.1.1 Google 內部

復原驗證器中的權限升級漏洞

復原驗證器中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0475 A-31914369 最高 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 10 月 2 日

AOSP Messaging 中的遠端程式碼執行漏洞

在媒體檔案和資料的處理期間,AOSP Messaging 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在未獲授權的程序環境內執行,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0476 A-33388925 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 6 日

libgdx 中的遠端程式碼執行漏洞

libgdx 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案在未獲授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在使用這個程式庫的應用程式中執行,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0477 A-33621647 全部 7.1.1 2016 年 12 月 14 日

Framesequence 程式庫中的遠端程式碼執行漏洞

Framesequence 程式庫中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案在未獲授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在使用 Framesequence 程式庫的應用程式中執行,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0478 A-33718716 全部 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 12 月 16 日

NFC 中的權限升級漏洞

NFC 中的權限升級漏洞可能會讓鄰近的攻擊者在獲得授權的程序環境內執行任何指令。由於這個問題可被利用來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0481 A-33434992 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 11 月 6 日

音訊伺服器中的權限升級漏洞

音訊伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可被利用來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0479 A-32707507 [2] 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 11 月 7 日
CVE-2017-0480 A-32705429 [2] 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 11 月 7 日

媒體伺服器中的拒絕服務漏洞

媒體伺服器中的拒絕服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0482 A-33090864 [2] [3] [4] [5] [6] 全部 6.0、6.0.1、7.0、7.1.1 2016 年 11 月 22 日
CVE-2017-0483 A-33137046 [2] 全部 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 11 月 24 日
CVE-2017-0484 A-33298089 [2] 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 1 日
CVE-2017-0485 A-33387820 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 6 日
CVE-2017-0486 A-33621215 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 14 日
CVE-2017-0487 A-33751193 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 19 日
CVE-2017-0488 A-34097213 全部 6.0、6.0.1、7.0、7.1.1 Google 內部

位置管理員中的權限升級漏洞

位置管理員中的權限升級漏洞可能會讓本機惡意應用程式規避作業系統為位置資料採取的防護措施。由於這個問題可能讓有心人士產生不正確的資料,因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0489 A-33091107 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 11 月 20 日

Wi-Fi 連線中的權限升級漏洞

Wi-Fi 連線中的權限升級漏洞可能會讓本機惡意應用程式刪除使用者資料。由於這個問題可能會讓有心人士規避本機的使用者互動要求 (通常需要使用者啟動或使用者權限),因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0490 A-33178389 [2] [3] 全部 6.0、6.0.1、7.0、7.1.1 2016 年 11 月 25 日

套件管理員中的權限升級漏洞

套件管理員中的權限升級漏洞可能會讓本機惡意應用程式造成使用者無法解除安裝應用程式,或無法移除應用程式的權限。由於這個問題可能會讓有心人士規避本機的使用者互動要求,因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0491 A-32553261 全部 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 Google 內部

系統使用者介面中的權限升級漏洞

系統使用者介面中的權限升級漏洞可能會讓本機惡意應用程式建立重疊覆蓋整個螢幕畫面的使用者介面。由於這個問題可能會讓有心人士規避本機的使用者互動要求 (通常需要使用者啟動或使用者權限),因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0492 A-30150688 全部 7.1.1 Google 內部

AOSP Messaging 中的資訊外洩漏洞

AOSP Messaging 中的資訊外洩漏洞可能會讓遠端攻擊者透過特製檔案存取其權限等級以外的資料。由於這個問題可能會讓有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0494 A-32764144 全部 6.0、6.0.1、7.0、7.1.1 2016 年 11 月 9 日

媒體伺服器中的資訊外洩漏洞

媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能會讓有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0495 A-33552073 全部 6.0、6.0.1、7.0、7.1.1 2016 年 12 月 11 日

設定精靈中的拒絕服務漏洞

設定精靈中的拒絕服務漏洞可能會讓本機惡意應用程式暫時封鎖受影響裝置的存取權。由於這個問題可能需要恢復原廠設定才能修復,因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0496 A-31554152* 無** 5.0.2、5.1.1、6.0、6.0.1 2016 年 9 月 14 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Google 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

媒體伺服器中的拒絕服務漏洞

媒體伺服器中的拒絕服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這種攻擊必須透過罕見的裝置設定才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0497 A-33300701 全部 7.0、7.1.1 2016 年 12 月 2 日

設定精靈中的拒絕服務漏洞

設定精靈中的拒絕服務漏洞可能會讓本機攻擊者在恢復原廠設定後要求登入 Google 帳戶。由於這個問題可能需要恢復原廠設定才能修復,因此嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0498 A-30352311 [2] 全部 5.1.1、6.0、6.0.1、7.0、7.1.1 Google 內部

音訊伺服器中的拒絕服務漏洞

音訊伺服器中的拒絕服務漏洞可能會讓本機惡意應用程式造成裝置停止運作或重新開機。由於這個問題可能會導致本機暫時拒絕服務,因此嚴重程度被評定為「低」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 更新的 AOSP 版本 回報日期
CVE-2017-0499 A-32095713 全部 5.1.1、6.0、6.0.1、7.0、7.1.1 2016 年 10 月 11 日

2017-03-05 安全修補等級 — 資安漏洞詳情

下列各節針對 2017-03-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。

MediaTek 元件中的權限升級漏洞

MediaTek 元件 (包括 M4U 驅動程式、音效驅動程式、觸控螢幕驅動程式、GPU 驅動程式和指令佇列驅動程式) 中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0500 A-28429685*
M-ALPS02710006
最高 無** 2016 年 4 月 27 日
CVE-2017-0501 A-28430015*
M-ALPS02708983
最高 無** 2016 年 4 月 27 日
CVE-2017-0502 A-28430164*
M-ALPS02710027
最高 無** 2016 年 4 月 27 日
CVE-2017-0503 A-28449045*
M-ALPS02710075
最高 無** 2016 年 4 月 28 日
CVE-2017-0504 A-30074628*
M-ALPS02829371
最高 無** 2016 年 7 月 9 日
CVE-2017-0505 A-31822282*
M-ALPS02992041
最高 無** 2016 年 9 月 28 日
CVE-2017-0506 A-32276718*
M-ALPS03006904
最高 無** 2016 年 10 月 18 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

NVIDIA GPU 驅動程式中的權限升級漏洞

NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
最高 Pixel C 2016 年 10 月 6 日
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
最高 Pixel C 2016 年 11 月 21 日
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
最高 Pixel C 2016 年 12 月 25 日
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
最高 Nexus 9 2017 年 1 月 6 日
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
最高 Pixel C Google 內部

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

核心 ION 子系統中的權限升級漏洞

核心 ION 子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0507 A-31992382* 最高 Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL 2016 年 10 月 6 日
CVE-2017-0508 A-33940449* 最高 Pixel C 2016 年 12 月 28 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Broadcom Wi-Fi 驅動程式中的權限升級漏洞

Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0509 A-32124445*
B-RB#110688
最高 無** 2016 年 10 月 12 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

核心 FIQ 偵錯工具中的權限升級漏洞

核心 FIQ 偵錯工具中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0510 A-32402555* 最高 Nexus 9 2016 年 10 月 25 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Qualcomm GPU 驅動程式中的權限升級漏洞

Qualcomm GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,使裝置必須以還原 (Re-flash) 作業系統的方式才能修復,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8479 A-31824853*
QC-CR#1093687
最高 Android One、Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL 2016 年 9 月 29 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

核心網路子系統中的權限升級漏洞

核心網路子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-9806 A-33393474
上游程式庫核心
最高 Pixel C、Pixel、Pixel XL 2016 年 12 月 4 日
CVE-2016-10200 A-33753815
上游程式庫核心
最高 Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 12 月 19 日

Qualcomm 元件中的漏洞

以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考 2016 年 9 月的 Qualcomm AMSS 安全性公告。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8484 A-28823575** 最高 無*** Qualcomm 內部
CVE-2016-8485 A-28823681** 最高 無*** Qualcomm 內部
CVE-2016-8486 A-28823691** 最高 無*** Qualcomm 內部
CVE-2016-8487 A-28823724** 最高 無*** Qualcomm 內部
CVE-2016-8488 A-31625756** 最高 無*** Qualcomm 內部

* 這些漏洞的嚴重程度是由廠商自行評定。

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

*** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

核心網路子系統中的權限升級漏洞

核心網路子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8655 A-33358926
上游程式庫核心
Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL 2016 年 10 月 12 日
CVE-2016-9793 A-33363517
上游程式庫核心
Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL 2016 年 12 月 2 日

Qualcomm 輸入硬體驅動程式中的權限升級漏洞

Qualcomm 輸入硬體驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0516 A-32341680*
QC-CR#1096301
Android One、Pixel、Pixel XL 2016 年 10 月 21 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

MediaTek 硬體感測器驅動程式中的權限升級漏洞

MediaTek 硬體感測器驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0517 A-32372051*
M-ALPS02973195
無** 2016 年 10 月 22 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

Qualcomm ADSPRPC 驅動程式中的權限升級漏洞

Qualcomm ADSPRPC 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 9 月 22 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Qualcomm 指紋感應器驅動程式中的權限升級漏洞

Qualcomm 指紋感應器驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0518 A-32370896*
QC-CR#1086530
Pixel、Pixel XL 2016 年 10 月 24 日
CVE-2017-0519 A-32372915*
QC-CR#1086530
Pixel、Pixel XL 2016 年 10 月 24 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Qualcomm 加密引擎驅動程式中的權限升級漏洞

Qualcomm 加密編譯引擎驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0520 A-31750232
QC-CR#1082636
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 9 月 24 日

Qualcomm 相機驅動程式中的權限升級漏洞

Qualcomm 相機驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0458 A-32588962
QC-CR#1089433
Pixel、Pixel XL 2016 年 10 月 31 日
CVE-2017-0521 A-32919951
QC-CR#1097709
Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 11 月 15 日

MediaTek APK 中的權限升級漏洞

MediaTek APK 中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可能會讓本機任意程式碼在獲得授權的程序中執行,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0522 A-32916158*
M-ALPS03032516
無** 2016 年 11 月 15 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。

Qualcomm Wi-Fi 驅動程式中的權限升級漏洞

Qualcomm Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0464 A-32940193
QC-CR#1102593
Nexus 5X、Pixel、Pixel XL 2016 年 11 月 15 日
CVE-2017-0453 A-33979145
QC-CR#1105085
Nexus 5X、Android One 2016 年 12 月 30 日
CVE-2017-0523 A-32835279
QC-CR#1096945
無* Google 內部

* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。

Synaptics 觸控螢幕驅動程式中的權限升級漏洞

Synaptics 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0524 A-33002026 Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL 2016 年 11 月 18 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Qualcomm IPA 驅動程式中的權限升級漏洞

Qualcomm IPA 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0456 A-33106520*
QC-CR#1099598
Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 11 月 23 日
CVE-2017-0525 A-33139056*
QC-CR#1097714
Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 11 月 25 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

HTC 感應器中樞驅動程式中的權限升級漏洞

HTC 感應器中樞驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0526 A-33897738* Nexus 9 2016 年 12 月 25 日
CVE-2017-0527 A-33899318* Nexus 9、Pixel、Pixel XL 2016 年 12 月 25 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

NVIDIA GPU 驅動程式中的權限升級漏洞

NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
無** 2016 年 11 月 28 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

Qualcomm 網路驅動程式中的權限升級漏洞

Qualcomm 網路驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0463 A-33277611
QC-CR#1101792
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 11 月 30 日
CVE-2017-0460 A-31252965*
QC-CR#1098801
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL Google 內部

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

核心安全子系統中的權限升級漏洞

核心安全子系統中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行指令。由於這個問題可能會讓有心人士規避一般的核心層級深度防禦措施或防範攻擊技術,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0528 A-33351919* Pixel、Pixel XL 2016 年 12 月 4 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Qualcomm SPCom 驅動程式中的權限升級漏洞

Qualcomm SPCom 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-5856 A-32610665
QC-CR#1094078
無* Google 內部
CVE-2016-5857 A-34386529
QC-CR#1094140
無* Google 內部

* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。

核心網路子系統中的資訊外洩漏洞

核心網路子系統中的資訊外洩漏洞可能會讓鄰近本機的攻擊者取得機密資訊的存取權。由於這個問題可能導致有心人士在未獲授權的情況下存取資料,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2014-8709 A-34077221
上游程式庫核心
Nexus Player 2014 年 11 月 9 日

MediaTek 驅動程式中的資訊外洩漏洞

MediaTek 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0529 A-28449427*
M-ALPS02710042
無** 2016 年 4 月 27 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

Qualcomm 系統啟動載入程式中的資訊外洩漏洞

Qualcomm 系統啟動載入程式中的資訊外洩漏洞可能會讓本機惡意應用程式更輕易在系統啟動載入程式的環境內執行任何指令。由於這個問題可能會讓有心人士規避一般系統啟動載入程式層級的深度防禦措施或防範攻擊技術,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0455 A-32370952
QC-CR#1082755
Pixel、Pixel XL 2016 年 10 月 21 日

Qualcomm 電源驅動程式中的資訊外洩漏洞

Qualcomm 電源驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8483 A-33745862
QC-CR#1035099
Nexus 5X、Nexus 6P 2016 年 12 月 19 日

NVIDIA GPU 驅動程式中的資訊外洩漏洞

NVIDIA GPU 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
Pixel C 2016 年 11 月 30 日
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
Pixel C Google 內部

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

核心密碼編譯子系統中的拒絕服務漏洞

核心密碼編譯子系統中的拒絕服務漏洞可能會讓遠端攻擊者能利用特製網路封包造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8650 A-33401771
上游程式庫核心
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 10 月 12 日

Qualcomm 相機驅動程式中的權限升級漏洞 (特定裝置)

Qualcomm 相機驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而目前平台的設定可進行防範,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8417 A-32342399
QC-CR#1088824
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 10 月 21 日

Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞

Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0461 A-32073794
QC-CR#1100132
Android One、Nexus 5X、Pixel、Pixel XL 2016 年 10 月 9 日
CVE-2017-0459 A-32644895
QC-CR#1091939
Pixel、Pixel XL 2016 年 11 月 3 日
CVE-2017-0531 A-32877245
QC-CR#1087469
Android One、Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 11 月 13 日

MediaTek 視訊轉碼器驅動程式中的資訊外洩漏洞

MediaTek 視訊轉碼器驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0532 A-32370398*
M-ALPS03069985
無** 2016 年 10 月 22 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞影響。

Qualcomm 視訊驅動程式中的資訊外洩漏洞

Qualcomm 視訊驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0533 A-32509422
QC-CR#1088206
Pixel、Pixel XL 2016 年 10 月 27 日
CVE-2017-0534 A-32508732
QC-CR#1088206
Pixel、Pixel XL 2016 年 10 月 28 日
CVE-2016-8416 A-32510746
QC-CR#1088206
Pixel、Pixel XL 2016 年 10 月 28 日
CVE-2016-8478 A-32511270
QC-CR#1088206
Pixel、Pixel XL 2016 年 10 月 28 日

Qualcomm 相機驅動程式中的資訊外洩漏洞

Qualcomm 相機驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2016-8413 A-32709702
QC-CR#518731
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 11 月 4 日
CVE-2016-8477 A-32720522
QC-CR#1090007 [2]
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 11 月 7 日

HTC 音效轉碼器驅動程式中的資訊外洩漏洞

HTC 音效轉碼器驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0535 A-33547247* Nexus 9 2016 年 12 月 11 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞

Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0536 A-33555878* Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL 2016 年 12 月 12 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

核心 USB 小工具驅動程式中的資訊外洩漏洞

核心 USB 小工具驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0537 A-31614969* Pixel C Google 內部

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

Qualcomm 相機驅動程式中的資訊外洩漏洞

Qualcomm 相機驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「低」。

CVE 參考資料 嚴重程度 更新的 Google 裝置 回報日期
CVE-2017-0452 A-32873615*
QC-CR#1093693
Nexus 5X、Nexus 6P、Android One 2016 年 11 月 10 日

* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

常見問題與解答

如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。

1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?

要瞭解如何查看裝置的安全修補等級,請詳讀 Pixel 和 Nexus 更新時間表中的操作說明。

  • 2017 年 3 月 1 日之後的安全修補等級已解決了所有與 2017-03-01 安全修補等級相關的問題。
  • 2017 年 3 月 5 日之後的安全修補等級完全解決了與 2017-03-05 安全修補等級及所有先前修補等級相關的問題。

提供這些更新的裝置製造商應將修補程式字串等級設定為:

  • [ro.build.version.security_patch]:[2017-03-01]
  • [ro.build.version.security_patch]:[2017-03-05]

2. 為什麼這篇公告有兩種安全性修補程式等級?

本公告有兩種安全性修補程式等級,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全修補等級。

  • 安全修補等級為 2017 年 3 月 1 日的裝置必須納入所有與該安全修補等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。
  • 如果裝置的安全修補等級在 2017 年 3 月 5 日之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。

我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。

3. 如何判斷哪些 Google 裝置會受到哪種問題的影響?

2017-03-012017-03-05 安全性漏洞詳情的章節中,每個表格都包含「更新的 Google 裝置」欄,當中列出已針對各個問題進行更新的受影響 Google 裝置範圍。此欄中的選項包括:

  • 所有 Google 裝置:如果問題會影響到 Pixel 裝置和所有的 Google 裝置,表格內「更新的 Google 裝置」欄中就會標示「全部」字樣。「全部」包含下列支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
  • 部分 Google 裝置:如果問題並未影響到所有 Google 裝置,則「更新的 Google 裝置」欄中會列出受影響的 Google 裝置。
  • 不影響任何 Google 裝置:如果問題不會影響到任何搭載 Android 7.0 的 Google 裝置,表格內「更新的 Google 裝置」欄中就會標示「無」字樣。

4. 參考資料欄中的項目會對應到什麼?

資安漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的公司。這些前置字元代表的意義如下:

前置字元 參考資料
A- Android 錯誤 ID
QC- Qualcomm 參考編號
M- MediaTek 參考編號
N- NVIDIA 參考編號
B- Broadcom 參考編號

修訂版本

  • 2017 年 3 月 6 日:發佈公告。
  • 2017 年 3 月 7 日:修訂公告,加入 AOSP 連結。