發布日期:2017 年 5 月 1 日 | 更新日期:2017 年 10 月 3 日
Android 安全性公告列舉對 Android 裝置造成影響的安全漏洞,並說明相關細節。在這篇公告發布時,Google 已透過無線更新 (OTA) 機制發布 Nexus 裝置的安全性更新。此外,Google 韌體映像檔也已經發布到 Google Developers 網站上。2017 年 5 月 5 日之後的安全性修補程式等級已解決了這些問題。請參閱 Pixel 與 Nexus 更新時間表,瞭解如何查看裝置的安全性修補程式等級。
我們已在 2017 年 4 月 3 日以前向合作夥伴通知本公告中提到的問題。這些問題的原始碼修補程式已發布到 Android 開放原始碼計畫 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計畫以外的修補程式連結。
在這些問題中,最嚴重的就是「最高」等級的安全漏洞。當系統處理媒體檔案時,攻擊者可利用這類漏洞透過電子郵件、網頁瀏覽活動和多媒體訊息等方式,在受影響的裝置上執行遠端程式碼。嚴重程度評定標準是假設平台與服務的資安因應措施因開發需求而關閉或遭人規避,然後推估有人運用安全漏洞攻擊時,裝置會受到多大影響,據此判定漏洞嚴重程度。
目前還沒有客戶指出這些新的安全漏洞遭到攻擊或濫用。如果想進一步瞭解 Android 安全性平台防護措施和 SafetyNet 等服務防護措施如何加強 Android 平台的安全性,請參閱「Android 和 Google 服務的資安因應措施」一節。
我們建議所有客戶接受這些裝置更新。
公告事項
- 本公告納入兩種安全性修補程式等級字串,方便 Android 合作夥伴靈活運用,快速修正某些發生在所有 Android 裝置上的類似安全漏洞。如需其他資訊,請參閱「常見問題與解答」一節:
- 2017-05-01:部分安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-05-01 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。
- 2017-05-05:完整安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-05-01 和 2017-05-05 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。
- 支援的 Google 裝置會收到一項 OTA 更新,安全性修補程式等級為 2017 年 5 月 5 日。
Android 和 Google 服務的資安因應措施
本節概述 Android 安全性平台和 SafetyNet 等服務防護方案提供的因應措施。此類措施可降低有心人士運用安全漏洞攻擊 Android 系統的風險。
- Android 平台持續推出新的版本強化安全性,因此有心人士越來越難在 Android 系統發動漏洞攻擊。我們建議所有使用者盡可能更新至最新版 Android。
- Android 安全性團隊採用驗證應用程式和 SafetyNet 主動監控濫用情形,並向使用者警示可能有害的應用程式。搭載 Google 行動服務的裝置預設會啟用驗證應用程式。使用者如果不是從 Google Play 安裝應用程式,這項防護措施格外重要。雖然 Google Play 禁止發布任何可獲取裝置 Root 權限的工具,但是當驗證應用程式偵測到使用者嘗試安裝這類應用程式時,無論來源為何,都會發出警告。此外,驗證應用程式會設法找出利用權限提升漏洞的已知惡意應用程式,並封鎖這類應用程式的安裝程序。如果使用者已安裝這類應用程式,驗證應用程式會通知使用者並嘗試移除偵測到的應用程式。
- 在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。
特別銘謝
感謝以下研究人員做出的貢獻:
- ADlab of Venustech:CVE-2017-0630
- 騰訊科恩實驗室 (@keen_lab) 的 Di Shen (@returnsme):CVE-2016-10287
- 趨勢科技的 Ecular Xu (徐健):CVE-2017-0599、CVE-2017-0635
- MS509Team 的 En He (@heeeeen4x) 和 Bo Liu:CVE-2017-0601
- Team Win Recovery Project 的 Ethan Yonker:CVE-2017-0493
- 奇虎 360 科技有限公司冰刃實驗室的 Gengjia Chen (@chengjia4574) 和 pjf:CVE-2016-10285、CVE-2016-10288、CVE-2016-10290、CVE-2017-0624、CVE-2017-0616、CVE-2017-0617、CVE-2016-10294、CVE-2016-10295、CVE-2016-10296
- 騰訊電腦管理員 godzheng (鄭文選 @VirtualSeekers):CVE-2017-0602
- 伊利諾大學厄巴納香檳分校的 Güliz Seray Tuncay:CVE-2017-0593
- 奇虎 360 科技有限公司 Alpha 團隊成員 Hao Chen 和 Guang Gong:CVE-2016-10283
- 小米科技的 Juhu Nie、Yang Cheng、Nan Li 和 Qiwu Huang:CVE-2016-10276
- Michał Bednarski:CVE-2017-0598
- 特斯拉產品安全團隊的 Nathan Crandall (@natecray):CVE-2017-0331、CVE-2017-0606
- Niky1235 (@jiych_guru):CVE-2017-0603
- 阿里巴巴行動安全團隊的 Peng Xiao、Chengming Yang、Ning You、Chao Yang 和 Yang song:CVE-2016-10281、CVE-2016-10280
- Aleph 研究部門的 Roee Hay (@roeehay):CVE-2016-10277
- Scott Bauer (@ScottyBauer1):CVE-2016-10274
- C0RE 團隊成員 Tong Lin、Yuan-Tsung Lo 和 Xuxian Jiang:CVE-2016-10291
- Vasily Vasiliev:CVE-2017-0589
- 趨勢科技行動威脅研究團隊成員 V.E.O (@VYSEa):CVE-2017-0590、CVE-2017-0587、CVE-2017-0600
- 騰訊安全平台部門成員 Xiling Gong:CVE-2017-0597
- 360 Marvel Team 成員 Xingyuan Lin:CVE-2017-0627
- 阿里巴巴的 Yong Wang (王勇) (@ThomasKing2014):CVE-2017-0588
- 奇虎 360 科技有限公司 IceSword 實驗室的 Yonggang Guo (@guoygang):CVE-2016-10289、CVE-2017-0465
- 奇虎 360 科技有限公司 Vulpecker 團隊成員 Yu Pan:CVE-2016-10282、CVE-2017-0615
- 奇虎 360 科技有限公司 Vulpecker 團隊成員 Yu Pan 和 Peide Zhang:CVE-2017-0618、CVE-2017-0625
2017-05-01 安全性修補程式等級 - 資安漏洞詳情
下列各節詳細說明 2017-05-01 安全性修補程式等級適用的安全漏洞。包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,當中說明漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置和回報日期。在適用情況下,我們也會附上更新的 Android 開放原始碼計畫版本。假如有公開變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
媒體伺服器中的遠端程式碼執行漏洞
在媒體檔案和資料的處理期間,媒體伺服器中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0587 | A-35219737 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 4 日 |
CVE-2017-0588 | A-34618607 | 最高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 21 日 |
CVE-2017-0589 | A-34897036 | 最高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 1 日 |
CVE-2017-0590 | A-35039946 | 最高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 6 日 |
CVE-2017-0591 | A-34097672 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | Google 內部資訊 |
CVE-2017-0592 | A-34970788 | 最高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | Google 內部資訊 |
Framework API 中的權限升級漏洞
Framework API 中的權限提升漏洞可能會讓本機惡意應用程式取得某些自訂權限。為隔離不同應用程式間的資料,作業系統會有多項防護機制。由於這種攻擊通常可規避這類防護機制,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0593 | A-34114230 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 5 日 |
媒體伺服器中的權限升級漏洞
媒體伺服器中的權限提升漏洞可能會讓本機惡意應用程式在具有特殊權限的程序環境內執行任何程式碼。由於有心人士可利用這個漏洞來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0594 | A-34617444 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 22 日 |
CVE-2017-0595 | A-34705519 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 24 日 |
CVE-2017-0596 | A-34749392 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 24 日 |
音訊伺服器中的權限升級漏洞
音訊伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於有心人士可利用這個漏洞來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0597 | A-34749571 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 25 日 |
Framework API 中的資訊外洩漏洞
為隔離不同應用程式間的資料,作業系統會有多項防護機制。Framework API 中的資訊外洩漏洞可能會讓本機惡意應用程式規避這類防護機制。由於有心人士可利用這個漏洞取得應用程式無法存取的資料,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0598 | A-34128677 [2] | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 6 日 |
媒體伺服器中的阻斷服務漏洞
媒體伺服器中的遠端阻斷服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端阻斷服務,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0599 | A-34672748 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 23 日 |
CVE-2017-0600 | A-35269635 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 10 日 |
藍牙中的權限提升漏洞
藍牙中的權限提升安全漏洞,可能會讓本機惡意應用程式不必取得使用者授權,也能接受透過藍牙分享的有害檔案。由於這個問題可能會讓有心人士規避本機的使用者互動要求,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0601 | A-35258579 | 中 | 全部 | 7.0、7.1.1、7.1.2 | 2017 年 2 月 9 日 |
檔案型加密機制中的資訊外洩安全漏洞
檔案型加密機制中的資訊外洩安全漏洞,可能會讓本機惡意攻擊者得以規避作業系統的螢幕鎖定防護機制。由於這個問題可能會用於規避螢幕鎖定機制,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0493 | A-32793550 [2] [3] | 中 | 全部 | 7.0、7.1.1 | 2016 年 11 月 9 日 |
藍牙的資訊外洩漏洞
藍牙的資訊外洩漏洞可能會讓本機惡意應用程式規避作業系統為了將應用程式資料與其他應用程式隔離而採取的防護措施。由於這個問題涉及了關於這個漏洞的特定狀況,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0602 | A-34946955 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 12 月 5 日 |
OpenSSL 和 BoringSSL 中的資訊外洩漏洞
OpenSSL 和 BoringSSL 中的資訊外洩漏洞可能會讓遠端攻擊者取得機密資訊的存取權。由於這個問題涉及了關於這個漏洞的特定狀況,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2016-7056 | A-33752052 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 12 月 19 日 |
媒體伺服器中的阻斷服務漏洞
媒體伺服器中的阻斷服務安全漏洞,可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這種攻擊必須透過罕見的裝置設定才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0603 | A-35763994 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 23 日 |
媒體伺服器中的阻斷服務漏洞
媒體伺服器中的遠端阻斷服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題涉及了關於這個漏洞的特定狀況,因此嚴重程度被評定為「低」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0635 | A-35467107 | 低 | 全部 | 7.0、7.1.1、7.1.2 | 2017 年 2 月 16 日 |
2017-05-05 安全性修補程式等級 - 資安漏洞詳情
下列各節針對 2017-05-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,當中說明漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置和回報日期。在適用情況下,我們也會附上更新的 Android 開放原始碼計畫版本。假如有公開變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
GIFLIB 中的遠端程式碼執行漏洞
在媒體檔案和資料的處理期間,GIFLIB 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2015-7555 | A-34697653 | 最高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 4 月 13 日 |
MediaTek 觸控螢幕驅動程式中的權限提升安全漏洞
聯發科技觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10274 | A-30202412* M-ALPS02897901 |
最高 | 無** | 2016 年 7 月 16 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 系統啟動載入程式中的權限升級漏洞
Qualcomm 系統啟動載入程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10275 | A-34514954 QC-CR#1009111 |
最高 | Nexus 5X、Nexus 6、Pixel、Pixel XL、Android One | 2016 年 9 月 13 日 |
CVE-2016-10276 | A-32952839 QC-CR#1094105 |
最高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 11 月 16 日 |
核心音效子系統中的權限升級漏洞
核心音效子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-9794 | A-34068036 上游程式庫核心 |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2016 年 12 月 3 日 |
Motorola 系統啟動載入程式中的權限升級漏洞
Motorola 系統啟動載入程式中的權限升級漏洞可能會讓本機惡意應用程式在系統啟動載入程式環境內執行任何指令。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10277 | A-33840490* |
最高 | Nexus 6 | 2016 年 12 月 21 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
NVIDIA 視訊驅動程式中的權限升級漏洞
NVIDIA 視訊驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
最高 | Nexus 9 | 2017 年 1 月 4 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 電源驅動程式中的權限升級漏洞
核心 Qualcomm 電源驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0604 | A-35392981 QC-CR#826589 |
最高 | 無* | 2017 年 2 月 15 日 |
* 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 元件中的漏洞
以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考 2016 年 8 月、9 月、10 月和 12 月的 Qualcomm AMSS 安全性公告。
CVE | 參考資料 | 嚴重程度* | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10240 | A-32578446** QC-CR#955710 |
最高 | Nexus 6P | Qualcomm 內部資訊 |
CVE-2016-10241 | A-35436149** QC-CR#1068577 |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL | Qualcomm 內部資訊 |
CVE-2016-10278 | A-31624008** QC-CR#1043004 |
高 | Pixel、Pixel XL | Qualcomm 內部資訊 |
CVE-2016-10279 | A-31624421** QC-CR#1031821 |
高 | Pixel、Pixel XL | Qualcomm 內部資訊 |
* 這些漏洞的嚴重程度是由廠商自行評定。
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
libxml2 中的遠端程式碼執行漏洞
libxml2 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案在未獲授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在使用這個程式庫的應用程式中執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2016-5131 | A-32956747* | 高 | 無** | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | 2016 年 7 月 23 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
聯發科技熱能感知驅動程式中的權限升級漏洞
聯發科技熱能感知驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10280 | A-28175767* M-ALPS02696445 |
高 | 無** | 2016 年 4 月 11 日 |
CVE-2016-10281 | A-28175647* M-ALPS02696475 |
高 | 無** | 2016 年 4 月 11 日 |
CVE-2016-10282 | A-33939045* M-ALPS03149189 |
高 | 無** | 2016 年 12 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞
Qualcomm Wi-Fi 驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10283 | A-32094986 QC-CR#2002052 |
高 | Nexus 5X、Pixel、Pixel XL、Android One | 2016 年 10 月 11 日 |
Qualcomm 視訊驅動程式中的權限升級漏洞
Qualcomm 視訊驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10284 | A-32402303* QC-CR#2000664 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 10 月 24 日 |
CVE-2016-10285 | A-33752702 QC-CR#1104899 |
高 | Pixel、Pixel XL | 2016 年 12 月 19 日 |
CVE-2016-10286 | A-35400904 QC-CR#1090237 |
高 | Pixel、Pixel XL | 2017 年 2 月 15 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心效能子系統中的權限升級漏洞
核心效能子系統中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2015-9004 | A-34515362 上游程式庫核心 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2016 年 11 月 23 日 |
Qualcomm 音效驅動程式中的權限升級漏洞
Qualcomm 音效驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10287 | A-33784446 QC-CR#1112751 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 20 日 |
CVE-2017-0606 | A-34088848 QC-CR#1116015 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 3 日 |
CVE-2016-5860 | A-34623424 QC-CR#1100682 |
高 | Pixel、Pixel XL | 2017 年 1 月 22 日 |
CVE-2016-5867 | A-35400602 QC-CR#1095947 |
高 | 無* | 2017 年 2 月 15 日 |
CVE-2017-0607 | A-35400551 QC-CR#1085928 |
高 | Pixel、Pixel XL | 2017 年 2 月 15 日 |
CVE-2017-0608 | A-35400458 QC-CR#1098363 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
CVE-2017-0609 | A-35399801 QC-CR#1090482 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
CVE-2016-5859 | A-35399758 QC-CR#1096672 |
高 | 無* | 2017 年 2 月 15 日 |
CVE-2017-0610 | A-35399404 QC-CR#1094852 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
CVE-2017-0611 | A-35393841 QC-CR#1084210 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
CVE-2016-5853 | A-35392629 QC-CR#1102987 |
高 | 無* | 2017 年 2 月 15 日 |
* 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm LED 驅動程式中的權限升級漏洞
Qualcomm LED 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10288 | A-33863909 QC-CR#1109763 |
高 | Pixel、Pixel XL | 2016 年 12 月 23 日 |
Qualcomm 加密編譯驅動程式中的權限升級漏洞
Qualcomm 加密編譯驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10289 | A-33899710 QC-CR#1116295 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 24 日 |
Qualcomm 共用記憶體驅動程式中的權限升級漏洞
Qualcomm 共用記憶體驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10290 | A-33898330 QC-CR#1109782 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 24 日 |
Qualcomm Slimbus 驅動程式中的權限升級漏洞
Qualcomm Slimbus 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10291 | A-34030871 QC-CR#986837 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One | 2016 年 12 月 31 日 |
Qualcomm ADSPRPC 驅動程式中的權限升級漏洞
Qualcomm ADSPRPC 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0465 | A-34112914 QC-CR#1110747 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 5 日 |
Qualcomm 安全執行環境通訊工具驅動程式中的權限升級漏洞
Qualcomm 安全執行環境通訊工具驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0612 | A-34389303 QC-CR#1061845 |
高 | Pixel、Pixel XL | 2017 年 1 月 10 日 |
CVE-2017-0613 | A-35400457 QC-CR#1086140 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
CVE-2017-0614 | A-35399405 QC-CR#1080290 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
聯發科技電源驅動程式中的權限升級漏洞
聯發科技電源驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0615 | A-34259126* M-ALPS03150278 |
高 | 無** | 2017 年 1 月 12 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
聯發科技系統管理中斷驅動程式中的權限升級漏洞
聯發科技系統管理中斷驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0616 | A-34470286* M-ALPS03149160 |
高 | 無** | 2017 年 1 月 19 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
聯發科技視訊驅動程式中的權限升級漏洞
聯發科技視訊驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0617 | A-34471002* M-ALPS03149173 |
高 | 無** | 2017 年 1 月 19 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
聯發科技指令佇列驅動程式中的權限升級漏洞
聯發科技指令佇列驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0618 | A-35100728* M-ALPS03161536 |
高 | 無** | 2017 年 2 月 7 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 腳位控制器驅動程式中的權限升級漏洞
Qualcomm 腳位控制器驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0619 | A-35401152 QC-CR#826566 |
高 | Nexus 6、Android One | 2017 年 2 月 15 日 |
Qualcomm 安全連線管理員驅動程式中的權限升級漏洞
Qualcomm 安全連線管理員驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0620 | A-35401052 QC-CR#1081711 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm 音訊轉碼器驅動程式中的權限升級漏洞
Qualcomm 音訊轉碼器驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5862 | A-35399803 QC-CR#1099607 |
高 | Pixel、Pixel XL | 2017 年 2 月 15 日 |
核心穩壓器驅動程式中的權限升級漏洞
核心穩壓器驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2014-9940 | A-35399757 上游程式庫核心 |
高 | Nexus 6、Nexus 9、Pixel C、Android One、Nexus Player | 2017 年 2 月 15 日 |
Qualcomm 相機驅動程式中的權限升級漏洞
Qualcomm 相機驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0621 | A-35399703 QC-CR#831322 |
高 | Android One | 2017 年 2 月 15 日 |
Qualcomm 網路驅動程式中的權限升級漏洞
Qualcomm 網路驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5868 | A-35392791 QC-CR#1104431 |
高 | Nexus 5X、Pixel、Pixel XL | 2017 年 2 月 15 日 |
核心網路子系統中的權限升級漏洞
核心網路子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-7184 | A-36565222 上游程式庫核心 [2] |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Android One | 2017 年 3 月 23 日 |
Goodix 觸控螢幕驅動程式中的權限升級漏洞
Goodix 觸控螢幕驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0622 | A-32749036 QC-CR#1098602 |
高 | Android One | Google 內部資訊 |
HTC 開機載入器中的權限升級漏洞
HTC 系統啟動載入程式中的權限提升漏洞可能會讓本機惡意應用程式在系統啟動載入程式環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0623 | A-32512358* |
高 | Pixel、Pixel XL | Google 內部資訊 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞
Qualcomm Wi-Fi 驅動程式中的資訊外洩安全漏洞,可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0624 | A-34327795* QC-CR#2005832 |
高 | Nexus 5X、Pixel、Pixel XL | 2017 年 1 月 16 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
聯發科技命令佇列驅動程式中的資訊外洩漏洞
聯發科技命令佇列驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0625 | A-35142799* M-ALPS03161531 |
高 | 無** | 2017 年 2 月 8 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 加密編譯引擎驅動程式中的資訊外洩漏洞
Qualcomm 加密編譯引擎驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0626 | A-35393124 QC-CR#1088050 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm Wi-Fi 驅動程式中的阻斷服務漏洞
Qualcomm Wi-Fi 驅動程式中的阻斷服務漏洞可能會讓鄰近的攻擊者在 Wi-Fi 子系統中造成阻斷服務。由於這個問題可能會造成遠端阻斷服務,因此嚴重程度評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10292 | A-34514463* QC-CR#1065466 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 12 月 16 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心 UVC 驅動程式中的資訊外洩漏洞
核心 UVC 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0627 | A-33300353* |
中 | Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 12 月 2 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 視訊驅動程式中的資訊外洩漏洞
Qualcomm 視訊驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10293 | A-33352393 QC-CR#1101943 |
中 | Nexus 5X、Nexus 6P、Android One | 2016 年 12 月 4 日 |
Qualcomm 電源驅動程式中的資訊外洩漏洞 (特定裝置)
Qualcomm 電源驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10294 | A-33621829 QC-CR#1105481 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 14 日 |
Qualcomm LED 驅動程式中的資訊外洩漏洞
Qualcomm LED 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10295 | A-33781694 QC-CR#1109326 |
中 | Pixel、Pixel XL | 2016 年 12 月 20 日 |
Qualcomm 共用記憶體驅動程式中的資訊外洩漏洞
Qualcomm 共用記憶體驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-10296 | A-33845464 QC-CR#1109782 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 22 日 |
Qualcomm 相機驅動程式中的資訊外洩漏洞
Qualcomm 相機驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0628 | A-34230377 QC-CR#1086833 |
中 | Nexus 5X、Nexus 6、Pixel、Pixel XL | 2017 年 1 月 10 日 |
CVE-2017-0629 | A-35214296 QC-CR#1086833 |
中 | Nexus 5X、Nexus 6、Pixel、Pixel XL | 2017 年 2 月 8 日 |
核心追蹤子系統中的資訊外洩漏洞
核心追蹤子系統中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0630 | A-34277115* |
中 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2017 年 1 月 11 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 音效轉碼器驅動程式中的資訊外洩漏洞
Qualcomm 音效轉碼器驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
中 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm 相機驅動程式中的資訊外洩漏洞
Qualcomm 相機驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0631 | A-35399756 QC-CR#1093232 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm 音效驅動程式中的資訊外洩漏洞
Qualcomm 音效驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5347 | A-35394329 QC-CR#1100878 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm SPCom 驅動程式中的資訊外洩漏洞
Qualcomm SPCom 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5854 | A-35392792 QC-CR#1092683 |
中 | 無* | 2017 年 2 月 15 日 |
CVE-2016-5855 | A-35393081 QC-CR#1094143 |
中 | 無* | 2017 年 2 月 15 日 |
* 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 音效轉碼器驅動程式中的資訊外洩漏洞
Qualcomm 音效轉碼器驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0632 | A-35392586 QC-CR#832915 |
中 | Android One | 2017 年 2 月 15 日 |
Broadcom Wi-Fi 驅動程式中的資訊外洩漏洞
博通 Wi-Fi 驅動程式中的資訊外洩漏洞可能會讓本機元件存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0633 | A-36000515* B-RB#117131 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 2 月 23 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Synaptics 觸控螢幕驅動程式中的資訊外洩安全漏洞
Synaptics 觸控螢幕驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0634 | A-32511682* |
中 | Pixel、Pixel XL | Google 內部資訊 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 元件中的漏洞
以下列出會影響 Qualcomm 元件的安全漏洞,詳情請參考 2014 至 2016 年之間發布的 Qualcomm AMSS 安全性公告。我們在這個 Android 安全性公告中列出這些漏洞,方便使用者確認漏洞修正程式及其相對應的 Android 安全性修補程式等級。
CVE | 參考資料 | 嚴重程度* | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2014-9923 | A-35434045** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9924 | A-35434631** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9925 | A-35444657** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9926 | A-35433784** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9927 | A-35433785** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9928 | A-35438623** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9929 | A-35443954** QC-CR#644783 |
最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9930 | A-35432946** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2015-9005 | A-36393500** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2015-9006 | A-36393450** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2015-9007 | A-36393700** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2016-10297 | A-36393451** | 最高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9941 | A-36385125** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9942 | A-36385319** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9943 | A-36385219** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9944 | A-36384534** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9945 | A-36386912** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9946 | A-36385281** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9947 | A-36392400** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9948 | A-36385126** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9949 | A-36390608** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9950 | A-36385321** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9951 | A-36389161** | 高 | 無*** | Qualcomm 內部資訊 |
CVE-2014-9952 | A-36387019** | 高 | 無*** | Qualcomm 內部資訊 |
* 這些漏洞的嚴重程度是由廠商自行評定。
** 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
*** 如果是搭載 Android 7.1.1 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
請參閱 Pixel 與 Nexus 更新時間表中的說明,瞭解如何查看裝置的安全性修補程式等級。
- 2017-05-01 之後的安全性修補程式等級解決了所有與 2017-05-01 安全性修補程式等級相關的問題。
- 2017-05-05 之後的安全性修補程式等級解決了 2017-05-05 安全性修補程式等級以前的所有相關問題。
提供這些更新的裝置製造商應將修補程式字串等級設定為:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. 為什麼這篇公告有兩種安全性修補程式等級?
本公告納入兩種安全性修補程式等級,可以方便 Android 合作夥伴靈活運用,快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全性修補程式等級。
- 安全性修補程式等級為 2017 年 5 月 1 日的裝置必須納入所有與該安全性修補程式等級相關的問題,以及先前的安全性公告中列出的所有問題適用的修正程式。
- 如果裝置的安全性修補程式等級在 2017 年 5 月 5 日之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。
我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。
3. 如何判斷哪些 Google 裝置會受到哪種問題的影響?
在 2017-05-01 和 2017-05-05 安全漏洞詳情章節中,每個表格都會有「更新的 Google 裝置」欄,當中列出受各個問題影響而需要更新的 Google 裝置範圍。此欄的內容可分為:
- 所有 Google 裝置:如果問題會影響到「全部」和 Pixel 裝置,表格內「更新的 Google 裝置」欄中就會標示「全部」字樣。「全部」包含下列支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
- 部分 Google 裝置:如果問題並未影響所有 Google 裝置,「更新的 Google 裝置」欄中會列出受影響的 Google 裝置。
- 不影響任何 Google 裝置:如果問題不會影響任何搭載 Android 7.0 的 Google 裝置,表格內「更新的 Google 裝置」欄中就會標示「無」字樣。
4.「參考資料」欄底下列出的識別碼代表什麼意義?
在安全漏洞詳情表格中,「參考資料」欄底下的項目可能會包含一個前置字串,表示該參考資料值所屬的機構。這些前置字串代表的意義如下:
前置字串 | 參考資料 |
---|---|
A- | Android 錯誤 ID |
QC- | Qualcomm 參考編號 |
M- | MediaTek 參考編號 |
N- | NVIDIA 參考編號 |
B- | Broadcom 參考編號 |
修訂版本
- 2017 年 5 月 1 日:發布公告。
- 2017 年 5 月 2 日:修訂公告內容 (加入 Android 開放原始碼計畫連結)。
- 2017 年 8 月 10 日:修訂公告內容 (加入 CVE-2017-0493 的其他 Android 開放原始碼計畫連結)。
- 2017 年 8 月 17 日:修訂公告內容 (更新參考編號清單)。
- 2017 年 10 月 3 日:修訂公告內容 (移除 CVE-2017-0605)。