กระดานข่าวความปลอดภัยของ Android—พฤษภาคม 2017

Published พฤษภาคม 01, 2017 | อัพเดทเมื่อ 03 ตุลาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 05 พฤษภาคม 2017 หรือใหม่กว่า จะช่วยแก้ปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 3 เมษายน 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังโปรแกรมแก้ไขภายนอก AOSP

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2017-05-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-05-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2017-05-05 : กรอกสตริงระดับแพตช์ความปลอดภัยให้สมบูรณ์ สตริงระดับโปรแกรมปรับปรุงความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-05-01 และ 2017-05-05 (และสตริงระดับโปรแกรมแก้ไขความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 พฤษภาคม 2017

การบรรเทาปัญหาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมความปลอดภัยของ Android ตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใด นอกจากนี้ Verify Apps จะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว การตรวจสอบแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
  • ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

  • ADlab ของ Venustech: CVE-2017-0630
  • Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-10287
  • Ecular Xu (徐健) ของ Trend Micro: CVE-2017-0599, CVE-2017-0635
  • En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team : CVE-2017-0601
  • Ethan Yonker จาก Team Win Recovery Project : CVE-2017-0493
  • Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE -2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
  • godzheng (郑文选@VirtualSeekers ) จาก Tencent PC Manager: CVE-2017-0602
  • Güliz Seray Tuncay จาก มหาวิทยาลัยอิลลินอยส์ Urbana-Champaign : CVE-2017-0593
  • Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
  • Juhu Nie, Yang Cheng, Nan Li และ Qiwu Huang จาก Xiaomi Inc: CVE-2016-10276
  • มิชาล เบดนาร์สกี้ : CVE- 2017-0598
  • Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla: CVE-2017-0331, CVE-2017-0606
  • Niky1235 ( @jiych_guru ): CVE-2017-0603
  • เพลง Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang ของ Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
  • Roee Hay ( @roeehay ) จาก Aleph Research : CVE-2016-10277
  • สก็อตต์ บาวเออ ร์ ( @ScottyBauer1 ): CVE-2016-10274
  • Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก C0RE Team : CVE-2016-10291
  • Vasily Vasiliev: CVE-2017-0589
  • VEO ( @VYSEa ) จาก Mobile Threat Response Team , Trend Micro : CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
  • Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent: CVE-2017-0597
  • Xingyuan Lin จาก 360 Marvel Team: CVE-2017-0627
  • Yong Wang (王勇) ( @ThomasKing2014 ) แห่ง Alibaba Inc: CVE-2017-0588
  • Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
  • Yu Pan จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
  • Yu Pan และ Peide Zhang จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625

2017-05-01 ระดับแพตช์ความปลอดภัย-รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-05-01 มีคำอธิบายของปัญหา เหตุผลความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตาม ID จุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0587 A-35219737 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 4 ม.ค. 2017
CVE-2017-0588 A-34618607 วิกฤต ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 21 ม.ค. 2017
CVE-2017-0589 A-34897036 วิกฤต ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 1 ก.พ. 2017
CVE-2017-0590 A-35039946 วิกฤต ทั้งหมด 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 ก.พ. 2017
CVE-2017-0591 A-34097672 วิกฤต ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Google ภายใน
CVE-2017-0592 A-34970788 วิกฤต ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Google ภายใน

การยกระดับช่องโหว่ของสิทธิ์ใน Framework APIs

ช่องโหว่การยกระดับสิทธิ์ใน Framework APIs อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงสิทธิ์ที่กำหนดเองได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0593 A-34114230 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 ม.ค. 2017

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver

การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0594 A-34617444 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 22 ม.ค. 2017
CVE-2017-0595 A-34705519 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 ม.ค. 2017
CVE-2017-0596 A-34749392 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 ม.ค. 2017

การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver

การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0597 A-34749571 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 25 ม.ค. 2017

ช่องโหว่การเปิดเผยข้อมูลใน Framework APIs

ช่องโหว่ในการเปิดเผยข้อมูลใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงผ่านการป้องกันของระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0598 A-34128677 [ 2 ] สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 ม.ค. 2017

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทที่มีความรุนแรงสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0599 A-34672748 สูง ทั้งหมด 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 ม.ค. 2017
CVE-2017-0600 A-35269635 สูง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 10 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิ์ใน Bluetooth

ช่องโหว่ Elevation of Privilege ใน Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องยอมรับไฟล์อันตรายที่แชร์ผ่าน Bluetooth โดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากการข้ามระบบภายในของข้อกำหนดการโต้ตอบกับผู้ใช้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0601 A-35258579 ปานกลาง ทั้งหมด 7.0, 7.1.1, 7.1.2 9 ก.พ. 2017

ช่องโหว่การเปิดเผยข้อมูลในการเข้ารหัสตามไฟล์

ช่องโหว่ในการเปิดเผยข้อมูลใน File-Based Encryption อาจทำให้ผู้โจมตีที่เป็นอันตรายในพื้นที่สามารถเลี่ยงการป้องกันระบบปฏิบัติการสำหรับหน้าจอล็อกได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากมีความเป็นไปได้ที่จะข้ามหน้าจอเมื่อล็อกได้

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0493 A-32793550 [ 2 ] [ 3 ] ปานกลาง ทั้งหมด 7.0, 7.1.1 9 พ.ย. 2559

ช่องโหว่การเปิดเผยข้อมูลใน Bluetooth

ช่องโหว่ในการเปิดเผยข้อมูลใน Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากรายละเอียดเฉพาะของช่องโหว่

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0602 A-34946955 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 ธ.ค. 2559

ช่องโหว่การเปิดเผยข้อมูลใน OpenSSL & BoringSSL

ช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL & BoringSSL อาจทำให้ผู้โจมตีจากระยะไกลเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากรายละเอียดเฉพาะของช่องโหว่

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-7056 A-33752052 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 19 ธ.ค. 2559

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0603 A-35763994 ปานกลาง ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 ก.พ. 2017

การปฏิเสธช่องโหว่ของบริการใน Mediaserver

ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นต่ำเนื่องจากรายละเอียดเฉพาะของช่องโหว่

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2017-0635 A-35467107 ต่ำ ทั้งหมด 7.0, 7.1.1, 7.1.2 16 ก.พ. 2017

2017-05-05 ระดับแพตช์ความปลอดภัย-รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-05-05 มีคำอธิบายของปัญหา เหตุผลความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตาม ID จุดบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน GIFLIB

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน GIFLIB อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2015-7555 A-34697653 วิกฤต ทั้งหมด 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 13 เมษายน 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส MediaTek

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10274 A-30202412*
M-ALPS02897901
วิกฤต ไม่มี** 16 ก.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader

การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10275 A-34514954
QC-CR#1009111
วิกฤต Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One 13 ก.ย. 2559
CVE-2016-10276 A-32952839
QC-CR#1094105
วิกฤต Nexus 5X, Nexus 6P, Pixel, Pixel XL 16 พ.ย. 2559

การยกระดับช่องโหว่ของระบบย่อยเสียงเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-9794 A-34068036
ต้นน้ำเคอร์เนล
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 3 ธ.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ใน Motorola bootloader

การยกระดับช่องโหว่ของสิทธิ์พิเศษใน Motorola bootloader สามารถเปิดใช้งานแอพพลิเคชั่นที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของ bootloader ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10277 A-33840490*
วิกฤต Nexus 6 21 ธ.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอ NVIDIA

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
วิกฤต Nexus 9 4 ม.ค. 2017

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมพลังงานของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนลไดรเวอร์พลังงานของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2017-0604 A-35392981
QC-CR#826589
วิกฤต ไม่มี* 15 ก.พ. 2017

* อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ในส่วนประกอบ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS ในเดือนสิงหาคม กันยายน ตุลาคม และธันวาคม 2559

CVE อ้างอิง ความรุนแรง* อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10240 A-32578446**
QC-CR#955710
วิกฤต Nexus 6P Qualcomm ภายใน
CVE-2016-10241 A-35436149**
QC-CR#1068577
วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL Qualcomm ภายใน
CVE-2016-10278 A-31624008**
QC-CR#1043004
สูง Pixel, Pixel XL Qualcomm ภายใน
CVE-2016-10279 A-3624421**
QC-CR#1031821
สูง Pixel, Pixel XL Qualcomm ภายใน

* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libxml2

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libxml2 อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต อัปเดตเวอร์ชัน AOSP วันที่รายงาน
CVE-2016-5131 A-32956747* สูง ไม่มี** 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 กรกฎาคม 2016

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมความร้อน MediaTek

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ระบายความร้อน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10280 A-28175767*
M-ALPS02696445
สูง ไม่มี** 11 เม.ย. 2559
CVE-2016-10281 A-28175647*
M-ALPS02696475
สูง ไม่มี** 11 เม.ย. 2559
CVE-2016-10282 A-33939045*
M-ALPS03149189
สูง ไม่มี** 27 ธ.ค. 2559

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10283 A-32094986
QC-CR#2002052
สูง Nexus 5X, Pixel, Pixel XL, Android One 11 ต.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10284 A-32402303*
QC-CR#2000664
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 24 ต.ค. 2559
CVE-2016-10285 A-33752702
QC-CR#1104899
สูง Pixel, Pixel XL 19 ธ.ค. 2559
CVE-2016-10286 A-35400904
QC-CR#1090237
สูง Pixel, Pixel XL 15 ก.พ. 2017

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

การเพิ่มช่องโหว่ของระบบย่อยประสิทธิภาพของเคอร์เนล

ช่องโหว่ของการยกระดับสิทธิ์ในระบบย่อยประสิทธิภาพของเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2015-9004 A-34515362
ต้นน้ำเคอร์เนล
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 23 พ.ย. 2559

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อุปกรณ์ Google ที่อัปเดต วันที่รายงาน
CVE-2016-10287 A-33784446
QC-CR#1112751
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 20 ธ.ค. 2559
CVE-2017-0606 A-34088848
QC-CR#1116015
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 3 ม.ค. 2017
CVE-2016-5860 A-34623424
QC-CR#1100682
สูง Pixel, Pixel XL 22 ม.ค. 2017
CVE-2016-5867 A-35400602
QC-CR#1095947
สูง ไม่มี* 15 ก.พ. 2017
CVE-2017-0607 A-35400551
QC-CR#1085928
สูง Pixel, Pixel XL 15 ก.พ. 2017
CVE-2017-0608 A-35400458
QC-CR#1098363
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017
CVE-2017-0609 A-35399801
QC-CR#1090482
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017
CVE-2016-5859 A-35399758
QC-CR#1096672
สูง ไม่มี* 15 ก.พ. 2017
CVE-2017-0610 A-35399404
QC-CR#1094852
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017
CVE-2017-0611 A-35393841
QC-CR#1084210
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017
CVE-2016-5853 A-35392629
QC-CR#1102987
สูง ไม่มี* 15 ก.พ. 2017

* อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm LED

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm LED อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10288 A-33863909
QC-CR#1109763
สูง Pixel, Pixel XL 23 ธ.ค. 2559

การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมการเข้ารหัสลับของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์การเข้ารหัสลับของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10289 A-33899710
QC-CR#1116295
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 24 ธ.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมหน่วยความจำที่ใช้ร่วมกันของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10290 A-33898330
QC-CR#1109782
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL 24 ธ.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Slimbus

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Slimbus อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-10291 A-34030871
QC-CR#986837
สูง Nexus 5X, Nexus 6, Nexus 6P, Android One 31 ธ.ค. 2559

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm ADSPRPC

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm ADSPRPC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0465 A-34112914
QC-CR#1110747
สูง Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 5 ม.ค. 2017

การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุม Qualcomm Secure Execution Environment Communicator

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0612 A-34389303
QC-CR#1061845
สูง Pixel, Pixel XL 10 ม.ค. 2017
CVE-2017-0613 A-35400457
QC-CR#1086140
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017
CVE-2017-0614 A-35399405
QC-CR#1080290
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมพลังงาน MediaTek

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมพลังงาน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0615 A-34259126*
M-ALPS03150278
สูง ไม่มี** 12 ม.ค. 2017

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ขัดจังหวะการจัดการระบบ MediaTek

การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมการขัดจังหวะการจัดการระบบ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0616 A-34470286*
M-ALPS03149160
สูง ไม่มี** 19 ม.ค. 2017

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมวิดีโอ MediaTek

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0617 A-34471002*
M-ALPS03149173
สูง ไม่มี** 19 ม.ค. 2017

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมคิวคำสั่ง MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์คิวคำสั่ง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0618 A-35100728*
M-ALPS03161536
สูง ไม่มี** 7 ก.พ. 2017

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้

การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm pin controller

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ตัวควบคุมพินของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0619 A-35401152
QC-CR#826566
สูง Nexus 6, Android One 15 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm Secure Channel Manager Driver

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Secure Channel Manager สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0620 A-35401052
QC-CR#1081711
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5862 A-35399803
QC-CR#1099607
สูง Pixel, Pixel XL 15 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวควบคุมแรงดันไฟฟ้าเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ควบคุมแรงดันไฟฟ้าของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2014-9940 A-35399757
ต้นน้ำเคอร์เนล
สูง Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player 15 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้องของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0621 A-35399703
QC-CR#831322
สูง Android One 15 ก.พ. 2017

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เครือข่าย Qualcomm

การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เครือข่าย Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2016-5868 A-35392791
QC-CR#1104431
สูง Nexus 5X, Pixel, Pixel XL 15 ก.พ. 2017

การยกระดับช่องโหว่ของระบบย่อยเครือข่ายเคอร์เนล

การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-7184 A-36565222
ต้นน้ำเคอร์เนล [2]
สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One 23 มี.ค. 2017

การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์จอสัมผัส Goodix

การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์จอสัมผัส Goodix อาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0622 A-32749036
QC-CR#1098602
สูง Android One Google ภายใน

การเพิ่มช่องโหว่ของสิทธิ์ใน HTC bootloader

การยกระดับช่องโหว่ของสิทธิ์พิเศษใน HTC bootloader สามารถเปิดใช้งานแอพพลิเคชั่นที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของ bootloader ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ความรุนแรง อัปเดตอุปกรณ์ Google วันที่รายงาน
CVE-2017-0623 A-32512358*
สูง Pixel, Pixel XL Google Internal

* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0624 A-34327795*
QC-CR#2005832
สูง Nexus 5X, Pixel, Pixel XL Jan 16, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek command queue driver

An information disclosure vulnerability in the MediaTek command queue driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0625 A-35142799*
M-ALPS03161531
สูง None** Feb 8, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in Qualcomm crypto engine driver

An information disclosure vulnerability in the Qualcomm crypto engine driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0626 A-35393124
QC-CR#1088050
สูง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Denial of service vulnerability in Qualcomm Wi-Fi driver

A denial of service vulnerability in the Qualcomm Wi-Fi driver could enable a proximate attacker to cause a denial of service in the Wi-Fi subsystem. This issue is rated as High due to the possibility of remote denial of service.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-10292 A-34514463*
QC-CR#1065466
สูง Nexus 5X, Pixel, Pixel XL Dec 16, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel UVC driver

An information disclosure vulnerability in the kernel UVC driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0627 A-33300353*
ปานกลาง Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player Dec 2, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm video driver

An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-10293 A-33352393
QC-CR#1101943
ปานกลาง Nexus 5X, Nexus 6P, Android One Dec 4, 2016

Information disclosure vulnerability in Qualcomm power driver (device specific)

An information disclosure vulnerability in the Qualcomm power driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-10294 A-33621829
QC-CR#1105481
ปานกลาง Nexus 5X, Nexus 6P, Pixel, Pixel XL Dec 14, 2016

Information disclosure vulnerability in Qualcomm LED driver

An information disclosure vulnerability in the Qualcomm LED driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-10295 A-33781694
QC-CR#1109326
ปานกลาง Pixel, Pixel XL Dec 20, 2016

Information disclosure vulnerability in Qualcomm shared memory driver

An information disclosure vulnerability in the Qualcomm shared memory driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-10296 A-33845464
QC-CR#1109782
ปานกลาง Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Dec 22, 2016

Information disclosure vulnerability in Qualcomm camera driver

An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0628 A-34230377
QC-CR#1086833
ปานกลาง Nexus 5X, Nexus 6, Pixel, Pixel XL Jan 10, 2017
CVE-2017-0629 A-35214296
QC-CR#1086833
ปานกลาง Nexus 5X, Nexus 6, Pixel, Pixel XL Feb 8, 2017

Information disclosure vulnerability in kernel trace subsystem

An information disclosure vulnerability in the kernel trace subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0630 A-34277115*
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player Jan 11, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm sound codec driver

An information disclosure vulnerability in the Qualcomm sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Information disclosure vulnerability in Qualcomm camera driver

An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0631 A-35399756
QC-CR#1093232
ปานกลาง Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Information disclosure vulnerability in Qualcomm sound driver

An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-5347 A-35394329
QC-CR#1100878
ปานกลาง Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One Feb 15, 2017

Information disclosure vulnerability in Qualcomm SPCom driver

An information disclosure vulnerability in the Qualcomm SPCom driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2016-5854 A-35392792
QC-CR#1092683
ปานกลาง None* Feb 15, 2017
CVE-2016-5855 A-35393081
QC-CR#1094143
ปานกลาง None* Feb 15, 2017

* Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in Qualcomm sound codec driver

An information disclosure vulnerability in the Qualcomm sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0632 A-35392586
QC-CR#832915
ปานกลาง Android One Feb 15, 2017

Information disclosure vulnerability in Broadcom Wi-Fi driver

An information disclosure vulnerability in the Broadcom Wi-Fi driver could enable a local malicious component to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0633 A-36000515*
B-RB#117131
ปานกลาง Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Feb 23, 2017

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Synaptics touchscreen driver

An information disclosure vulnerability in the Synaptics touchscreen driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE อ้างอิง ความรุนแรง Updated Google devices Date reported
CVE-2017-0634 A-32511682*
ปานกลาง Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Vulnerabilities in Qualcomm components

These vulnerabilities affecting Qualcomm components were released as part of Qualcomm AMSS security bulletins between 2014–2016. They are included in this Android security bulletin to associate their fixes with an Android security patch level.

CVE อ้างอิง Severity* Updated Google devices Date reported
CVE-2014-9923 A-35434045** วิกฤต None*** Qualcomm internal
CVE-2014-9924 A-35434631** วิกฤต None*** Qualcomm internal
CVE-2014-9925 A-35444657** วิกฤต None*** Qualcomm internal
CVE-2014-9926 A-35433784** วิกฤต None*** Qualcomm internal
CVE-2014-9927 A-35433785** วิกฤต None*** Qualcomm internal
CVE-2014-9928 A-35438623** วิกฤต None*** Qualcomm internal
CVE-2014-9929 A-35443954**
QC-CR#644783
วิกฤต None*** Qualcomm internal
CVE-2014-9930 A-35432946** วิกฤต None*** Qualcomm internal
CVE-2015-9005 A-36393500** วิกฤต None*** Qualcomm internal
CVE-2015-9006 A-36393450** วิกฤต None*** Qualcomm internal
CVE-2015-9007 A-36393700** วิกฤต None*** Qualcomm internal
CVE-2016-10297 A-36393451** วิกฤต None*** Qualcomm internal
CVE-2014-9941 A-36385125** สูง None*** Qualcomm internal
CVE-2014-9942 A-36385319** สูง None*** Qualcomm internal
CVE-2014-9943 A-36385219** สูง None*** Qualcomm internal
CVE-2014-9944 A-36384534** สูง None*** Qualcomm internal
CVE-2014-9945 A-36386912** สูง None*** Qualcomm internal
CVE-2014-9946 A-36385281** สูง None*** Qualcomm internal
CVE-2014-9947 A-36392400** สูง None*** Qualcomm internal
CVE-2014-9948 A-36385126** สูง None*** Qualcomm internal
CVE-2014-9949 A-36390608** สูง None*** Qualcomm internal
CVE-2014-9950 A-36385321** สูง None*** Qualcomm internal
CVE-2014-9951 A-36389161** สูง None*** Qualcomm internal
CVE-2014-9952 A-36387019** สูง None*** Qualcomm internal

* The severity rating for these vulnerabilities was determined by the vendor.

** The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

*** Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.

Common Questions and Answers

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus

  • Security patch levels of 2017-05-01 or later address all issues associated with the 2017-05-01 security patch level.
  • Security patch levels of 2017-05-05 or later address all issues associated with the 2017-05-05 security patch level and all previous patch levels.

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-05-01]
  • [ro.build.version.security_patch]:[2017-05-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีโปรแกรมแก้ไขความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • Devices that use the May 01, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of May 05, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3. How do I determine which Google devices are affected by each issue?

In the 2017-05-01 and 2017-05-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่ These prefixes map as follows:

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิง Broadcom

Revisions

  • May 01, 2017: Bulletin published.
  • May 02, 2017: Bulletin revised to include AOSP links.
  • August 10, 2017: Bulletin revised to include additional AOSP link for CVE-2017-0493.
  • August 17, 2017: Bulletin revised to update reference numbers.
  • October 03, 2017: Bulletin revised to remove CVE-2017-0605.