Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

Android Security Bulletin - กันยายน 2017

เผยแพร่เมื่อ 5 กันยายน 2017 | อัปเดตเมื่อ 5 ตุลาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยตั้งแต่วันที่ 5 กันยายน 2017 ขึ้นไปจะช่วยแก้ปัญหาเหล่านี้ทั้งหมด โปรดดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารอย่างน้อยหนึ่งเดือนที่ผ่านมา แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความรุนแรงที่สำคัญในกรอบงานสื่อที่อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสตามอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการแสวงหาประโยชน์จากลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วนการ ลดการป้องกัน ของ Android และ Google Play สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google

ประกาศ

  • บูเลทีนนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 2017-09-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-09-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 2017-09-05 : กรอกสตริงระดับแพตช์ความปลอดภัย สตริงระดับโปรแกรมแก้ไขความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-09-01 และ 2017-09-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาที่ได้รับจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการเช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการมือถือของ Google และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

2017-09-01 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-09-01 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่มีผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีให้เราเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

กรอบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถข้ามข้อกำหนดการโต้ตอบกับผู้ใช้เพื่อเข้าถึงสิทธิ์เพิ่มเติมได้

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0752 A-62196835 [ 2 ] EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ห้องสมุด

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสตามอำเภอใจภายในบริบทของกระบวนการที่ไม่มีสิทธิ์

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0753 A-62218744 RCE สูง 7.1.1, 7.1.2, 8.0
CVE-2017-6983 A-63852675 RCE สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0755 A-32178311 EoP สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

กรอบสื่อ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0756 A-34621073 RCE สำคัญ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0757 A-36006815 RCE สำคัญ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0758 A-36492741 RCE สำคัญ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0759 A-36715268 RCE สำคัญ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0760 A-37237396 RCE สำคัญ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0761 A-38448381 RCE สำคัญ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0762 A-62214264 RCE สำคัญ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0763 A-62534693 RCE สำคัญ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0764 ก -62872015 RCE สำคัญ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0765 A-62872863 RCE สำคัญ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0766 A-37776688 RCE สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0767 A-37536407 [ 2 ] EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0768 A-62019992 EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0769 A-37662122 EoP สูง 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0770 A-38234812 EoP สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0771 A-37624243 DoS สูง 7.0, 7.1.1, 7.1.2
CVE-2017-0772 A-38115076 DoS สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0773 A-37615911 DoS สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0774 A-62673844 [ 2 ] DoS สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0775 A-62673179 DoS สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0776 A-38496660 ID ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0
DoS สูง 6.0.1
CVE-2017-0777 A-38342499 ID ปานกลาง 7.0, 7.1.1, 7.1.2
DoS สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0778 A-62133227 ID ปานกลาง 7.0, 7.1.1, 7.1.2
DoS สูง 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0779 A-38340117 [ 2 ] ID ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

รันไทม์

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อทำให้แอปพลิเคชันหยุดทำงาน

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0780 A-37742976 DoS สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

ระบบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้สามารถเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0781 A-63146105 [ 2 ] RCE สำคัญ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0782 A-63146237 [ 2 ] [ 3 ] RCE สำคัญ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0783 A-63145701 ID สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0784 A-37287958 EoP ปานกลาง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0785 A-63146698 ID ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

2017-09-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-09-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ส่งผลกระทบและรวมถึงรายละเอียดต่างๆเช่น CVE การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง องค์ประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีให้เราเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ส่วนประกอบของ Broadcom

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2017-11120 A-62575409 *
B-V2017061204
RCE สำคัญ ไดรเวอร์ Wi-Fi
CVE-2017-11121 A-62576413 *
B-V2017061205
RCE สำคัญ ไดรเวอร์ Wi-Fi
CVE-2017-7065 A-62575138 *
B-V2017061202
RCE สำคัญ ไดรเวอร์ Wi-Fi
CVE-2017-0786 A-37351060 *
B-V2017060101
EoP สูง ไดรเวอร์ Wi-Fi
CVE-2017-0787 A-37722970 *
B-V2017053104
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0788 A-37722328 *
B-V2017053103
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0789 A-37685267 *
B-V2017053102
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0790 A-37357704 *
B-V2017053101
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0791 A-37306719 *
B-V2017052302
EoP ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0792 A-37305578 *
B-V2017052301
ID ปานกลาง ไดรเวอร์ Wi-Fi

ส่วนประกอบ Imgtk

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลนอกระดับสิทธิ์ได้

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2017-0793 A-35764946 * ID สูง ระบบย่อยหน่วยความจำ

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2017-8890 A-38413975
เคอร์เนลต้นน้ำ
RCE สำคัญ ระบบย่อยเครือข่าย
CVE-2017-9076 A-62299478
เคอร์เนลต้นน้ำ
EoP สูง ระบบย่อยเครือข่าย
CVE-2017-9150 A-62199770
เคอร์เนลต้นน้ำ
ID สูง เคอร์เนลลินุกซ์
CVE-2017-7487 ก -62070688
เคอร์เนลต้นน้ำ
EoP สูง ไดรเวอร์โปรโตคอล IPX
CVE-2017-6214 A-37901268
เคอร์เนลต้นน้ำ
DoS สูง ระบบย่อยเครือข่าย
CVE-2017-6346 A-37897645
เคอร์เนลต้นน้ำ
EoP สูง เคอร์เนลลินุกซ์
CVE-2017-5897 A-37871211
เคอร์เนลต้นน้ำ
ID สูง ระบบย่อยเครือข่าย
CVE-2017-7495 A-62198330
เคอร์เนลต้นน้ำ
ID สูง ระบบไฟล์
CVE-2017-7616 A-37751399
เคอร์เนลต้นน้ำ
ID ปานกลาง เคอร์เนลลินุกซ์
CVE-2017-12146 A-35676417
เคอร์เนลต้นน้ำ
EoP ปานกลาง เคอร์เนลลินุกซ์
CVE-2017-0794 A-35644812 * EoP ปานกลาง ไดรเวอร์ SCSI

ส่วนประกอบ MediaTek

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2017-0795 A-36198473 *
M-ALPS03361480
EoP สูง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0796 A-62458865 *
M-ALPS03353884
M-ALPS03353886
M-ALPS03353887
EoP สูง ไดรเวอร์ AUXADC
CVE-2017-0797 A-62459766 *
M-ALPS03353854
EoP สูง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0798 A-36100671 *
M-ALPS03365532
EoP สูง เคอร์เนล
CVE-2017-0799 A-36731602 *
M-ALPS03342072
EoP สูง Lastbus
CVE-2017-0800 A-37683975 *
M-ALPS03302988
EoP สูง TEEI
CVE-2017-0801 A-38447970 *
M-ALPS03337980
EoP สูง LibMtkOmxVdec
CVE-2017-0802 A-36232120 *
M-ALPS03384818
EoP ปานกลาง เคอร์เนล
CVE-2017-0803 A-36136137 *
M-ALPS03361477
EoP ปานกลาง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0804 A-36274676 *
M-ALPS03361487
EoP ปานกลาง ไดรเวอร์ MMC

ส่วนประกอบ Qualcomm

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2017-11041 A-36130225 *
QC-CR # 2053101
RCE สำคัญ LibOmxVenc
CVE-2017-10996 A-38198574
QC-CR # 901529
ID สูง เคอร์เนลลินุกซ์
CVE-2017-9725 A-38195738
QC-CR # 896659
EoP สูง ระบบย่อยหน่วยความจำ
CVE-2017-9724 A-38196929
QC-CR # 863303
EoP สูง เคอร์เนลลินุกซ์
CVE-2017-8278 A-62379474
QC-CR # 2013236
EoP สูง ไดรเวอร์เสียง
CVE-2017-10999 A-36490777 *
QC-CR # 2010713
EoP ปานกลาง ไดรเวอร์ IPA
CVE-2017-11001 A-36815555 *
QC-CR # 2051433
ID ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-11002 A-37712167 *
QC-CR # 2058452 QC-CR # 2054690 QC-CR # 2058455
ID ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-8250 A-62379051
QC-CR # 2003924
EoP ปานกลาง ไดรเวอร์ GPU
CVE-2017-9677 A-62379475
QC-CR # 2022953
EoP ปานกลาง ไดรเวอร์เสียง
CVE-2017-10998 A-38195131
QC-CR # 108461
EoP ปานกลาง ไดรเวอร์เสียง
CVE-2017-9676 A-62378596
QC-CR # 2016517
ID ปานกลาง ระบบไฟล์
CVE-2017-8280 A-62377236
QC-CR # 2015858
EoP ปานกลาง ไดรเวอร์ WLAN
CVE-2017-8251 A-62379525
QC-CR # 2006015
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-10997 A-33039685 *
QC-CR # 1103077
EoP ปานกลาง ไดรเวอร์ PCI
CVE-2017-11000 A-36136563 *
QC-CR # 2031677
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8247 A-62378684
QC-CR # 2023513
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-9720 A-36264696 *
QC-CR # 2041066
EoP ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8277 A-62378788
QC-CR # 2009047
EoP ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8281 A-62378232
QC-CR # 2015892
ID ปานกลาง มัลติมีเดียยานยนต์
CVE-2017-11040 A-37567102 *
QC-CR # 2038166
ID ปานกลาง ไดรเวอร์วิดีโอ

การอัปเดตอุปกรณ์ของ Google

ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านอากาศล่าสุด (OTA) และอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google OTA ของอุปกรณ์ Google อาจมีการอัปเดตเพิ่มเติม อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

อุปกรณ์ Google ระดับแพตช์ความปลอดภัย
Pixel / Pixel XL 2017-09-05
Nexus 5X 2017-09-05
Nexus 6 2017-09-05
Nexus 6P 2017-09-05
Nexus 9 2017-09-05
Nexus Player 2017-09-05
พิกเซลค 2017-09-05

กิตติกรรมประกาศ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:

CVE นักวิจัย
CVE-2017-11000 Baozeng Ding ( @sploving ), Chengming Yang และ Yang Song จาก Alibaba Mobile Security Group
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 Ben Seri และ Gregory Vishnepolsky จาก Armis, Inc. ( https://armis.com )
CVE-2017-0800, CVE-2017-0798 Chengming Yang, Baozeng Ding และ Yang Song จาก Alibaba Mobile Security Group
CVE-2017-0765 Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก C0RE Team
CVE-2017-0758 Chong Wang และ金哲 (Zhe Jin) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 Cong Zheng ( @shellcong ), Wenjun Hu, Xiao Zhang และ Zhi Xu จาก Palo Alto Networks
CVE-2017-0801 Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0755 Dawei Peng จาก Alibaba Mobile Security Team ( weibo: Vinc3nt4H )
CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 Elphet และ Gong Guang จาก Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 En He ( @ heeeeen4x ) และ Bo Liu แห่ง MS509Team
CVE-2017-10997 Gengjia Chen ( @ chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 Jake Corina ( @JakeCorina ) จาก Shellphish Grill Team
CVE-2017-0780 Jason Gu และ Seven Shen จาก Trend Micro
CVE-2017-0769 Mingjian Zhou ( @Mingjian_Zhou ), Dacheng Shao และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室)
CVE-2017-0772 Seven Shen แห่ง Trend Micro
CVE-2017-0757 Vasily Vasiliev
CVE-2017-0768, CVE-2017-0779 Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก C0RE Team
CVE-2017-0759 Weichao Sun แห่ง Alibaba Inc.
CVE-2017-0796 Xiangqian Zhang, Chengming Yang, Baozeng Ding และ Yang Song จาก Alibaba Mobile Security Group
CVE-2017-0753 Yangkang ( @dnpushme ) และ hujianfei จาก Qihoo360 Qex Team
CVE-2017-12146 Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Yongke Wang และ Yuebin Sun จาก Xuanwu Lab ของ Tencent
CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 Yu Pan และ Yang Dai จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd.
CVE-2017-0760 Zinuo Han และ金哲 (Zhe Jin) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านแถลงการณ์นี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์ความปลอดภัย 2017-09-01 หรือใหม่กว่าแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-09-01
  • ระดับแพตช์ความปลอดภัย 2017-09-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-09-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]: [2017-09-01]
  • [ro.build.version.security_patch]: [2017-09-05]

2. เหตุใดแถลงการณ์นี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ส่วนย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2017-09-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในแถลงการณ์ความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2017-09-05 หรือใหม่กว่าต้องรวมแพตช์ที่เกี่ยวข้องทั้งหมดไว้ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่กำลังแก้ไขอยู่ในการอัปเดตเดียว

3. รายการในคอลัมน์ Type หมายถึงอะไร?

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่จะอ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การเรียกใช้รหัสระยะไกล
EoP การยกระดับสิทธิพิเศษ
ID การเปิดเผยข้อมูล
DoS การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร?

รายการในคอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิง

คำนำหน้า ข้อมูลอ้างอิง
ก - รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิงของ Broadcom

5. เครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ การอ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมีเครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ การอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหานั้นจะอยู่ในโปรแกรมควบคุมไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีอยู่ใน ไซต์ Google Developer

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 5 กันยายน 2560 เผยแพร่แถลงการณ์แล้ว
1.1 12 กันยายน 2560 เพิ่มรายละเอียดสำหรับ CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 และ CVE-2017-0785 โดยเป็นส่วนหนึ่งของการเปิดเผยข้อมูลที่ประสานงานกับอุตสาหกรรม
1.2 13 กันยายน 2560 ปรับปรุงกระดานข่าวสารเพื่อรวมลิงก์ AOSP
1.3 25 กันยายน 2560 เพิ่มรายละเอียดสำหรับ CVE-2017-11120 และ CVE-2017-11121 ซึ่งเป็นส่วนหนึ่งของการเปิดเผยข้อมูลเชิงอุตสาหกรรม
1.4 28 กันยายน 2560 อัปเดตข้อมูลอ้างอิงผู้จัดจำหน่ายสำหรับ CVE-2017-11001