กระดานข่าวความปลอดภัยของ Android กันยายน 2017

เผยแพร่เมื่อ 5 กันยายน 2017 | อัปเดตเมื่อวันที่ 5 ตุลาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 5 กันยายน 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ระดับร้ายแรงในกรอบงานสื่อที่อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดตามอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การลดปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google

ประกาศ

  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-09-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-09-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 05-09-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-09-01 และ 2017-09-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว

การบรรเทาปัญหาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

ระดับแพตช์ความปลอดภัย 09-09-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-09-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงสิทธิ์เพิ่มเติมได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0752 A-62196835 [ 2 ] อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ห้องสมุด

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0753 A-62218744 อาร์ซีอี สูง 7.1.1, 7.1.2, 8.0
CVE-2017-6983 A-63852675 อาร์ซีอี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0755 A-32178311 อีโอพี สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

กรอบสื่อ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0756 A-34621073 อาร์ซีอี วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0757 A-36006815 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0758 A-36492741 อาร์ซีอี วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0759 A-36715268 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0760 A-37237396 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0761 A-38448381 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0762 A-62214264 อาร์ซีอี วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0763 A-62534693 อาร์ซีอี วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0764 A-62872015 อาร์ซีอี วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0765 A-62872863 อาร์ซีอี วิกฤต 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0766 A-37776688 อาร์ซีอี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0767 A-37536407 [ 2 ] อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0768 A-62019992 อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0769 A-37662122 อีโอพี สูง 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0770 A-38234812 อีโอพี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0771 A-37624243 ดอส สูง 7.0, 7.1.1, 7.1.2
CVE-2017-0772 A-38115076 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0773 A-37615911 ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0774 A-62673844 [ 2 ] ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0775 A-62673179 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0776 A-38496660 บัตรประจำตัวประชาชน ปานกลาง 7.0, 7.1.1, 7.1.2, 8.0
ดอส สูง 6.0.1
CVE-2017-0777 A-38342499 บัตรประจำตัวประชาชน ปานกลาง 7.0, 7.1.1, 7.1.2
ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0778 A-62133227 บัตรประจำตัวประชาชน ปานกลาง 7.0, 7.1.1, 7.1.2
ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0779 A-38340117 [ 2 ] บัตรประจำตัวประชาชน ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

รันไทม์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้แอปพลิเคชันหยุดทำงาน

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0780 A-37742976 ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0781 A-63146105 [ 2 ] อาร์ซีอี วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0782 A-63146237 [ 2 ] [ 3 ] อาร์ซีอี วิกฤต 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0783 A-63145701 บัตรประจำตัวประชาชน สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0784 A-37287958 อีโอพี ปานกลาง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0785 A-63146698 บัตรประจำตัวประชาชน ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

ระดับแพตช์ความปลอดภัย 05-09-2560—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-09-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ส่วนประกอบของบรอดคอม

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-11120 A-62575409 *
B-V2017061204
อาร์ซีอี วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-11121 A-62576413 *
B-V2017061205
อาร์ซีอี วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-7065 A-62575138 *
B-V2017061202
อาร์ซีอี วิกฤต ไดรเวอร์ Wi-Fi
CVE-2017-0786 A-37351060 *
B-V2017060101
อีโอพี สูง ไดรเวอร์ Wi-Fi
CVE-2017-0787 A-37722970 *
B-V2017053104
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0788 A-37722328 *
B-V2017053103
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0789 A-37685267 *
B-V2017053102
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0790 A-37357704 *
B-V2017053101
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0791 A-37306719 *
B-V2017052302
อีโอพี ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-0792 A-37305578 *
B-V2017052301
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์ Wi-Fi

ส่วนประกอบ Imgtk

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0793 A-35764946 * บัตรประจำตัวประชาชน สูง ระบบย่อยหน่วยความจำ

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-8890 A-38413975
เคอร์เนลต้นน้ำ
อาร์ซีอี วิกฤต ระบบย่อยเครือข่าย
CVE-2017-9076 A-62299478
เคอร์เนลต้นน้ำ
อีโอพี สูง ระบบย่อยเครือข่าย
CVE-2017-9150 A-62199770
เคอร์เนลต้นน้ำ
บัตรประจำตัวประชาชน สูง เคอร์เนลลินุกซ์
CVE-2017-7487 A-62070688
เคอร์เนลต้นน้ำ
อีโอพี สูง ไดรเวอร์โปรโตคอล IPX
CVE-2017-6214 A-37901268
เคอร์เนลต้นน้ำ
ดอส สูง ระบบย่อยเครือข่าย
CVE-2017-6346 A-37897645
เคอร์เนลต้นน้ำ
อีโอพี สูง เคอร์เนลลินุกซ์
CVE-2017-5897 A-37871211
เคอร์เนลต้นน้ำ
บัตรประจำตัวประชาชน สูง ระบบย่อยเครือข่าย
CVE-2017-7495 A-62198330
เคอร์เนลต้นน้ำ
บัตรประจำตัวประชาชน สูง ระบบไฟล์
CVE-2017-7616 A-37751399
เคอร์เนลต้นน้ำ
บัตรประจำตัวประชาชน ปานกลาง เคอร์เนลลินุกซ์
CVE-2017-12146 A-35676417
เคอร์เนลต้นน้ำ
อีโอพี ปานกลาง เคอร์เนลลินุกซ์
CVE-2017-0794 A-35644812 * อีโอพี ปานกลาง ไดรเวอร์ SCSI

ส่วนประกอบ MediaTek

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0795 A-36198473 *
M-ALPS03361480
อีโอพี สูง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0796 A-62458865 *
M-ALPS03353884
M-ALPS03353886
M-ALPS03353887
อีโอพี สูง ไดรเวอร์ AUXADC
CVE-2017-0797 A-62459766 *
M-ALPS03353854
อีโอพี สูง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0798 A-36100671 *
M-ALPS03365532
อีโอพี สูง เคอร์เนล
CVE-2017-0799 A-36731602 *
M-ALPS03342072
อีโอพี สูง ลาสท์บัส
CVE-2017-0800 A-37683975 *
M-ALPS03302988
อีโอพี สูง ตี๋
CVE-2017-0801 A-38447970 *
M-ALPS03337980
อีโอพี สูง LibMtkOmxVdec
CVE-2017-0802 A-36232120 *
M-ALPS03384818
อีโอพี ปานกลาง เคอร์เนล
CVE-2017-0803 A-36136137 *
M-ALPS03361477
อีโอพี ปานกลาง ไดรเวอร์เครื่องตรวจจับอุปกรณ์เสริม
CVE-2017-0804 A-36274676 *
M-ALPS03361487
อีโอพี ปานกลาง ไดรเวอร์เอ็มเอ็มซี

ส่วนประกอบของควอลคอมม์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-11041 A-36130225 *
QC-CR#2053101
อาร์ซีอี วิกฤต LibOmxVenc
CVE-2017-10996 A-38198574
QC-CR#901529
บัตรประจำตัวประชาชน สูง เคอร์เนลลินุกซ์
CVE-2017-9725 A-38195738
QC-CR#896659
อีโอพี สูง ระบบย่อยหน่วยความจำ
CVE-2017-9724 A-38196929
QC-CR#863303
อีโอพี สูง เคอร์เนลลินุกซ์
CVE-2017-8278 A-62379474
QC-CR#2013236
อีโอพี สูง ไดรเวอร์เสียง
CVE-2017-10999 A-36490777 *
QC-CR#2010713
อีโอพี ปานกลาง ไดรเวอร์ไอพีเอ
CVE-2017-11001 A-36815555 *
QC-CR#2051433
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-11002 A-37712167 *
QC-CR#2058452 QC-CR#2054690 QC-CR#2058455
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์ Wi-Fi
CVE-2017-8250 A-62379051
QC-CR#2003924
อีโอพี ปานกลาง ไดรเวอร์กราฟฟิก
CVE-2017-9677 A-62379475
QC-CR#2022953
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-10998 A-38195131
QC-CR#108461
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-9676 A-62378596
QC-CR#2016517
บัตรประจำตัวประชาชน ปานกลาง ระบบไฟล์
CVE-2017-8280 A-62377236
QC-CR#2015858
อีโอพี ปานกลาง ไดรเวอร์ WLAN
CVE-2017-8251 A-62379525
QC-CR#2006015
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-10997 A-33039685 *
QC-CR#1103077
อีโอพี ปานกลาง ไดรเวอร์ PCI
CVE-2017-11000 A-36136563 *
QC-CR#2031677
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8247 A-62378684
QC-CR#2023513
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-9720 A-36264696 *
QC-CR#2041066
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8277 A-62378788
QC-CR#2009047
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8281 A-62378232
QC-CR#2015892
บัตรประจำตัวประชาชน ปานกลาง มัลติมีเดียยานยนต์
CVE-2017-11040 A-37567102 *
QC-CR#2038166
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์วิดีโอ

การอัปเดตอุปกรณ์ Google

ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google OTA ของอุปกรณ์ Google อาจมีการอัปเดตเพิ่มเติมด้วย อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

อุปกรณ์กูเกิล ระดับแพตช์ความปลอดภัย
พิกเซล / พิกเซล XL 2017-09-05
เน็กซัส 5X 2017-09-05
เน็กซัส 6 2017-09-05
เน็กซัส 6พี 2017-09-05
เน็กซัส 9 2017-09-05
ผู้เล่นเน็กซัส 2017-09-05
พิกเซล ซี 2017-09-05

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

CVE นักวิจัย
CVE-2017-11000 Baozeng Ding ( @sploving ), Chengming Yang และ Yang Song แห่ง Alibaba Mobile Security Group
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 Ben Seri และ Gregory Vishnepolsky จาก Armis, Inc. ( https://armis.com )
CVE-2017-0800, CVE-2017-0798 Chengming Yang, Baozeng Ding และ Yang Song แห่ง Alibaba Mobile Security Group
CVE-2017-0765 Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0758 Chong Wang และ 金哲 (Zhe Jin) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 Cong Zheng ( @shellcong ), Wenjun Hu, Xiao Zhang และ Zhi Xu จาก Palo Alto Networks
CVE-2017-0801 Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0755 Dawei Peng จากทีมรักษาความปลอดภัยมือถือของ Alibaba ( weibo: Vinc3nt4H )
CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 Elphet และ Gong Guang จากทีม Alpha บริษัท Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team
CVE-2017-10997 Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 Jake Corina ( @JakeCorina ) จากทีม Shellphish Grill
CVE-2017-0780 Jason Gu และ Seven Shen จาก Trend Micro
CVE-2017-0769 Mingjian Zhou ( @Mingjian_Zhou ), Dacheng Shao และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) แห่ง Baidu X-Lab (百度安全实验室)
CVE-2017-0772 เซเว่น เซิน แห่งเทรนด์ไมโคร
CVE-2017-0757 วาซิลี วาซิลีฟ
CVE-2017-0768, CVE-2017-0779 Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-0759 Weichao Sun แห่งบริษัท Alibaba Inc.
CVE-2017-0796 Xiangqian Zhang, Chengming Yang, Baozeng Ding และ Yang Song จาก Alibaba Mobile Security Group
CVE-2017-0753 Yangkang ( @dnpushme ) และ hujianfei จากทีม Qihoo360 Qex
CVE-2017-12146 Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Yongke Wang และ Yuebin Sun จาก Xuanwu Lab ของ Tencent
CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 Yu Pan และ Yang Dai จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd
CVE-2017-0760 Zinuo Han และ 金哲 (Zhe Jin) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์รักษาความปลอดภัยของ 2017-09-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-09-01
  • ระดับแพตช์รักษาความปลอดภัย 05-09-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 2017-09-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัย 2017-09-01 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัย 2017-09-05 หรือใหม่กว่า จะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ ประเภท หมายถึงอะไร

รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

คำย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
อีโอพี การยกระดับสิทธิพิเศษ
บัตรประจำตัวประชาชน การเปิดเผยข้อมูล
ดอส การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจำแนกประเภท

4. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิงของ Broadcom

5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

รุ่นต่างๆ

เวอร์ชัน วันที่ หมายเหตุ
1.0 5 กันยายน 2017 เผยแพร่กระดานข่าวแล้ว
1.1 12 กันยายน 2017 เพิ่มรายละเอียดสำหรับ CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 และ CVE-2017-0785 โดยเป็นส่วนหนึ่งของการเปิดเผยข้อมูลที่มีการประสานงานอุตสาหกรรม
1.2 13 กันยายน 2017 กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP
1.3 25 กันยายน 2017 เพิ่มรายละเอียดสำหรับ CVE-2017-11120 และ CVE-2017-11121 ซึ่งเป็นส่วนหนึ่งของการเปิดเผยข้อมูลที่มีการประสานงานอุตสาหกรรม
1.4 28 กันยายน 2017 อัปเดตการอ้างอิงผู้จัดจำหน่ายสำหรับ CVE-2017-11001