กระดานข่าวสารด้านความปลอดภัยของ Android - กรกฎาคม 2016

เผยแพร่เมื่อ 6 กรกฎาคม 2016 | อัปเดตเมื่อ 1 เมษายน 2019

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวสารแล้ว เรายังได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตผ่านอากาศ (OTA) ด้วย เราได้เผยแพร่เฟิร์มแวร์ของ Nexus ในรูปแบบรูปภาพไปยังเว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google ด้วย ระดับแพตช์ความปลอดภัยของวันที่ 5 กรกฎาคม 2016 ขึ้นไปจะแก้ไขปัญหาที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารนี้ โปรดดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยในเอกสารประกอบ

พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารเมื่อวันที่ 6 มิถุนายน 2016 หรือก่อนหน้านั้น เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ในที่เก็บโครงการโอเพนซอร์ส Android (AOSP) แล้ว (หากมี) กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์นอก AOSP ด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลในอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ

เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ที่ส่วนการลดความเสี่ยงของบริการ Android และ Google ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์

ประกาศ

  • กระดานข่าวสารนี้กำหนดสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการดำเนินการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดูข้อมูลเพิ่มเติมได้จากหัวข้อคำถามที่พบบ่อยและคำตอบ
    • 2016-07-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ด้านความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เชื่อมโยงกับ 2016-07-01 ได้รับการแก้ไขแล้ว
    • 2016-07-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ด้านความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-07-01 และ 2016-07-05 ได้รับการแก้ไขแล้ว
  • อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 5 กรกฎาคม 2016

การลดผลกระทบต่อบริการของ Android และ Google

ข้อมูลต่อไปนี้เป็นสรุปของการลดความเสี่ยงที่ได้จากแพลตฟอร์มการรักษาความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android

  • การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดอย่างต่อเนื่องด้วย การยืนยันแอปและ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ยืนยันแอปจะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เราไม่อนุญาตให้มีเครื่องมือการรูทอุปกรณ์ใน Google Play แต่แอป "ยืนยันแอป" จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าแอปพลิเคชันนั้นจะมาจากที่ใดก็ตาม นอกจากนี้ ฟีเจอร์ตรวจสอบแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว ฟีเจอร์ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันที่ตรวจพบออก
  • แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติตามความเหมาะสม

ขอขอบคุณ

ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม

  • Abhishek Arya, Oliver Chang และ Martin Barbella จากทีมรักษาความปลอดภัยของ Google Chrome CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Donenfeld และคณะจาก Check Point Software Technologies Ltd. CVE-2016-2503
  • Adam Powell จาก Google: CVE-2016-3752
  • Alex Chapman และ Paul Stone จาก Context Information Security: CVE-2016-3763
  • Andy Tyler (@ticarpi) จาก e2e-assure: CVE-2016-2457
  • Ben Hawkes จาก Google Project Zero: CVE-2016-3775
  • Chiachih Wu (@chiachih_wu), Yuan-Tsung Lo (computernik@gmail.com), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Christopher Tate จาก Google: CVE-2016-3759
  • Di Shen (@returnsme) จาก KeenLab (@keen_lab), Tencent: CVE-2016-3762
  • Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Greg Kaiser จากทีม Google Android: CVE-2016-3758
  • Guang Gong (龚广) (@oldfresher) จากทีม Mobile Safe ของ Qihoo 360 Technology Co. Ltd CVE-2016-3764
  • Hao Chen และ Guang Gong จากทีม Alpha ของ Qihoo 360 Technology Co. Ltd CVE-2016-3792, CVE-2016-3768
  • Hao Qin จาก Security Research Lab ของ Cheetah Mobile: CVE-2016-3754, CVE-2016-3766
  • Jianqiang Zhao (@jianqiangzhao) และ pjf (weibo.com/jfpan) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Marco Nelissen จาก Google: CVE-2016-3818
  • Mark Brand จาก Google Project Zero: CVE-2016-3757
  • Michał Bednarski: CVE-2016-3750
  • Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang Ssong จาก Alibaba Mobile Security Group: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Peter Pi (@heisecode) จาก Trend Micro: CVE-2016-3793
  • Ricky Wai จาก Google: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer (@ScottyBauer1): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Vasily Vasilev: CVE-2016-2507
  • Weichao Sun (@sunblate) จาก Alibaba Inc. CVE-2016-2508, CVE-2016-3755
  • Wen Niu (@NWMonster) จาก KeenLab (@keen_lab), Tencent: CVE-2016-3809
  • Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัยของ Tencent: CVE-2016-3745
  • Yacong Gu จาก TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3761
  • Yongke Wang (@Rudykewang) จาก Xuanwu LAB, Tencent: CVE-2016-2505
  • Yongke Wang (@Rudykewang) และ Wei Wei (@Danny__Wei) จาก Xuanwu LAB, Tencent: CVE-2016-2506
  • Yulong Zhang และ Tao (Lenx) Wei จาก Baidu X-Lab: CVE-2016-3744

ระดับแพตช์ความปลอดภัยของวันที่ 01-07-2016 - รายละเอียดช่องโหว่ด้านความปลอดภัย

ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-07-2016 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver

ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver กระบวนการ Mediaserver มีสิทธิ์เข้าถึงสตรีมเสียงและวิดีโอ รวมถึงเข้าถึงสิทธิ์ที่แอปของบุคคลที่สามเข้าถึงไม่ได้ตามปกติ

ฟังก์ชันการทำงานที่ได้รับผลกระทบเป็นส่วนสำคัญของระบบปฏิบัติการ และมีแอปพลิเคชันหลายรายการที่เข้าถึงเนื้อหาจากระยะไกลได้ โดยเฉพาะอย่างยิ่ง MMS และการเล่นสื่อในเบราว์เซอร์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2506 A-28175045 วิกฤต Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 เมษายน 2016
CVE-2016-2505 A-28333006 วิกฤต Nexus ทุกรุ่น 6.0, 6.0.1 21 เม.ย. 2016
CVE-2016-2507 A-28532266 วิกฤต Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 พฤษภาคม 2016
CVE-2016-2508 A-28799341 [2] วิกฤต Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 พฤษภาคม 2016
CVE-2016-3741 A-28165661 [2] วิกฤต Nexus ทุกรุ่น 6.0, 6.0.1 ภายในของ Google
CVE-2016-3742 A-28165659 วิกฤต Nexus ทุกรุ่น 6.0, 6.0.1 ภายในของ Google
CVE-2016-3743 A-27907656 วิกฤต Nexus ทุกรุ่น 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน OpenSSL และ BoringSSL

ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน OpenSSL และ BoringSSL อาจเปิดโอกาสให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์และข้อมูล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการที่ได้รับผลกระทบ

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2108 A-28175332 วิกฤต Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 พฤษภาคม 2016

ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในบลูทูธ

ช่องโหว่การดำเนินการกับโค้ดจากระยะไกลในบลูทูธอาจทำให้ผู้โจมตีที่อยู่ใกล้เคียงสามารถเรียกใช้โค้ดที่กำหนดเองได้ในระหว่างกระบวนการจับคู่ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเสี่ยงที่จะมีการดำเนินการโค้ดจากระยะไกลระหว่างการเริ่มต้นอุปกรณ์บลูทูธ

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3744 A-27930580 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 มี.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ใน libpng

ช่องโหว่การยกระดับสิทธิ์ใน libpng อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันระบบที่ยกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่สูงขึ้นในเครื่อง เช่น สิทธิ์Signature หรือ SignatureOrSystem ซึ่งแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3751 A-23265085 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 ธ.ค. 2015

ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver

ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันระบบที่มีการยกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง เช่น สิทธิ์Signature หรือ SignatureOrSystem ซึ่งแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3745 A-28173666 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 เมษายน 2016
CVE-2016-3746 A-27890802 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 มี.ค. 2016
CVE-2016-3747 A-27903498 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 มี.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในซ็อกเก็ต

ช่องโหว่การยกระดับสิทธิ์ในซ็อกเก็ตอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงการเรียกระบบนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจมีการละเว้นมาตรการรักษาความปลอดภัยที่มีไว้เพื่อเพิ่มความยากลำบากให้แก่ผู้โจมตีในการใช้ประโยชน์จากแพลตฟอร์ม

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3748 A-28171804 สูง Nexus ทุกรุ่น 6.0, 6.0.1 13 เม.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ใน LockSettingsService

ช่องโหว่การยกระดับสิทธิ์ใน LockSettingsService อาจทำให้แอปพลิเคชันที่เป็นอันตรายรีเซ็ตรหัสผ่านหน้าจอล็อกได้โดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากเป็นการลบล้างข้อกำหนดการโต้ตอบของผู้ใช้สำหรับนักพัฒนาแอปหรือการแก้ไขการตั้งค่าความปลอดภัย

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3749 A-28163930 สูง Nexus ทุกรุ่น 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ใน Framework API

ช่องโหว่การเพิ่มสิทธิ์ใน Parcels Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันของระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่มีสิทธิ์เข้าถึง

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3750 A-28395952 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 ธ.ค. 2015

ช่องโหว่การยกระดับสิทธิ์ในบริการ ChooserTarget

ช่องโหว่การยกระดับสิทธิ์ในบริการ ChooserTarget อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดในบริบทของแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงกิจกรรมของแอปพลิเคชันอื่นโดยไม่ได้รับอนุญาต

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3752 A-28384423 สูง Nexus ทุกรุ่น 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้ผู้โจมตีระยะไกลเข้าถึงข้อมูลที่ปกป้องได้ ซึ่งปกติแล้วมีเพียงแอปที่ติดตั้งในเครื่องซึ่งขอสิทธิ์เท่านั้นที่เข้าถึงได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3753 A-27210135 สูง ไม่มี* 4.4.4 15 ก.พ. 2016

* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การเปิดเผยข้อมูลใน OpenSSL

ช่องโหว่การเปิดเผยข้อมูลใน OpenSSL อาจทำให้ผู้โจมตีระยะไกลเข้าถึงข้อมูลที่ปกป้องได้ ซึ่งปกติแล้วมีเพียงแอปที่ติดตั้งในเครื่องซึ่งขอสิทธิ์เท่านั้นที่เข้าถึงได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2107 A-28550804 สูง ไม่มี* 4.4.4, 5.0.2, 5.1.1 13 เมษายน 2016

* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver

ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกลชั่วคราว

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3754 A-28615448 [2] สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 พฤษภาคม 2016
CVE-2016-3755 A-28470138 สูง Nexus ทุกรุ่น 6.0, 6.0.1 29 เม.ย. 2016
CVE-2016-3756 A-28556125 สูง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การปฏิเสธการให้บริการใน libc

ช่องโหว่การปฏิเสธบริการใน libc อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูต ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีแนวโน้มที่จะมีการปฏิเสธการให้บริการจากระยะไกล

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3818 A-28740702 [2] สูง ไม่มี* 4.4.4 ภายในของ Google

* อุปกรณ์ Nexus ที่รองรับซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่การยกระดับสิทธิ์ใน lsof

ช่องโหว่การยกระดับสิทธิ์ใน lsof อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองซึ่งอาจนำไปสู่การบุกรุกอุปกรณ์อย่างถาวร ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องมีการดำเนินการด้วยตนเองในขั้นตอนที่ไม่ปกติ

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3757 A-28175237 ปานกลาง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 เมษายน 2016

ช่องโหว่การยกระดับสิทธิ์ใน DexClassLoader

ช่องโหว่การยกระดับสิทธิ์ใน DexClassLoader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องใช้ขั้นตอนที่ต้องทำด้วยตนเองซึ่งไม่ปกติ

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3758 A-27840771 ปานกลาง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ใน Framework API

ช่องโหว่การยกระดับสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องขอสิทธิ์สำรองข้อมูลและขัดขวางข้อมูลสำรองทั้งหมดได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องใช้สิทธิ์เฉพาะในการข้ามการป้องกันของระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3759 A-28406080 ปานกลาง Nexus ทุกรุ่น 5.0.2, 5.1.1, 6.0, 6.0.1 ภายในของ Google

ช่องโหว่การยกระดับสิทธิ์ในบลูทูธ

ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์บลูทูธอาจทำให้ผู้โจมตีในพื้นที่เพิ่มอุปกรณ์บลูทูธที่ตรวจสอบสิทธิ์แล้วซึ่งยังคงอยู่สำหรับผู้ใช้หลักได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเพิ่มความสามารถโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3760 A-27410683 [2] [3] ปานกลาง Nexus ทุกรุ่น 5.0.2, 5.1.1, 6.0, 6.0.1 29 ก.พ. 2016

ช่องโหว่การยกระดับสิทธิ์ใน NFC

ช่องโหว่การยกระดับสิทธิ์ใน NFC อาจทำให้แอปพลิเคชันเบื้องหลังที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลจากแอปพลิเคชันเบื้องหน้าได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเพิ่มความสามารถโดยไม่ได้ขอสิทธิ์จากผู้ใช้อย่างชัดเจน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3761 A-28300969 ปานกลาง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 เมษายน 2016

ช่องโหว่การยกระดับสิทธิ์ในซ็อกเก็ต

ช่องโหว่การยกระดับสิทธิ์ในซ็อกเก็ตอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องได้รับสิทธิ์เข้าถึงซ็อกเก็ตบางประเภทที่ไม่พบบ่อย ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่ไม่ได้รับอนุญาตภายในบริบทของเคิร์กเนล ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจมีการละเว้นมาตรการรักษาความปลอดภัยที่มีอยู่แล้วเพื่อเพิ่มความยากลำบากให้แก่ผู้โจมตีในการใช้ประโยชน์จากแพลตฟอร์ม

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3762 A-28612709 ปานกลาง Nexus ทุกรุ่น 5.0.2, 5.1.1, 6.0, 6.0.1 21 เม.ย. 2016

ช่องโหว่การเปิดเผยข้อมูลในการกําหนดค่าพร็อกซีอัตโนมัติ

ช่องโหว่การเปิดเผยข้อมูลในคอมโพเนนต์การกําหนดค่าพร็อกซีอัตโนมัติอาจทําให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3763 A-27593919 ปานกลาง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 มี.ค. 2016

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver

ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3764 A-28377502 ปานกลาง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 เมษายน 2016
CVE-2016-3765 A-28168413 ปานกลาง Nexus ทุกรุ่น 6.0, 6.0.1 8 เม.ย. 2016

ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver

ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากมีแนวโน้มที่จะเกิดการปฏิเสธการให้บริการจากระยะไกล

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว เวอร์ชัน AOSP ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3766 A-28471206 [2] ปานกลาง Nexus ทุกรุ่น 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 เม.ย. 2016

ระดับแพตช์ความปลอดภัยของวันที่ 05-07-2016 - รายละเอียดช่องโหว่

ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 05-07-2016 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPU ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2503 A-28084795* QC-CR1006067 วิกฤต Nexus 5X, Nexus 6P 5 เม.ย. 2016
CVE-2016-2067 A-28305757 QC-CR988993 วิกฤต Nexus 5X, Nexus 6, Nexus 6P 20 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3767 A-28169363*
M-ALPS02689526		 วิกฤต Android One 6 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ประสิทธิภาพของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ประสิทธิภาพของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3768 A-28172137* QC-CR1010644 วิกฤต Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์วิดีโอ NVIDIA

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3769 A-28376656*
N-CVE20163769		 วิกฤต Nexus 9 18 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ MediaTek (สำหรับอุปกรณ์บางรุ่น)

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ MediaTek หลายรายการอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3770 A-28346752*
M-ALPS02703102		 วิกฤต Android One 22 เม.ย. 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102		 วิกฤต Android One 22 เม.ย. 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102		 วิกฤต Android One 22 เม.ย. 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102		 วิกฤต Android One 22 เม.ย. 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102		 วิกฤต Android One 22 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3775 A-28588279* วิกฤต Nexus 5X, Nexus 6, Nexus 6P และ Nexus Player, Pixel C 4 พฤษภาคม 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ USB

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ USB อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ในเครื่องจะถูกบุกรุกอย่างถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2015-8816 A-28712303* วิกฤต Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 พฤษภาคม 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์ Qualcomm

ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm ซึ่งรวมถึงบูตโหลดเดอร์ โปรแกรมควบคุมกล้อง โปรแกรมควบคุมอักขระ เครือข่าย โปรแกรมควบคุมเสียง และโปรแกรมควบคุมวิดีโอ

ปัญหาที่ร้ายแรงที่สุดเหล่านี้จะได้รับการจัดประเภทเป็น "ร้ายแรง" เนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดแบบไม่ระบุแหล่งที่มา ซึ่งอาจทำให้อุปกรณ์ในเครื่องถูกบุกรุกอย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์

CVE ข้อมูลอ้างอิง ความรุนแรง* อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2014-9795 A-28820720
QC-CR681957 [2] 		วิกฤต Nexus 5 8 ส.ค. 2014
CVE-2014-9794 A-28821172
QC-CR646385 		วิกฤต Nexus 7 (2013) 8 ส.ค. 2014
CVE-2015-8892 A-28822807
QC-CR902998 		วิกฤต Nexus 5X, Nexus 6P 30 ธ.ค. 2015
CVE-2014-9781 A-28410333
QC-CR556471 		สูง Nexus 7 (2013) 6 ก.พ. 2014
CVE-2014-9786 A-28557260
QC-CR545979		 สูง Nexus 5, Nexus 7 (2013) 13 มีนาคม 2014
CVE-2014-9788 A-28573112
QC-CR548872		 สูง Nexus 5 13 มีนาคม 2014
CVE-2014-9779 A-28598347
QC-CR548679		 สูง Nexus 5 13 มีนาคม 2014
CVE-2014-9780 A-28602014
QC-CR542222		 สูง Nexus 5, Nexus 5X, Nexus 6P 13 มีนาคม 2014
CVE-2014-9789 A-28749392
QC-CR556425		 สูง Nexus 5 13 มีนาคม 2014
CVE-2014-9793 A-28821253
QC-CR580567		 สูง Nexus 7 (2013) 13 มีนาคม 2014
CVE-2014-9782 A-28431531
QC-CR511349		 สูง Nexus 5, Nexus 7 (2013) 31 มี.ค. 2014
CVE-2014-9783 A-28441831
QC-CR511382 [2]		 สูง Nexus 7 (2013) 31 มี.ค. 2014
CVE-2014-9785 A-28469042
QC-CR545747		 สูง Nexus 7 (2013) 31 มี.ค. 2014
CVE-2014-9787 A-28571496
QC-CR545764		 สูง Nexus 7 (2013) 31 มี.ค. 2014
CVE-2014-9784 A-28442449
QC-CR585147		 สูง Nexus 5, Nexus 7 (2013) 30 เมษายน 2014
CVE-2014-9777 A-28598501
QC-CR563654		 สูง Nexus 5, Nexus 7 (2013) 30 เมษายน 2014
CVE-2014-9778 A-28598515
QC-CR563694		 สูง Nexus 5, Nexus 7 (2013) 30 เมษายน 2014
CVE-2014-9790 A-28769136
QC-CR545716 [2]		 สูง Nexus 5, Nexus 7 (2013) 30 เมษายน 2014
CVE-2014-9792 A-28769399
QC-CR550606		 สูง Nexus 5 30 เมษายน 2014
CVE-2014-9797 A-28821090
QC-CR674071		 สูง Nexus 5 3 กรกฎาคม 2014
CVE-2014-9791 A-28803396
QC-CR659364		 สูง Nexus 7 (2013) 29 สิงหาคม 2014
CVE-2014-9796 A-28820722
QC-CR684756		 สูง Nexus 5, Nexus 7 (2013) 30 ก.ย. 2014
CVE-2014-9800 A-28822150
QC-CR692478		 สูง Nexus 5, Nexus 7 (2013) 31 ต.ค. 2014
CVE-2014-9799 A-28821731
QC-CR691916		 สูง Nexus 5, Nexus 7 (2013) 31 ต.ค. 2014
CVE-2014-9801 A-28822060
QC-CR705078		 สูง Nexus 5 28 พ.ย. 2014
CVE-2014-9802 A-28821965
QC-CR705108		 สูง Nexus 5, Nexus 7 (2013) 31 ธ.ค. 2014
CVE-2015-8891 A-28842418
QC-CR813930		 สูง Nexus 5, Nexus 7 (2013) 29 พฤษภาคม 2015
CVE-2015-8888 A-28822465
QC-CR813933		 สูง Nexus 5 30 มิถุนายน 2015
CVE-2015-8889 A-28822677
QC-CR804067		 สูง Nexus 6P 30 มิถุนายน 2015
CVE-2015-8890 A-28822878
QC-CR823461		 สูง Nexus 5, Nexus 7 (2013) 19 ส.ค. 2015

* Qualcomm เป็นผู้ให้คะแนนความรุนแรงของปัญหาเหล่านี้โดยตรง

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ USB ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ USB ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2502 A-27657963 QC-CR997044 สูง Nexus 5X, Nexus 6P 11 มี.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3792 A-27725204 QC-CR561022 สูง Nexus 7 (2013) 17 มี.ค. 2016

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2501 A-27890772* QC-CR1001092 สูง Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 มี.ค. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง NVIDIA

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3793 A-28026625*
N-CVE20163793		 สูง Nexus 9 5 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมพลังงานของ MediaTek

การเพิ่มสิทธิ์ในไดรเวอร์พลังงานของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3795 A-28085222*
M-ALPS02677244		 สูง Android One 7 เมษายน 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244		 สูง Android One 7 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3797 A-28085680* QC-CR1001450 สูง Nexus 5X 7 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เซ็นเซอร์ฮาร์ดแวร์ของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เซ็นเซอร์ฮาร์ดแวร์ของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3798 A-28174490*
M-ALPS02703105		 สูง Android One 11 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3799 A-28175025*
M-ALPS02693738		 สูง Android One 11 เมษายน 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739		 สูง Android One 11 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPS ของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ GPS ของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3801 A-28174914*
M-ALPS02688853		 สูง Android One 11 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3802 A-28271368* สูง Nexus 9 19 เม.ย. 2016
CVE-2016-3803 A-28588434* สูง Nexus 5X, Nexus 6P 4 พฤษภาคม 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์การจัดการพลังงานของ MediaTek

การเพิ่มสิทธิ์ในไดรเวอร์การจัดการพลังงานของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3804 A-28332766*
M-ALPS02694410		 สูง Android One 20 เมษายน 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412		 สูง Android One 21 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมการแสดงผลของ MediaTek

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์จอแสดงผลของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3806 A-28402341*
M-ALPS02715341		 สูง Android One 26 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์อินเทอร์เฟซอุปกรณ์ต่อพ่วงแบบอนุกรม

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์อินเทอร์เฟซต่อพ่วงแบบอนุกรมอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3807 A-28402196* สูง Nexus 5X, Nexus 6P 26 เม.ย. 2016
CVE-2016-3808 A-28430009* สูง Pixel C 26 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm

ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-2068 A-28470967 QC-CR1006609 สูง Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 28 เม.ย. 2016

ช่องโหว่การยกระดับสิทธิ์ในเคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2014-9803 A-28557020
เคอร์เนล Upstream		 สูง Nexus 5X, Nexus 6P ภายในของ Google

ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์เครือข่าย

ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์เครือข่ายอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3809 A-27532522* สูง Nexus ทุกรุ่น 5 มี.ค. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ MediaTek

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Wi-Fi ของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดเจน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3810 A-28175522*
M-ALPS02694389		 สูง Android One 12 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอเคอร์เนล

ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นัล ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3811 A-28447556* ปานกลาง Nexus 9 ภายในของ Google

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงรหัสวิดีโอของ MediaTek

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงรหัสวิดีโอของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3812 A-28174833*
M-ALPS02688832		 ปานกลาง Android One 11 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ USB ของ Qualcomm

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ USB ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3813 A-28172322* QC-CR1010222 ปานกลาง Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 11 เมษายน 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง NVIDIA

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3814 A-28193342*
N-CVE20163814		 ปานกลาง Nexus 9 14 เม.ย. 2016
CVE-2016-3815 A-28522274*
N-CVE20163815		 ปานกลาง Nexus 9 1 พฤษภาคม 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมการแสดงผลของ MediaTek

ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมการแสดงผลของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-3816 A-28402240* ปานกลาง Android One 26 เม.ย. 2016

* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Teletype ของเคอร์เนล

ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ Teletype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2016-0723 A-28409131
Upstream kernel		 ปานกลาง Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 26 เม.ย. 2016

ช่องโหว่การปฏิเสธการให้บริการในโปรแกรมบูตของ Qualcomm

ช่องโหว่การปฏิเสธบริการในบูตโหลดเดอร์ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทำให้อุปกรณ์เสียหายอย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน

CVE ข้อมูลอ้างอิง ความรุนแรง อุปกรณ์ Nexus ที่อัปเดตแล้ว วันที่รายงาน
CVE-2014-9798 A-28821448 QC-CR681965 ปานกลาง Nexus 5 31 ต.ค. 2014
CVE-2015-8893 A-28822690 QC-CR822275 ปานกลาง Nexus 5, Nexus 7 (2013) 19 ส.ค. 2015

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

ระดับแพตช์ความปลอดภัยของวันที่ 01-07-2016 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 01-07-2016 ระดับแพตช์ความปลอดภัยของวันที่ 05-07-2016 หรือใหม่กว่านั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 05-07-2016 โปรดไปที่ศูนย์ช่วยเหลือเพื่อดูวิธีการตรวจสอบระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น [ro.build.version.security_patch]:[2016-07-01] หรือ [ro.build.version.security_patch]:[2016-07-05]

2. เหตุใดกระดานข่าวสารนี้จึงมีสตริงระดับแพตช์ความปลอดภัย 2 รายการ

กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการดำเนินการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้สตริงระดับแพตช์ความปลอดภัยล่าสุด

อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 กรกฎาคม 2016 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)

อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 กรกฎาคม 2016 ต้องมีทั้งหมด ปัญหาที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 กรกฎาคม 2016 อาจมีการแก้ไขชุดย่อยที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 5 กรกฎาคม 2016 ด้วย

3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Nexus เครื่องใดได้รับผลกระทบจากปัญหาแต่ละอย่าง

ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยของวันที่ 2016-07-01 และ 2016-07-05 แต่ละตารางจะมีคอลัมน์อุปกรณ์ Nexus ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Nexus ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับปัญหาแต่ละรายการ คอลัมน์นี้มีตัวเลือก 2-3 รายการดังนี้

  • อุปกรณ์ Nexus ทั้งหมด: หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมด ตารางจะมี "Nexus ทั้งหมด" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว "Nexus ทั้งหมด" หมายถึงอุปกรณ์ที่รองรับต่อไปนี้ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player และ Pixel C
  • อุปกรณ์ Nexus บางรุ่น: หากปัญหาไม่ได้ส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมด อุปกรณ์ Nexus ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
  • ไม่มีอุปกรณ์ Nexus: หากไม่มีอุปกรณ์ Nexus ได้รับผลกระทบจากปัญหา ตารางจะมี "ไม่มี" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว

4. รายการในคอลัมน์ข้อมูลอ้างอิงแมปกับอะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าเหล่านี้จะแมปดังนี้

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิงของ NVIDIA

การแก้ไข

  • 6 กรกฎาคม 2016: เผยแพร่กระดานข่าวสาร
  • 7 กรกฎาคม 2016
    • เพิ่มลิงก์ AOSP
    • นํา CVE-2016-3794 ออกเนื่องจากซ้ำกับ CVE-2016-3814
    • เพิ่มการระบุแหล่งที่มาสำหรับ CVE-2016-2501 และ CVE-2016-2502
  • 11 กรกฎาคม 2016: อัปเดตการระบุแหล่งที่มาสำหรับ CVE-2016-3750
  • 14 กรกฎาคม 2016: อัปเดตการระบุแหล่งที่มาสำหรับ CVE-2016-2503
  • 1 เมษายน 2019: อัปเดตลิงก์แพตช์สำหรับ CVE-2016-3818