เผยแพร่เมื่อวันที่ 6 กันยายน 2016 | อัปเดตเมื่อวันที่ 12 กันยายน 2016
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวสารแล้ว เรายังได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตผ่านอากาศ (OTA) ด้วย เราได้เผยแพร่เฟิร์มแวร์ของ Nexus ไปยังเว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google ด้วย ระดับแพตช์ความปลอดภัยของวันที่ 6 กันยายน 2016 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ โปรดดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยจากเอกสารประกอบ อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 6 กันยายน 2016
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารเมื่อวันที่ 5 สิงหาคม 2016 หรือก่อนหน้านั้น เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ในที่เก็บโครงการโอเพนซอร์ส Android (AOSP) แล้ว (หากมี) กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลในอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ที่ส่วนการลดความเสี่ยงของบริการ Android และ Google ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
ประกาศ
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 3 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการดำเนินการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดูข้อมูลเพิ่มเติมจากคำถามที่พบบ่อยและคำตอบ ดังนี้
- 2016-09-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-09-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2016-09-05: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ด้านความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-09-01 และ 2016-09-05 (และสตริงระดับแพตช์ด้านความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2016-09-06: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ ซึ่งจะจัดการปัญหาที่พบหลังจากมีการแจ้งปัญหาส่วนใหญ่ให้พาร์ทเนอร์ทราบในกระดานข่าวสารนี้ สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับวันที่ 01-09-2016, 05-09-2016 และ 06-09-2016 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 6 กันยายน 2016
การลดผลกระทบต่อบริการของ Android และ Google
ข้อมูลต่อไปนี้เป็นสรุปของการลดความเสี่ยงที่ได้จากแพลตฟอร์มการรักษาความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วยการยืนยันแอปและ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย ยืนยันแอปจะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์ไม่ได้รับอนุญาตใน Google Play แต่แอปตรวจสอบจะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าแอปพลิเคชันนั้นจะมาจากที่ใดก็ตาม นอกจากนี้ ฟีเจอร์ตรวจสอบแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว ฟีเจอร์ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันที่ตรวจพบออก
- แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติตามความเหมาะสม
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
- Cory Pruce จากมหาวิทยาลัยคาร์เนกีเมลลอน: CVE-2016-3897
- Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Tech. Co. Ltd. CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Hao Qin จาก Security Research Lab ของ Cheetah Mobile: CVE-2016-3863
- Jann Horn จากทีม Project Zero ของ Google: CVE-2016-3885
- Jianqiang Zhao (@jianqiangzhao) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-3858
- Joshua Drake (@jduck): CVE-2016-3861
- Madhu Priya Murugan จาก CISPA, มหาวิทยาลัยซาร์ลันด์: CVE-2016-3896
- Makoto Onuki จาก Google: CVE-2016-3876
- Mark Brand จาก Google Project Zero: CVE-2016-3861
- Max Spector จากทีมรักษาความปลอดภัยของ Android: CVE-2016-3888
- Max Spector และ Quan To จากทีมรักษาความปลอดภัยของ Android: CVE-2016-3889
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3895
- Nathan Crandall (@natecray) จากทีมรักษาความปลอดภัยของผลิตภัณฑ์ Tesla Motors: การค้นพบปัญหาเพิ่มเติมที่เกี่ยวข้องกับ CVE-2016-2446
- Oleksiy Vyalov จาก Google: CVE-2016-3890
- Oliver Chang จากทีมความปลอดภัยของ Google Chrome: CVE-2016-3880
- Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang Song จาก Alibaba Mobile Security Group: CVE-2016-3859
- Ronald L. Loor Vargas (@loor_rlv)จากทีม Lv51: CVE-2016-3886
- Sagi Kedmi นักวิจัย X-Force ของ IBM Security: CVE-2016-3873
- Scott Bauer (@ScottyBauer1): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- Seven Shen (@lingtongshen) จาก Tech TrendMicro: CVE-2016-3894
- Tim Strazzere (@timstrazz) จาก SentinelOne / RedNaga: CVE-2016-3862
- trotmaster (@trotmaster99): CVE-2016-3883
- Victor Chang จาก Google: CVE-2016-3887
- Vignesh Venkatasubramanian จาก Google: CVE-2016-3881
- Weichao Sun (@sunblate) จาก Alibaba Inc: CVE-2016-3878
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- Wish Wu (吴潍浠) (@wish_wu) จาก Trend Micro Inc CVE-2016-3892
- Xingyu He (何星宇) (@Spid3r_)จาก Alibaba Inc: CVE-2016-3879
- Yacong Gu จาก TCA Lab, Institute of Software, Chinese Academy of Sciences: CVE-2016-3884
- Yuru Shao จากมหาวิทยาลัยมิชิแกน เมืองแอนน์อาร์เบอร์: CVE-2016-3898
ระดับแพตช์ความปลอดภัยของวันที่ 01-09-2016 - รายละเอียดช่องโหว่ด้านความปลอดภัย
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-09-2016 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลใน LibUtils
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน LibUtils อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3861 | A-29250543 [2] [3] [4] | วิกฤต | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 มิ.ย. 2016 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3862 | A-29270469 | วิกฤต | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 มิ.ย. 2016 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน MediaMuxer
ช่องโหว่ด้านการดำเนินการโค้ดจากระยะไกลใน MediaMuxer อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเรียกใช้โค้ดที่กำหนดเองในบริบทของกระบวนการที่ไม่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ MediaMuxer
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3863 | A-29161888 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3870 | A-29421804 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 มิ.ย. 2016 |
| CVE-2016-3871 | A-29422022 [2] [3] | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 มิ.ย. 2016 |
| CVE-2016-3872 | A-29421675 [2] | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในการบูตอุปกรณ์
การยกระดับสิทธิ์ระหว่างลำดับการบูตอาจทำให้ผู้โจมตีที่เป็นอันตรายในเครื่องบูตเข้าสู่เซฟโหมดได้แม้ว่าจะปิดใช้อยู่ก็ตาม ปัญหานี้ได้รับคะแนนเป็น "สูง" เนื่องจากเป็นการลบล้างข้อกำหนดของการโต้ตอบของผู้ใช้สำหรับนักพัฒนาแอปหรือการแก้ไขการตั้งค่าความปลอดภัย
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3875 | A-26251884 | สูง | ไม่มี* | 6.0, 6.0.1 | ภายในของ Google |
* อุปกรณ์ Nexus ที่รองรับใน Android 7.0 ซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในการตั้งค่า
การยกระดับสิทธิ์ในการตั้งค่าอาจทำให้ผู้โจมตีที่เป็นอันตรายในเครื่องสามารถบูตเข้าสู่เซฟโหมดได้แม้ว่าจะปิดใช้อยู่ก็ตาม ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากเป็นการลบล้างข้อกำหนดของการโต้ตอบของผู้ใช้สำหรับนักพัฒนาแอปหรือการแก้ไขการตั้งค่าความปลอดภัยในเครื่อง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3876 | A-29900345 | สูง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | ภายในของ Google |
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3899 | A-29421811 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 มิ.ย. 2016 |
| CVE-2016-3878 | A-29493002 | สูง | Nexus ทุกรุ่น* | 6.0, 6.0.1 | 17 มิ.ย. 2016 |
| CVE-2016-3879 | A-29770686 | สูง | Nexus ทุกรุ่น* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 มิถุนายน 2016 |
| CVE-2016-3880 | A-25747670 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | ภายในของ Google |
| CVE-2016-3881 | A-30013856 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | ภายในของ Google |
* อุปกรณ์ Nexus ที่รองรับใน Android 7.0 ซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การยกระดับสิทธิ์ในโทรศัพท์
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์โทรศัพท์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องส่งข้อความ SMS แบบพรีเมียมโดยไม่ได้รับอนุญาต ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเพิ่มความสามารถโดยไม่ได้ขอสิทธิ์จากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3883 | A-28557603 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 พฤษภาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในบริการตัวจัดการการแจ้งเตือน
ช่องโหว่ด้านการเพิ่มสิทธิ์ในบริการจัดการการแจ้งเตือนอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันของระบบปฏิบัติการซึ่งแยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากเป็นการลบล้างข้อกำหนดของการโต้ตอบของผู้ใช้ เช่น การเข้าถึงฟังก์ชันการทำงานที่ปกติแล้วจะต้องได้รับการเริ่มต้นจากผู้ใช้หรือสิทธิ์ของผู้ใช้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3884 | A-29421441 | ปานกลาง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | 15 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Debuggerd
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมแก้ไขข้อบกพร่อง Android ที่ผสานรวมอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของโปรแกรมแก้ไขข้อบกพร่อง Android ได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงปานกลางเนื่องจากมีความเสี่ยงที่จะมีการเรียกใช้โค้ดในเครื่องแบบไม่จำกัดในกระบวนการที่มีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3885 | A-29555636 | ปานกลาง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในตัวรับสัญญาณ UI ระบบ
การเพิ่มสิทธิ์ในเครื่องมือปรับแต่ง UI ของระบบอาจทำให้ผู้ใช้ที่เป็นอันตรายในเครื่องแก้ไขการตั้งค่าที่มีการป้องกันได้เมื่ออุปกรณ์ล็อกอยู่ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากเป็นการลบล้างสิทธิ์ของผู้ใช้ภายใน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3886 | A-30107438 | ปานกลาง | Nexus ทั้งหมด | 7.0 | 23 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในการตั้งค่า
ช่องโหว่การยกระดับสิทธิ์ในการตั้งค่าอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามการป้องกันระบบปฏิบัติการสําหรับการตั้งค่า VPN ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ของแอปพลิเคชันได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3887 | A-29899712 | ปานกลาง | Nexus ทั้งหมด | 7.0 | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ใน SMS
ช่องโหว่การยกระดับสิทธิ์ใน SMS อาจทำให้ผู้โจมตีในเครื่องส่งข้อความ SMS แบบพรีเมียมได้ก่อนที่จะมีการจัดเตรียมอุปกรณ์ ระดับของช่องนี้คือปานกลางเนื่องจากมีความเสี่ยงที่จะข้ามการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น ซึ่งควรจะป้องกันไม่ให้ผู้อื่นใช้อุปกรณ์ก่อนที่จะตั้งค่า
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3888 | A-29420123 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ในการตั้งค่า
ช่องโหว่การยกระดับสิทธิ์ในการตั้งค่าอาจทำให้ผู้โจมตีในเครื่องสามารถเลี่ยงการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นและเข้าถึงอุปกรณ์ได้ ระดับปานกลางเนื่องจากมีความเสี่ยงที่จะข้ามการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น ซึ่งอาจส่งผลให้รีเซ็ตอุปกรณ์และลบข้อมูลทั้งหมดได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3889 | A-29194585 [2] | ปานกลาง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ใน Java Debug Wire Protocol
ช่องโหว่การยกระดับสิทธิ์ใน Java Debug Wire Protocol อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของแอปพลิเคชันระบบที่มีสิทธิ์ระดับสูงขึ้นได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ไม่ปกติ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3890 | A-28347842 [2] | ปานกลาง | ไม่มี* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ภายในของ Google |
* อุปกรณ์ Nexus ที่รองรับใน Android 7.0 ซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3895 | A-29983260 | ปานกลาง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | 4 กรกฎาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตอย่างไม่เหมาะสม
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3896 | A-29767043 | ปานกลาง | ไม่มี* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 ก.ค. 2016 |
* อุปกรณ์ Nexus ที่รองรับใน Android 7.0 ซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลใน Wi-Fi
ช่องโหว่ในการเปิดเผยข้อมูลในการกําหนดค่า Wi-Fi อาจทําให้แอปพลิเคชันเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3897 | A-25624963 [2] | ปานกลาง | ไม่มี* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 พ.ย. 2015 |
* อุปกรณ์ Nexus ที่รองรับใน Android 7.0 ซึ่งติดตั้งการอัปเดตทั้งหมดที่มีอยู่จะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การปฏิเสธการให้บริการในโทรศัพท์
ช่องโหว่การปฏิเสธบริการในคอมโพเนนต์โทรศัพท์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องป้องกันไม่ให้โทร 911 TTY จากหน้าจอล็อกได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากมีความเสี่ยงที่อาจมีการปฏิเสธการให้บริการในฟังก์ชันที่สำคัญ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3898 | A-29832693 | ปานกลาง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 มิ.ย. 2016 |
ระดับแพตช์ความปลอดภัยของวันที่ 05-09-2016 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 2016-09-05 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยด้านความปลอดภัยของเคิร์กเนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยด้านความปลอดภัยของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9529 | A-29510361 | วิกฤต | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One | 6 ม.ค. 2015 |
| CVE-2016-4470 | A-29823941 | วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 15 มิถุนายน 2016 |
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2013-7446 | A-29119002 | วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18 พ.ย. 2015 |
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อย netfilter ของเคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อย netfilter ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3134 | A-28940694 | วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9 มี.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ USB ของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ USB ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3951 | A-28744625 | วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6 เมษายน 2016 |
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยเสียงเคอร์เนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-4655 | A-29916012 | สูง | Nexus 5, Nexus 6, Nexus 9, Nexus Player | 26 มิถุนายน 2014 |
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมถอดรหัส ASN.1 ของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในตัวถอดรหัส ASN.1 ของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัล ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2053 | A-28751627 | สูง | Nexus 5X, Nexus 6P | 25 ม.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในเลเยอร์อินเทอร์เฟซวิทยุของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในเลเยอร์อินเทอร์เฟซวิทยุของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3864 | A-28823714* QC-CR#913117 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29 เม.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ระบบย่อยของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ระบบย่อยของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3858 | A-28675151 QC-CR#1022641 |
สูง | Nexus 5X, Nexus 6P | 9 พฤษภาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เครือข่ายเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-4805 | A-28979703 | สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 พฤษภาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3865 | A-28799389* | สูง | Nexus 5X, Nexus 9 | 16 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3859 | A-28815326* QC-CR#1034641 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3866 | A-28868303* QC-CR#1032820 |
สูง | Nexus 5X, Nexus 6, Nexus 6P | 18 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ IPA ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ IPA ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3867 | A-28919863* QC-CR#1037897 |
สูง | Nexus 5X, Nexus 6P | 21 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์พลังงาน Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์พลังงานของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3868 | A-28967028* QC-CR#1032875 |
สูง | Nexus 5X, Nexus 6P | 25 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Broadcom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3869 | A-29009982* B-RB#96070 |
สูง | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C | 27 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในระบบไฟล์ eCryptfs ของเคิร์นัล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบไฟล์ eCryptfs ของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-1583 | A-29444228 เคอร์เนลเวอร์ชันที่อัปเดต |
สูง | Pixel C | 1 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในเคอร์เนลของ NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในเคอร์เนลของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นัลได้ ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3873 | A-29518457* N-CVE-2016-3873 |
สูง | Nexus 9 | 20 มิ.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3874 | A-29944562 QC-CR#997797 [2] |
สูง | Nexus 5X | 1 กรกฎาคม 2016 |
ช่องโหว่การปฏิเสธการให้บริการในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่การปฏิเสธบริการในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกลชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-1465 | A-29506807 | สูง | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One | 3 ก.พ. 2015 |
| CVE-2015-5364 | A-29507402 | สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30 มิถุนายน 2015 |
ช่องโหว่การปฏิเสธการให้บริการในระบบไฟล์ ext4 ของเคอร์เนล
ช่องโหว่การปฏิเสธการให้บริการในระบบไฟล์ ext4 ของเคิร์กัลอาจทำให้ผู้โจมตีทำให้เกิดการปฏิเสธการให้บริการแบบถาวรในเครื่อง ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการอย่างถาวรในพื้นที่
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-8839 | A-28760453* | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 เม.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ SPMI ของ Qualcomm
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ SPMI ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3892 | A-28760543* QC-CR#1024197 |
ปานกลาง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในตัวแปลงรหัสเสียง Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในโปรแกรมเปลี่ยนรหัสเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3893 | A-29512527 QC-CR#856400 |
ปานกลาง | Nexus 6P | 20 มิ.ย. 2016 |
ช่องโหว่การเปิดเผยข้อมูลในคอมโพเนนต์ DMA ของ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์ DMA ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3894 | A-29618014* QC-CR#1042033 |
ปานกลาง | Nexus 6 | 23 มิ.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-4998 | A-29637687 เคอร์เนลจาก upstream [2] |
ปานกลาง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24 มิ.ย. 2016 |
ช่องโหว่การปฏิเสธการให้บริการในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่การปฏิเสธการให้บริการในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีบล็อกการเข้าถึงความสามารถของ Wi-Fi ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการความสามารถของ Wi-Fi จากระยะไกลชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-2922 | A-29409847 | ปานกลาง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 เมษายน 2015 |
ช่องโหว่ในคอมโพเนนต์ Qualcomm
ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm ซึ่งอาจรวมถึงบูตโหลดเดอร์ ไดรเวอร์กล้อง ไดรเวอร์อักขระ เครือข่าย ไดรเวอร์เสียง และไดรเวอร์วิดีโอ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2469 | QC-CR#997025 | สูง | ไม่มี | มิ.ย. 2016 |
| CVE-2016-2469 | QC-CR#997015 | ปานกลาง | ไม่มี | มิ.ย. 2016 |
ระดับแพตช์ความปลอดภัยของวันที่ 06-09-2016 - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 06-09-2016 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยหน่วยความจำที่ใช้ร่วมกันของเคิร์กเนล
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยหน่วยความจำที่ใช้ร่วมกันของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 กรกฎาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์การทํางานเครือข่ายของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์เครือข่าย Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 ก.พ. 2016 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ระดับแพตช์ความปลอดภัยของวันที่ 01-09-2016 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 01-09-2016 ระดับแพตช์ความปลอดภัยของวันที่ 05-09-2016 หรือใหม่กว่านั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 05-09-2016 ระดับแพตช์ความปลอดภัยของวันที่ 06-09-2016 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 06-09-2016 ดูวิธีการตรวจสอบระดับแพตช์ความปลอดภัยได้ที่ศูนย์ช่วยเหลือ ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05] หรือ [ro.build.version.security_patch]:[2016-09-06]
2. เหตุใดกระดานข่าวสารนี้จึงมีสตริงระดับแพตช์ความปลอดภัย 3 รายการ
กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 3 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้สตริงระดับแพตช์ความปลอดภัยล่าสุด
อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 6 กันยายน 2016 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า) ระดับการอัปเดตนี้สร้างขึ้นเพื่อแก้ไขปัญหาที่ค้นพบหลังจากที่พาร์ทเนอร์ได้รับการแจ้งเตือนปัญหาส่วนใหญ่ในกระดานข่าวสารนี้เป็นครั้งแรก
อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 5 กันยายน 2016 ต้องมีทุกปัญหาที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ระดับแพตช์ความปลอดภัยของวันที่ 1 กันยายน 2016 และการแก้ไขสำหรับทุกปัญหาที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 5 กันยายน 2016 อาจมีการแก้ไขชุดย่อยที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 6 กันยายน 2016 ด้วย
อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 กันยายน 2016 ต้องมีทุกปัญหาที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับทุกปัญหาที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 กันยายน 2016 อาจมีการแก้ไขชุดย่อยที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 5 กันยายน 2016 และ 6 กันยายน 2016 ด้วย
3 ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Nexus เครื่องใดได้รับผลกระทบจากปัญหาแต่ละข้อ
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยของวันที่ 01-09-2016, 05-09-2016 และ 06-09-2016 แต่ละตารางจะมีคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้วซึ่งครอบคลุมช่วงของอุปกรณ์ Nexus ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับปัญหาแต่ละรายการ คอลัมน์นี้มีตัวเลือก 2-3 รายการดังนี้
- อุปกรณ์ Nexus ทั้งหมด: หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมด ตารางจะมี "Nexus ทั้งหมด" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว "Nexus ทั้งหมด" หมายถึงอุปกรณ์ที่รองรับต่อไปนี้ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player และ Pixel C
- อุปกรณ์ Nexus บางรุ่น: หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Nexus บางรุ่น อุปกรณ์ Nexus ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
- ไม่มีอุปกรณ์ Nexus: หากไม่มีอุปกรณ์ Nexus ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
4. รายการในคอลัมน์ข้อมูลอ้างอิงแมปกับอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าเหล่านี้จะแมปดังนี้
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
การแก้ไข
- 6 กันยายน 2016: เผยแพร่กระดานข่าวสาร
- 7 กันยายน 2016: แก้ไขกระดานข่าวสารเพื่อใส่ลิงก์ AOSP
- 12 กันยายน 2016: แก้ไขกระดานข่าวสารเพื่ออัปเดตการระบุแหล่งที่มาของ CVE-2016-3861 และนํา CVE-2016-3877 ออก