เผยแพร่เมื่อวันที่ 03 ตุลาคม 2016 | อัปเดตเมื่อวันที่ 04 ตุลาคม 2016
กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวสารแล้ว เรายังได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตผ่านอากาศ (OTA) ด้วย เราได้เผยแพร่เฟิร์มแวร์ของ Nexus ไปยังเว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google ด้วย ระดับแพตช์ความปลอดภัยของวันที่ 5 ตุลาคม 2016 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ โปรดดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยจากเอกสารประกอบ อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 5 ตุลาคม 2016
พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาที่อธิบายไว้ในกระดานข่าวสารเมื่อวันที่ 6 กันยายน 2016 หรือก่อนหน้านั้น เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บโครงการโอเพนซอร์ส Android (AOSP) แล้ว (หากมี) กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยร้ายแรงในโค้ดเฉพาะอุปกรณ์ที่อาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลภายในบริบทของเคิร์กเนล ซึ่งอาจทำให้อุปกรณ์ในเครื่องถูกบุกรุกอย่างถาวรได้ ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์ การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาปัญหาของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงได้สําเร็จ
เราไม่พบรายงานการแสวงหาประโยชน์หรือการใช้ในทางที่ผิดของลูกค้าเกี่ยวกับปัญหาที่รายงานเข้ามาใหม่เหล่านี้ โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ที่ส่วนการบรรเทาสำหรับ Android และบริการของ Google ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
ประกาศ
- กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ดูข้อมูลเพิ่มเติมได้จากคำถามที่พบบ่อยและคำตอบ ดังนี้
- 2016-10-01: สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-10-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2016-10-05: สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2016-10-01 และ 2016-10-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Nexus ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวที่มีระดับแพตช์ความปลอดภัยของวันที่ 5 ตุลาคม 2016
การลดผลกระทบต่อบริการของ Android และ Google
ข้อมูลต่อไปนี้เป็นสรุปของการลดความเสี่ยงที่ได้จากแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้จะช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดด้วยการยืนยันแอปและ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย ยืนยันแอปจะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เราไม่อนุญาตให้มีเครื่องมือการรูทอุปกรณ์ใน Google Play แต่แอป "ยืนยันแอป" จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าแอปพลิเคชันนั้นจะมาจากที่ใดก็ตาม นอกจากนี้ ฟีเจอร์ตรวจสอบแอปจะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายซึ่งทราบอยู่แล้วว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ หากติดตั้งแอปพลิเคชันดังกล่าวไว้แล้ว ฟีเจอร์ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามนำแอปพลิเคชันที่ตรวจพบออก
- แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติตามความเหมาะสม
ขอขอบคุณ
ขอขอบคุณนักวิจัยต่อไปนี้ที่มีส่วนร่วม
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Daniel Micay จาก Copperhead Security: CVE-2016-3922
- Dmitry Vyukov จาก Google: CVE-2016-7117
- dosomder: CVE-2016-3931
- Ecular Xu (徐健) จาก Trend Micro: CVE-2016-3920
- Gengjia Chen (@chengjia4574) และ pjf จาก IceSword Lab, Qihoo 360 Tech. Co. Ltd. CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- Hang Zhang, Dongdong She และ Zhiyun Qian จาก UC Riverside: CVE-2015-8950
- Hao Chen จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Jann Horn จาก Google Project Zero: CVE-2016-3900, CVE-2016-3885
- Jason Rogena: CVE-2016-3917
- Jianqiang Zhao (@jianqiangzhao) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681, CVE-2016-6682, CVE-2016-3930
- Joshua Drake (@jduck): CVE-2016-3920
- Maciej Szawłowski จากทีมรักษาความปลอดภัยของ Google: CVE-2016-3905
- แบรนด์ Mark ของ Google Project Zero: CVE-2016-6689
- Michał Bednarski: CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3933, CVE-2016-3932
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5348
- Roee Hay นักวิจัยจาก IBM Security X-Force: CVE-2016-6678
- Samuel Tan จาก Google: CVE-2016-3925
- Scott Bauer (@ScottyBauer1): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Seven Shen (@lingtongshen) จากทีมวิจัยภัยคุกคามบนอุปกรณ์เคลื่อนที่ของ Trend Micro: CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu), และ Xuxian Jiang จากทีม C0RE: CVE-2016-3909
- Wenlin Yang และ Guang Gong (龚广) (@oldfresher) จากทีม Alpha, Qihoo 360 Technology Co. Ltd. CVE-2016-3918
- Wish Wu (吴潍浠) (@wish_wu) จาก Trend Micro Inc. CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Yong Shi จากทีม Eagleye, SCC, Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) (@0xr0ot) จาก Cheetah Mobile ทีมวิจัยความปลอดภัย: CVE-2016-3908
2016-10-01 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 01-10-2016 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การยกระดับสิทธิ์ใน ServiceManager
การเพิ่มสิทธิ์ใน ServiceManager อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องลงทะเบียนบริการที่ตนต้องการได้ ซึ่งปกติแล้วบริการดังกล่าวจะจัดหาโดยกระบวนการที่มีสิทธิ์ เช่น system_server ปัญหานี้จัดอยู่ในระดับความรุนแรงสูงเนื่องจากมีความเป็นไปได้ที่จะมีการแอบอ้างเป็นบริการ
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [2] | สูง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 มิ.ย. 2016 |
ช่องโหว่ด้านการเพิ่มสิทธิ์ในบริการการตั้งค่าล็อก
ช่องโหว่การยกระดับสิทธิ์ในบริการการตั้งค่าการล็อกอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องล้าง PIN หรือรหัสผ่านของอุปกรณ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากเป็นการลบล้างข้อกำหนดของการโต้ตอบของผู้ใช้สำหรับการแก้ไขการตั้งค่าสำหรับนักพัฒนาแอปหรือการตั้งค่าความปลอดภัย
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | สูง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | 6 กรกฎาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [2] | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 ก.ค. 2016 |
| CVE-2016-3910 | A-30148546 | สูง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 ก.ค. 2016 |
| CVE-2016-3913 | A-30204103 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 กรกฎาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในกระบวนการ Zygote
การยกระดับสิทธิ์ในกระบวนการ Zygote อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 ก.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน API ของเฟรมเวิร์ก
ช่องโหว่การยกระดับสิทธิ์ใน API ของเฟรมเวิร์กอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 ก.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในโทรศัพท์
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์โทรศัพท์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 กรกฎาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในบริการกล้อง
ช่องโหว่การยกระดับสิทธิ์ในบริการกล้องอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 ส.ค. 2016 |
| CVE-2016-3916 | A-30741779 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 ส.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในการเข้าสู่ระบบด้วยลายนิ้วมือ
ช่องโหว่การยกระดับสิทธิ์ระหว่างการเข้าสู่ระบบด้วยลายนิ้วมืออาจทำให้เจ้าของอุปกรณ์ที่เป็นอันตรายเข้าสู่ระบบในฐานะบัญชีผู้ใช้อื่นในอุปกรณ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเสี่ยงที่จะมีการข้ามหน้าจอล็อก
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | สูง | Nexus ทั้งหมด | 6.0.1, 7.0 | 5 ส.ค. 2016 |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Mail อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันของระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 ส.ค. 2016 |
การปฏิเสธการให้บริการ ช่องโหว่ใน Wi-Fi
ช่องโหว่การปฏิเสธบริการใน Wi-Fi อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียงสร้างฮอตสปอตและทำให้อุปกรณ์รีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกลชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | สูง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | 17 มิ.ย. 2016 |
ช่องโหว่การปฏิเสธการให้บริการใน GPS
ช่องโหว่การปฏิเสธบริการในคอมโพเนนต์ GPS อาจทำให้ผู้โจมตีจากระยะไกลทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีแนวโน้มที่จะมีการปฏิเสธการให้บริการจากระยะไกลชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | สูง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 มิ.ย. 2016 |
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver
ช่องโหว่การปฏิเสธการให้บริการใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | สูง | Nexus ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 ส.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Framework Listener
ช่องโหว่การยกระดับสิทธิ์ใน Framework Listener อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 มิถุนายน 2016 |
ช่องโหว่การยกระดับสิทธิ์ในโทรศัพท์
ช่องโหว่การยกระดับสิทธิ์ในโทรศัพท์อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองในบริบทของกระบวนการที่มีสิทธิ์ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | ปานกลาง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | 17 ก.ค. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในบริการการช่วยเหลือพิเศษ
ช่องโหว่การยกระดับสิทธิ์ในบริการการช่วยเหลือพิเศษอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสร้างเหตุการณ์การสัมผัสที่ไม่คาดคิดในอุปกรณ์ ซึ่งอาจทำให้แอปพลิเคชันยอมรับกล่องโต้ตอบสิทธิ์โดยไม่ได้รับความยินยอมจากผู้ใช้อย่างชัดเจน ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากเป็นการลบล้างข้อกําหนดของการโต้ตอบของผู้ใช้ซึ่งปกติแล้วจะต้องได้รับการเริ่มต้นจากผู้ใช้หรือได้รับสิทธิ์จากผู้ใช้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | ปานกลาง | Nexus ทั้งหมด | 7.0 | ภายในของ Google |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | ปานกลาง | Nexus ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 กรกฎาคม 2016 |
ช่องโหว่การปฏิเสธการให้บริการใน Wi-Fi
ช่องโหว่การปฏิเสธการให้บริการในบริการ Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องป้องกันไม่ให้โทรผ่าน Wi-Fi ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากมีแนวโน้มที่จะปฏิเสธฟังก์ชันการทํางานของแอปพลิเคชัน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | เวอร์ชัน AOSP ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | ปานกลาง | Nexus ทั้งหมด | 6.0, 6.0.1, 7.0 | ภายในของ Google |
2016-10-05 ระดับแพตช์ความปลอดภัย - รายละเอียดช่องโหว่
ในส่วนด้านล่างนี้ เรามีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับแพตช์ 2016-10-05 โดยมีคำอธิบายปัญหา เหตุผลด้านความรุนแรง และตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ความรุนแรง, อุปกรณ์ Nexus ที่อัปเดตแล้ว, เวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) และวันที่รายงาน เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในโปรแกรมถอดรหัส ASN.1 ของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในตัวถอดรหัส ASN.1 ของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัล ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 เคอร์เนล Upstream |
วิกฤต | Nexus 5X, Nexus 6P | 12 พฤษภาคม 2016 |
ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่ด้านการดำเนินการกับโค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีระยะไกลสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมในพื้นที่อย่างถาวร ซึ่งอาจต้องแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Upstream kernel |
วิกฤต | Nexus ทั้งหมด | ภายในของ Google |
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ MediaTek
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 |
วิกฤต | ไม่มี | 6 กรกฎาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในไดรฟ์หน่วยความจำที่แชร์ของเคิร์กัลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กัลได้ ปัญหานี้จัดอยู่ในระดับร้ายแรงเนื่องจากมีความเป็นไปได้ที่อุปกรณ์จะเกิดการประนีประนอมแบบถาวร ซึ่งอาจต้องมีการแฟลชระบบปฏิบัติการอีกครั้งเพื่อซ่อมอุปกรณ์
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 กรกฎาคม 2016 |
ช่องโหว่ในคอมโพเนนต์ Qualcomm
ตารางด้านล่างแสดงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และอธิบายไว้อย่างละเอียดในกระดานข่าวสารด้านความปลอดภัยของ Qualcomm AMSS เดือนมีนาคม 2016 และ Qualcomm AMSS เดือนเมษายน 2016
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | วิกฤต | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | ภายใน Qualcomm |
| CVE-2016-3927 | A-28823244* | วิกฤต | Nexus 5X, Nexus 6P | ภายใน Qualcomm |
| CVE-2016-3929 | A-28823675* | สูง | Nexus 5X, Nexus 6P | ภายใน Qualcomm |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่ด้านการเพิ่มสิทธิ์ในคอมโพเนนต์เครือข่ายของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในคอมโพเนนต์เครือข่าย Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 ก.พ. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมทดสอบ MMC ของ NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมทดสอบ MMC ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 |
สูง | Nexus 9 | 12 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Qualcomm QSEE Communicator
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Qualcomm QSEE Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver
ช่องโหว่การยกระดับสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 |
สูง | ไม่มี | 6 มิ.ย. 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 |
สูง | Nexus 9, Pixel C | 14 มิ.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 มิ.ย. 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 ก.ค. 2016 |
ช่องโหว่ด้านการเพิ่มสิทธิ์ในไดรฟ์เสียง Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 |
สูง | Nexus 5X, Nexus 6P, Android One | 20 มิ.ย. 2016 |
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เครื่องมือเข้ารหัสของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์เครื่องมือเข้ารหัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดตามต้องการภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 กรกฎาคม 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 กรกฎาคม 2016 |
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ MediaTek
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 |
สูง | ไม่มี | 6 กรกฎาคม 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 |
สูง | ไม่มี | 7 กรกฎาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในโปรแกรมควบคุมวิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 กรกฎาคม 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 |
สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 สิงหาคม 2016 |
ช่องโหว่ด้านการเพิ่มสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | สูง | Nexus 6P, Android One | 12 ก.ค. 2016 |
| CVE-2016-6672 | A-30537088* | สูง | Nexus 5X | 31 ก.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่ด้านการเพิ่มสิทธิ์ในไดรเวอร์กล้อง NVIDIA
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์กล้อง NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 |
สูง | Nexus 9 | 17 ก.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ใน system_server
ช่องโหว่การยกระดับสิทธิ์ใน system_server อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่มีสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อรับสิทธิ์เข้าถึงความสามารถที่ยกระดับในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามจะเข้าถึงไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | สูง | Nexus ทั้งหมด | 26 กรกฎาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์ Wi-Fi ของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 |
สูง | Nexus 5X | ภายในของ Google |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 |
สูง | Nexus 5X, Android One | 15 สิงหาคม 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 |
สูง | Nexus 5X, Android One | 15 สิงหาคม 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 |
สูง | Android One | 15 สิงหาคม 2016 |
ช่องโหว่ด้านการเพิ่มสิทธิ์ในระบบย่อยด้านประสิทธิภาพของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยด้านประสิทธิภาพของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์นเนลได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องอาศัยการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 เคอร์เนล Upstream |
สูง | Nexus 5X, Nexus 6P, Pixel C, Android One | ภายในของ Google |
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อย ION ของเคิร์นัล
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อย ION ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากอาจนำไปใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดเจน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 |
สูง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 พฤษภาคม 2016 |
ช่องโหว่ด้านการเปิดเผยข้อมูลในไดรเวอร์ GPU ของ NVIDIA
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ GPU ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับสูงเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 |
สูง | Nexus 9 | 19 ก.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การยกระดับสิทธิ์ในไดรฟ์อักขระ Qualcomm
ช่องโหว่การยกระดับสิทธิ์ในไดรเวอร์อักขระของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคิร์กเนลได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องทำการประนีประนอมกระบวนการที่มีสิทธิ์ก่อน และขณะนี้ยังเข้าถึงโค้ดที่มีช่องโหว่ไม่ได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 |
ปานกลาง | Nexus 5X, Nexus 6P | 28 พฤษภาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลในไดรฟ์เสียง Qualcomm
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เสียง Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 |
ปานกลาง | Nexus 5X, Nexus 6P, Android One | 13 มิ.ย. 2016 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Motorola USBNet
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ USBNet ของ Motorola อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | ปานกลาง | Nexus 6 | 30 มิ.ย. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่ด้านการเปิดเผยข้อมูลในคอมโพเนนต์ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์ของ Qualcomm ซึ่งรวมถึงไดรเวอร์เสียง ไดรเวอร์ IPA และไดรเวอร์ Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [2] |
ปานกลาง | Nexus 5X, Android One | 30 มิ.ย. 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 |
ปานกลาง | Nexus 5X, Nexus 6P | 2 ก.ค. 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 |
ปานกลาง | Nexus 5X, Android One | 3 ก.ค. 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 |
ปานกลาง | Nexus 5X, Nexus 6P, Android One | 14 ก.ค. 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 |
ปานกลาง | Nexus 5X, Nexus 6P, Android One | 14 ก.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในคอมโพเนนต์เคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในคอมโพเนนต์เคอร์เนล ซึ่งรวมถึง Binder, Sync, บลูทูธ และไดรเวอร์เสียง อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | ปานกลาง | Nexus ทั้งหมด | 13 ก.ค. 2016 |
| CVE-2016-6684 | A-30148243* | ปานกลาง | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One | 13 ก.ค. 2016 |
| CVE-2015-8956 | A-30149612* | ปานกลาง | Nexus 5, Nexus 6P, Android One | 14 ก.ค. 2016 |
| CVE-2016-6685 | A-30402628* | ปานกลาง | Nexus 6P | 25 กรกฎาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในเครื่องมือวิเคราะห์ประสิทธิภาพของ NVIDIA
ช่องโหว่ในการเปิดเผยข้อมูลในเครื่องมือวิเคราะห์ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 |
ปานกลาง | Nexus 9 | 15 ก.ค. 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 |
ปานกลาง | Nexus 9 | 15 ก.ค. 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 |
ปานกลาง | Nexus 9 | 2 ส.ค. 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
การเปิดเผยข้อมูล ช่องโหว่ในเคอร์เนล
ช่องโหว่การเปิดเผยข้อมูลใน Binder อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลนอกระดับสิทธิ์ได้ ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากต้องทำการละเมิดกระบวนการที่มีสิทธิ์ก่อน
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | ปานกลาง | Nexus ทั้งหมด | 9 สิงหาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่การปฏิเสธการให้บริการในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่การปฏิเสธการให้บริการในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีบล็อกการเข้าถึงการเชื่อมต่อ TCP และทำให้เกิดการปฏิเสธการให้บริการจากระยะไกลชั่วคราว ปัญหานี้จัดอยู่ในระดับปานกลางเนื่องจากบริการเครือข่ายมือถือยังคงใช้งานได้และอุปกรณ์ยังใช้งานได้
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Upstream kernel |
ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 ก.ค. 2016 |
ช่องโหว่การปฏิเสธการให้บริการในเคอร์เนล ไดรเวอร์เสียง
ช่องโหว่การปฏิเสธบริการในเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทําให้อุปกรณ์รีบูต ปัญหานี้จัดอยู่ในระดับต่ำเนื่องจากเป็นการปฏิเสธการให้บริการชั่วคราว
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | ต่ำ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 พฤษภาคม 2016 |
* การแก้ไขสำหรับปัญหานี้ยังไม่พร้อมให้บริการแก่สาธารณะ การอัปเดตนี้อยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
ช่องโหว่ในคอมโพเนนต์ของ Qualcomm
ตารางด้านล่างแสดงรายการช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | อุปกรณ์ Nexus ที่อัปเดตแล้ว | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | สูง | ไม่มี | ก.ค. 2016 |
| CVE-2016-6692 | QC-CR#1004933 | สูง | ไม่มี | ส.ค. 2016 |
| CVE-2016-6693 | QC-CR#1027585 | สูง | ไม่มี | ส.ค. 2016 |
| CVE-2016-6694 | QC-CR#1033525 | สูง | ไม่มี | ส.ค. 2016 |
| CVE-2016-6695 | QC-CR#1033540 | สูง | ไม่มี | ส.ค. 2016 |
| CVE-2016-6696 | QC-CR#1041130 | สูง | ไม่มี | ส.ค. 2016 |
| CVE-2016-5344 | QC-CR#993650 | ปานกลาง | ไม่มี | ส.ค. 2016 |
| CVE-2016-5343 | QC-CR#1010081 | ปานกลาง | ไม่มี | ส.ค. 2016 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ระดับแพตช์ความปลอดภัยของวันที่ 01-10-2016 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 01-10-2016 ระดับแพตช์ความปลอดภัยของวันที่ 05-10-2016 หรือใหม่กว่านั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับสตริงแพตช์ความปลอดภัยของวันที่ 05-10-2016 ดูวิธีการตรวจสอบระดับแพตช์ความปลอดภัยได้ที่ศูนย์ช่วยเหลือ ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น [ro.build.version.security_patch]:[2016-10-01] หรือ [ro.build.version.security_patch]:[2016-10-05]
2. เหตุใดกระดานข่าวสารนี้จึงมีสตริงระดับแพตช์ความปลอดภัย 2 รายการ
กระดานข่าวสารนี้มีสตริงระดับแพตช์ความปลอดภัย 2 รายการเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้ และใช้สตริงระดับแพตช์ความปลอดภัยล่าสุด
อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับวันที่ 5 ตุลาคม 2016 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 1 ตุลาคม 2016 จะต้องแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Nexus เครื่องใดได้รับผลกระทบจากปัญหาแต่ละข้อ
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัยของวันที่ 01-10-2016 และ 05-10-2016 แต่ละตารางจะมีคอลัมน์อุปกรณ์ Nexus ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Nexus ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับปัญหาแต่ละรายการ คอลัมน์นี้มีตัวเลือก 2-3 รายการดังนี้
- อุปกรณ์ Nexus ทั้งหมด: หากปัญหาส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมด ตารางจะมี "Nexus ทั้งหมด" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว "Nexus ทั้งหมด" หมายถึงอุปกรณ์ที่รองรับต่อไปนี้ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player และ Pixel C
- อุปกรณ์ Nexus บางรุ่น: หากปัญหาไม่ได้ส่งผลกระทบต่ออุปกรณ์ Nexus ทั้งหมด อุปกรณ์ Nexus ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
- ไม่มีอุปกรณ์ Nexus: หากไม่มีอุปกรณ์ Nexus ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์อุปกรณ์ Nexus ที่อัปเดตแล้ว
4. รายการในคอลัมน์ข้อมูลอ้างอิงแมปกับอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง คำนำหน้าเหล่านี้จะแมปดังนี้
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
การแก้ไข
- 3 ตุลาคม 2016: เผยแพร่กระดานข่าวสาร
- 4 ตุลาคม 2016: แก้ไขกระดานข่าวสารเพื่อใส่ลิงก์ AOSP และอัปเดตการระบุแหล่งที่มาสำหรับ CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 และ CVE-2016-6696