Published มีนาคม 06, 2017 | อัปเดตเมื่อ 07 มีนาคม 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกเหนือจากกระดานข่าวแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Google ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 05 มีนาคม 2017 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 6 กุมภาพันธ์ 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 2017-03-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-03-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-03-05 : สตริงระดับแพตช์ความปลอดภัยที่สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-03-01 และ 2017-03-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 มีนาคม 2017
การลดบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android ตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใด นอกจากนี้ Verify Apps จะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว การตรวจสอบแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:
- Alexander Potapenko จากทีม Google Dynamic Tools: CVE-2017-0537
- Baozeng Ding, Chengming Yang, Peng Xiao และ Yang Song จาก Alibaba Mobile Security Group: CVE-2017-0506
- Baozeng Ding, Ning You, Chengming Yang, Peng Xiao และ Yang Song จาก Alibaba Mobile Security Group: CVE-2017-0463
- Billy Lau จาก Android Security: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- derrek ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek ( @derrekr6 ) และ Scott Bauer ( @ScottyBauer1 ): CVE-2017-0521
- Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
- En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team : CVE-2017-0490
- Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
- Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- Hiroki Yamamoto และ Fang Chen จาก Sony Mobile Communications Inc.: CVE-2017-0481
- นักวิจัย IBM Security X-Force Sagi Kedmi และ Roee Hay: CVE-2017-0510
- Jianjun Dai ( @Jioun_dai ) จาก Qihoo 360 Skyeye Labs : CVE-2017-0478
- Jianqiang Zhao ( @jianqiangzhao ) และ pjf แห่ง IceSword Lab, Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519 , CVE-2017-0533, CVE-2017-0534
- Lubo Zhang , Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก C0RE Team : CVE-2016-8479
- Makoto Onuki จาก Google: CVE-2017-0491
- Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen และ Xuxian Jiang จาก C0RE Team : CVE-2017-0479, CVE-2017-0480
- Nathan Crandall ( @natecray ): CVE-2017-0535
- Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla Motors: CVE-2017-0306
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) จาก Baidu X-Lab (百度安全实验室): CVE-2016-8417
- Qidan He (何淇丹) ( @flanker_hqd ) จาก KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
- Qing Zhang จาก Qihoo 360 และ Guangdong Bai จากสถาบันเทคโนโลยีสิงคโปร์ (SIT): CVE-2017-0496
- Quhe และ wanchouchou แห่ง Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- Sahara แห่งการสื่อสารที่ปลอดภัยใน DarkMatter: CVE-2017-0528
- salls ( @chris_salls ) ของทีม Shellphish Grill, UC Santa Barbara: CVE-2017-0505
- สก็อตต์ บาวเออ ร์ ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
- ฌอน โบเพร (beaups): CVE-2017-0455
- Seven Shen ( @lingtongshen ) จาก Trend Micro: CVE-2017-0452
- ชินอิจิ มัตสึโมโตะ จาก Fujitsu: CVE-2017-0498
- Stéphane Marques แห่ง ByteRev : CVE-2017-0489
- Svetoslav Ganov จาก Google: CVE-2017-0492
- Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก C0RE Team : CVE-2017-0333
- VEO ( @VYSEa ) จาก Mobile Threat Response Team , Trend Micro : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE- 2017-0495
- Wish Wu (吴潍浠 此彼) ( @wish_wu ) จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- Yu Pan จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo และ Xuxian Jiang จาก C0RE Team : CVE-2017-0526, CVE-2017-0527
- Yuqi Lu ( @nikos233 ), Wenke Dou , Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก C0RE Team : CVE-2017-0483
- Zinuo Han ( weibo.com/ele7enxxh ) จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497
2017-03-01 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-03-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน OpenSSL & BoringSSL
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน OpenSSL และ BoringSSL อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์และข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 ส.ค. 2559 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [ 2 ] | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 25 พ.ย. 2559 |
| CVE-2017-0467 | A-33250932 [ 2 ] | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 30 พ.ย. 2559 |
| CVE-2017-0468 | A-33351708 [ 2 ] | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 5 ธ.ค. 2559 |
| CVE-2017-0469 | A-33450635 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 8 ธ.ค. 2559 |
| CVE-2017-0470 | A-33818500 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 21 ธ.ค. 2559 |
| CVE-2017-0471 | A-33816782 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 21 ธ.ค. 2559 |
| CVE-2017-0472 | A-33862021 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 23 ธ.ค. 2559 |
| CVE-2017-0473 | A-33982658 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 30 ธ.ค. 2559 |
| CVE-2017-0474 | A-32589224 | วิกฤต | ทั้งหมด | 7.0, 7.1.1 | Google ภายใน |
การยกระดับช่องโหว่ของสิทธิ์ในเครื่องมือตรวจสอบการกู้คืน
การยกระดับช่องโหว่ของสิทธิ์ในเครื่องมือตรวจสอบการกู้คืนอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 ต.ค. 2559 |
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน AOSP Messaging
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน AOSP Messaging อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์มีเดียและการประมวลผลข้อมูล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 6 ธ.ค. 2559 |
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libgdx
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libgdx อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-3361647 | สูง | ทั้งหมด | 7.1.1 | 14 ธ.ค. 2559 |
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในไลบรารี Framesequence อาจทำให้ผู้โจมตีใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจในบริบทของกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารี Framesequence
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 ธ.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน NFC
การยกระดับช่องโหว่ของสิทธิ์ใน NFC อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [ 2 ] | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 พ.ย. 2559 |
| CVE-2017-0480 | A-32705429 [ 2 ] | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 พ.ย. 2559 |
การปฏิเสธช่องโหว่ของบริการใน Mediaserver
ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทที่มีความรุนแรงสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 22 พ.ย. 2559 |
| CVE-2017-0483 | A-33137046 [ 2 ] | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 พ.ย. 2559 |
| CVE-2017-0484 | A-33298089 [ 2 ] | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 1 ธ.ค. 2559 |
| CVE-2017-0485 | A-33387820 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 6 ธ.ค. 2559 |
| CVE-2017-0486 | A-33621215 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 14 ธ.ค. 2559 |
| CVE-2017-0487 | A-33751193 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 19 ธ.ค. 2559 |
| CVE-2017-0488 | A-34097213 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
การยกระดับช่องโหว่ของสิทธิ์ใน Location Manager
ช่องโหว่การยกระดับสิทธิ์ใน Location Manager อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันระบบปฏิบัติการสำหรับข้อมูลตำแหน่งได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อสร้างข้อมูลที่ไม่ถูกต้องได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ใน Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถลบข้อมูลผู้ใช้ได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากเป็นการข้ามภายในเครื่องของข้อกำหนดการโต้ตอบกับผู้ใช้ ซึ่งโดยปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [ 2 ] [ 3 ] | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 25 พ.ย. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ใน Package Manager
ช่องโหว่การยกระดับสิทธิ์ใน Package Manager สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งแอปพลิเคชันหรือลบการอนุญาตออกจากแอปพลิเคชัน ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากเป็นการข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
การยกระดับช่องโหว่ของสิทธิ์ในระบบ UI
ช่องโหว่การยกระดับสิทธิ์ใน System UI สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อสร้างโอเวอร์เลย์ UI ที่ครอบคลุมทั้งหน้าจอ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากเป็นการข้ามภายในเครื่องของข้อกำหนดการโต้ตอบกับผู้ใช้ ซึ่งโดยปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | ปานกลาง | ทั้งหมด | 7.1.1 | Google ภายใน |
ช่องโหว่การเปิดเผยข้อมูลใน AOSP Messaging
ช่องโหว่ในการเปิดเผยข้อมูลใน AOSP Messaging อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นพิเศษเพื่อเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาต ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 9 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 11 ธ.ค. 2559 |
การปฏิเสธช่องโหว่ของบริการใน Setup Wizard
การปฏิเสธช่องโหว่ของบริการในวิซาร์ดการตั้งค่าอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถบล็อกการเข้าถึงอุปกรณ์ที่ได้รับผลกระทบได้ชั่วคราว ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากอาจต้องรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | ปานกลาง | ไม่มี** | 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Google ที่มีให้จาก เว็บไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การปฏิเสธช่องโหว่ของบริการใน Mediaserver
ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | ปานกลาง | ทั้งหมด | 7.0, 7.1.1 | 2 ธ.ค. 2559 |
การปฏิเสธช่องโหว่ของบริการใน Setup Wizard
ช่องโหว่การปฏิเสธบริการในวิซาร์ดการตั้งค่าอาจทำให้ผู้โจมตีในพื้นที่กำหนดให้ต้องลงชื่อเข้าใช้บัญชี Google หลังจากรีเซ็ตเป็นค่าจากโรงงาน ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากอาจต้องรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [ 2 ] | ปานกลาง | ทั้งหมด | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google ภายใน |
การปฏิเสธช่องโหว่ของบริการใน Audioserver
การปฏิเสธช่องโหว่ของบริการใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นต่ำเนื่องจากมีความเป็นไปได้ที่จะมีการปฏิเสธบริการชั่วคราว
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | ต่ำ | ทั้งหมด | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 ต.ค. 2559 |
2017-03-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-03-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
การยกระดับช่องโหว่ของสิทธิ์ในส่วนประกอบ MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในองค์ประกอบ MediaTek รวมถึงไดรเวอร์ M4U ไดรเวอร์เสียง ไดรเวอร์หน้าจอสัมผัส ไดรเวอร์ GPU และไดรเวอร์คิวคำสั่ง สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 | วิกฤต | ไม่มี** | 27 เม.ย. 2559 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 | วิกฤต | ไม่มี** | 27 เม.ย. 2559 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 | วิกฤต | ไม่มี** | 27 เม.ย. 2559 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 | วิกฤต | ไม่มี** | 28 เม.ย. 2559 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 | วิกฤต | ไม่มี** | 9 ก.ค. 2559 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 | วิกฤต | ไม่มี** | 28 ก.ย. 2559 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 | วิกฤต | ไม่มี** | 18 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 | วิกฤต | Pixel C | 6 ต.ค. 2559 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 | วิกฤต | Pixel C | 21 พ.ย. 2559 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 | วิกฤต | Pixel C | 25 ธ.ค. 2559 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 | วิกฤต | Nexus 9 | 6 ม.ค. 2017 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 | วิกฤต | Pixel C | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของระบบย่อยเคอร์เนล ION
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | วิกฤต | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 6 ต.ค. 2559 |
| CVE-2017-0508 | A-33940449* | วิกฤต | Pixel C | 28 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 | วิกฤต | ไม่มี** | 12 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในเคอร์เนล FIQ debugger
การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนลดีบักเกอร์ FIQ สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | วิกฤต | Nexus 9 | 25 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm GPU อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 | วิกฤต | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 29 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของระบบย่อยเครือข่ายเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 ต้นน้ำเคอร์เนล | วิกฤต | Pixel C, Pixel, Pixel XL | 4 ธ.ค. 2559 |
| CVE-2016-10200 | A-33753815 ต้นน้ำเคอร์เนล | วิกฤต | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 ธ.ค. 2559 |
ช่องโหว่ในส่วนประกอบ Qualcomm
ช่องโหว่ต่อไปนี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัย Qualcomm AMSS กันยายน 2016
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8485 | A-28823681** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8486 | A-28823691** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8487 | A-28823724** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
| CVE-2016-8488 | A-31625756** | วิกฤต | ไม่มี*** | Qualcomm ภายใน |
* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของระบบย่อยเครือข่ายเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 ต้นน้ำเคอร์เนล | สูง | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 12 ต.ค. 2559 |
| CVE-2016-9793 | A-33363517 ต้นน้ำเคอร์เนล | สูง | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 2 ธ.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ฮาร์ดแวร์อินพุตของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ฮาร์ดแวร์อินพุตของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 | สูง | Android One, Pixel, Pixel XL | 21 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ใน MediaTek Hardware Sensor Driver
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เซ็นเซอร์ฮาร์ดแวร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 | สูง | ไม่มี** | 22 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm ADSPRPC
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm ADSPRPC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 ก.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เซ็นเซอร์ลายนิ้วมือของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เซ็นเซอร์ลายนิ้วมือของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 | สูง | Pixel, Pixel XL | 24 ต.ค. 2559 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 | สูง | Pixel, Pixel XL | 24 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมเครื่องมือเข้ารหัสของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์เอ็นจินการเข้ารหัสลับของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 24 ก.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้องของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 | สูง | Pixel, Pixel XL | 31 ต.ค. 2559 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 | สูง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ใน MediaTek APK
การยกระดับช่องโหว่ของสิทธิ์ใน MediaTek APK สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ของการใช้รหัสโดยอำเภอใจในกระบวนการพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 | สูง | ไม่มี** | 15 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 | สูง | Nexus 5X, Pixel, Pixel XL | 15 พ.ย. 2559 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 | สูง | Nexus 5X, Android One | 30 ธ.ค. 2559 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 | สูง | ไม่มี* | Google ภายใน |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0524 | A-3302026 | สูง | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm IPA
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm IPA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 | สูง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 พ.ย. 2559 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 | สูง | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ใน HTC Sensor Hub Driver
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ HTC Sensor Hub สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | สูง | Nexus 9 | 25 ธ.ค. 2559 |
| CVE-2017-0527 | A-33899318* | สูง | Nexus 9, Pixel, Pixel XL | 25 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA GPU
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ GPU ของ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 | สูง | ไม่มี** | 28 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เครือข่าย Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เครือข่าย Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 30 พ.ย. 2559 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของระบบย่อยการรักษาความปลอดภัยของเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยการรักษาความปลอดภัยของเคอร์เนลอาจทำให้แอพพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดในบริบทของกระบวนการที่มีสิทธิพิเศษได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับเคอร์เนลในเชิงลึกหรือเทคโนโลยีลดช่องโหว่
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | สูง | Pixel, Pixel XL | 4 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm SPCom
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm SPCom อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 | สูง | ไม่มี* | Google ภายใน |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 | สูง | ไม่มี* | Google ภายใน |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในระบบย่อยของเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีในพื้นที่ใกล้เคียงสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในประเภทสูงเพราะสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 ต้นน้ำเคอร์เนล | สูง | Nexus Player | 9 พ.ย. 2557 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ MediaTek
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 | สูง | ไม่มี** | 27 เม.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลใน Qualcomm bootloader
ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm bootloader สามารถช่วยให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของ bootloader ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระดับ bootloader ในเชิงลึกหรือเทคโนโลยีการลดการเอารัดเอาเปรียบ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 | สูง | Pixel, Pixel XL | 21 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมพลังงานของ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์พลังงานของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 | สูง | Nexus 5X, Nexus 6P | 19 ธ.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ NVIDIA GPU
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ GPU ของ NVIDIA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 | สูง | Pixel C | 30 พ.ย. 2559 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 | สูง | Pixel C | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การปฏิเสธช่องโหว่ของบริการในระบบย่อยการเข้ารหัสเคอร์เนล
ช่องโหว่การปฏิเสธบริการในระบบย่อยการเข้ารหัสเคอร์เนลอาจทำให้ผู้โจมตีจากระยะไกลใช้แพ็กเก็ตเครือข่ายที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 ต้นน้ำเคอร์เนล | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 ต.ค. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง Qualcomm (เฉพาะอุปกรณ์)
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์กล้องของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ และบรรเทาได้ด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 | ปานกลาง | Android One, Nexus 5X, Pixel, Pixel XL | 9 ต.ค. 2559 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 | ปานกลาง | Pixel, Pixel XL | 3 พ.ย. 2559 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 | ปานกลาง | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | 13 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในโปรแกรมควบคุมตัวแปลงสัญญาณวิดีโอ MediaTek
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณวิดีโอ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 | ปานกลาง | ไม่มี** | 22 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์วิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 | ปานกลาง | Pixel, Pixel XL | 27 ต.ค. 2559 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 | ปานกลาง | Pixel, Pixel XL | 28 ต.ค. 2559 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 | ปานกลาง | Pixel, Pixel XL | 28 ต.ค. 2559 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 | ปานกลาง | Pixel, Pixel XL | 28 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้องของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 4 พ.ย. 2559 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [ 2 ] | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 พ.ย. 2559 |
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณเสียงของ HTC
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ตัวแปลงสัญญาณเสียงของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | ปานกลาง | Nexus 9 | 11 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์หน้าจอสัมผัส Synaptics
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์หน้าจอสัมผัส Synaptics อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | ปานกลาง | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 12 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่ในการเปิดเผยข้อมูลในเคอร์เนลไดรเวอร์อุปกรณ์ USB ของเคอร์เนล
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์อุปกรณ์ USB ของเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นปานกลาง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | ปานกลาง | Pixel C | Google ภายใน |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์กล้อง Qualcomm
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์กล้องของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงข้อมูลที่อยู่นอกระดับการอนุญาตได้ ปัญหานี้ถูกจัดประเภทเป็นต่ำเพราะก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 | ต่ำ | Nexus 5X, Nexus 6P, Android One | 10 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
- ระดับแพตช์ความปลอดภัย 2017-03-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-03-01
- ระดับแพตช์ความปลอดภัย 2017-03-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-03-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 1 มีนาคม 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 5 มีนาคม 2017 หรือใหม่กว่านั้นจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว
3. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละปัญหา
ในส่วนรายละเอียดช่องโหว่ด้านความปลอดภัย 2017-03-01 และ 2017-03-05 แต่ละตารางจะมีคอลัมน์ อุปกรณ์ Google ที่อัปเดตซึ่งครอบคลุมช่วงของอุปกรณ์ Google ที่ได้รับผลกระทบซึ่งอัปเดตสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกสองสามอย่าง:
- อุปกรณ์ Google ทั้งหมด : หากปัญหาส่งผลกระทบต่ออุปกรณ์ทั้งหมดและอุปกรณ์ Pixel ตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ย่อมาจาก อุปกรณ์ที่รองรับ ดังต่อไปนี้ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
- อุปกรณ์ Google บางส่วน : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ Google ทั้งหมด อุปกรณ์ Google ที่ได้รับผลกระทบจะแสดงอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
- ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหานี้ ตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
4. รายการในคอลัมน์อ้างอิงจับคู่กับอะไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่ คำนำหน้าเหล่านี้แมปดังนี้:
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
การแก้ไข
- 06 มีนาคม 2017: เผยแพร่กระดานข่าว
- 07 มีนาคม 2017: กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP