發布日期:2017 年 4 月 3 日 | 更新日期:2017 年 8 月 17 日
Android 安全性公告列舉對 Android 裝置造成影響的安全漏洞,並說明相關細節。在這篇公告發布時,Google 已透過無線更新 (OTA) 機制發布 Nexus 裝置的安全性更新。此外,Google 韌體映像檔也已經發布到 Google Developers 網站上。2017 年 4 月 5 日之後的安全性修補程式等級已解決了這些已提及的所有問題。請參閱 Pixel 與 Nexus 更新時間表,瞭解如何查看裝置的安全性修補程式等級。
我們的合作夥伴在 2017 年 3 月 6 日當天或更早之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發布到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。
在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。評定安全漏洞嚴重程度時,是假設平台與服務的因應措施因開發作業需求而關閉或遭人規避,然後推估裝置在安全漏洞遭人攻擊時,會受到多大影響,藉此判定嚴重程度。
目前還沒有客戶指出這些新的安全漏洞遭到攻擊或濫用。如果想進一步瞭解 Android 安全性平台防護措施和 SafetyNet 等服務防護措施如何加強 Android 平台的安全性,請參閱「Android 和 Google 服務的資安因應措施」一節。
我們建議所有客戶接受這些裝置更新。
公告事項
- 本公告納入兩種安全性修補程式等級字串,可以方便 Android 合作夥伴靈活運用,快速修正某些發生在所有 Android 裝置上的類似安全漏洞。如需其他資訊,請參閱「常見問題與解答」一節:
- 2017-04-01:部分安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-04-01 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。
- 2017-04-05:完整安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-04-01 和 2017-04-05 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。
- 支援的 Google 裝置會收到一項 OTA 更新,安全性修補程式等級為 2017 年 4 月 5 日。
Android 和 Google 服務的資安因應措施
本節概述 Android 安全性平台和 SafetyNet 等服務防護方案提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全漏洞來達到特定目的。
- Android 平台持續推出新版本強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版 Android。
- Android 安全性團隊採用「驗證應用程式」和 SafetyNet 主動監控濫用情形,並向使用者警示可能有害的應用程式。在預設情況下,搭載 Google 行動服務的裝置會自動啟用「驗證應用程式」。使用者如果不是從 Google Play 安裝應用程式,這項防護措施格外重要。Google Play 禁止發布任何可用於獲取裝置 Root 權限的工具,但「驗證應用程式」會在使用者嘗試安裝已偵測到的 Root 權限獲取應用程式 (無論其來源為何) 時發出警告。此外,「驗證應用程式」會設法找出已知會攻擊權限提升安全漏洞的惡意應用程式,並禁止安裝這類應用程式。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者並嘗試移除偵測到的應用程式。
- 在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。
特別銘謝
感謝以下研究人員做出的貢獻:
- Shellphish Grill 小組的 Aravind Machiry (donfos):CVE-2016-5349
- 騰訊玄武實驗室的 Daxing Guo (@freener0):CVE-2017-0585、CVE-2017-0553
- Derrek (@derrekr6) 和 Scott Bauer:CVE-2017-0576
- Project Zero 的 Gal Beniamini:CVE-2017-0571、CVE-2017-0570、CVE-2017-0572、CVE-2017-0569、CVE-2017-0561
- 奇虎 360 科技有限公司冰刃實驗室的 Gengjia Chen (@chengjia4574) 和 pjf:CVE-2017-6426、CVE-2017-0581、CVE-2017-0329、CVE-2017-0332、CVE-2017-0566、CVE-2017-0573
- 奇虎 360 科技有限公司 Alpha 團隊的 Guang Gong (龔廣) (@oldfresher):CVE-2017-0547
- 奇虎 360 科技有限公司 Alpha 團隊的 Hao Chen 和 Guang Gong:CVE-2017-6424、CVE-2017-0584、CVE-2017-0454、CVE-2017-0574、CVE-2017-0575、CVE-2017-0567
- Ian Foster (@lanrat):CVE-2017-0554
- 趨勢科技的 Jack Tang:CVE-2017-0579
- 奇虎 360 Skyeye 實驗室的 Jianjun Dai (@Jioun_dai):CVE-2017-0559、CVE-2017-0541
- 奇虎 360 冰刃實驗室的 Jianqiang Zhao (@jianqiangzhao) 和 pjf:CVE-2017-6425、CVE-2016-5346
- 奇虎 360 科技有限公司 C0RE 團隊的 Lubo Zhang (zlbzlb815@163.com) 和冰刃實驗室的 Yonggang Guo (@guoygang):CVE-2017-0564
- Google 的 Mark Salyzyn:CVE-2017-0558
- 特斯拉產品安全團隊的 Mike Andereson (@manderbot) 和 Nathan Crand (@natecray):CVE-2017-0327、CVE-2017-0328
- 阿里巴巴行動安全小組的 Peng Xiao、Chengming Yang、Ning You、Chao Yang 和 Yang Song:CVE-2017-0565
- Baidu X-Lab (百度安全實驗室) 的 Pengfei Ding (丁鵬飛)、Chenfu Bao (包沉浮) 和 Lenx Wei (韋韜):CVE-2016-10236
- 騰訊科恩實驗室的 Qidan He (何淇丹 - @flanker_hqd):CVE-2017-0544、CVE-2017-0325
- HCL 科技 Aleph 研究部門的 Roee Hay (@roeehay):CVE-2017-0582、CVE-2017-0563
- Scott Bauer (@ScottyBauer1):CVE-2017-0562、CVE-2017-0339
- 趨勢科技行動威脅研究小組成員 Seven Shen (@lingtongshen):CVE-2016-10231、CVE-2017-0578、CVE-2017-0586
- Tim Becker:CVE-2017-0546
- Uma Sankar Pradhan (@umasankar_iitd):CVE-2017-0560
- 趨勢科技行動威脅團隊的 V.E.O (@VYSEa):CVE-2017-0555、CVE-2017-0538、CVE-2017-0539、CVE-2017-0557、CVE-2017-0556
- 阿里巴巴的 Weichao Sun (@sunblate):CVE-2017-0549
- 奇虎 360 科技有限公司 Alpha 團隊的 Wenlin Yang (@wenlin_yang)、Guang Gong (@oldfresher) 和 Hao Chen:CVE-2017-0580、CVE-2017-0577
- 奇虎 360 科技有限公司成都安全性應變中心成員 Zinuo Han:CVE-2017-0548
- Google 的 Zubin Mithra:CVE-2017-0462
2017-04-01 安全性修補程式等級 - 安全漏洞詳情
下列各節針對 2017-04-01 安全性修補程式等級適用的各項安全漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,當中說明漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置和回報日期。在適用情況下,我們也會提供更新的 Android 開放原始碼計畫版本。假如有公開變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
媒體伺服器中的遠端程式碼執行漏洞
在媒體檔案和資料的處理期間,媒體伺服器中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0538 | A-33641588 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 13 日 |
| CVE-2017-0539 | A-33864300 | 最高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 23 日 |
| CVE-2017-0541 | A-34031018 | 最高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 1 日 |
| CVE-2017-0542 | A-33934721 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
| CVE-2017-0543 | A-34097866 | 最高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
CameraBase 中的權限升級漏洞
CameraBase 中的權限升級漏洞可能會讓本機惡意應用程式執行任何指令。由於這個問題可讓攻擊者藉由獲得授權的本機程序執行任何指令,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0544 | A-31992879 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 6 日 |
音訊伺服器中的權限升級漏洞
音訊伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於有心人士可利用這個漏洞來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0545 | A-32591350 | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 31 日 |
SurfaceFlinger 中的權限升級漏洞
SurfaceFlinger 中的權限提升漏洞可能會讓本機惡意應用程式在具有特殊權限的程序環境內執行任何程式碼。由於有心人士可利用這個漏洞來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0546 | A-32628763 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 2 日 |
媒體伺服器中的資訊外洩漏洞
媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊可規避作業系統為了將應用程式資料與其他應用程式隔離而採取的防護措施,因此這個問題的嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0547 | A-33861560 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 22 日 |
libskia 中的拒絕服務漏洞
libskia 中的阻斷服務安全漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0548 | A-33251605 | 高 | 全部 | 7.0、7.1.1 | 2016 年 11 月 29 日 |
媒體伺服器中的拒絕服務漏洞
媒體伺服器中的遠端阻斷服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端阻斷服務,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0549 | A-33818508 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 20 日 |
| CVE-2017-0550 | A-33933140 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
| CVE-2017-0551 | A-34097231 [2] | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
| CVE-2017-0552 | A-34097915 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
libnl 中的權限提升漏洞
libnl 中的權限提升漏洞可能會讓本機惡意應用程式在 Wi-Fi 服務環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,而目前平台的設定可因應這種攻擊,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0553 | A-32342065 | 中 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 21 日 |
電話通訊系統中的權限升級漏洞
電話通訊系統中的權限升級漏洞可能會讓本機惡意應用程式存取其權限等級以外的功能。由於這個問題可用來取得某些進階功能的存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0554 | A-33815946 [2] | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 20 日 |
媒體伺服器中的資訊外洩漏洞
媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於此問題可讓有心人士不必取得授權就能存取資料,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0555 | A-33551775 | 中 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 12 日 |
| CVE-2017-0556 | A-34093952 | 中 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 4 日 |
| CVE-2017-0557 | A-34093073 | 中 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 4 日 |
| CVE-2017-0558 | A-34056274 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
libskia 中的資訊外洩漏洞
libskia 中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於此問題可讓有心人士不必取得授權就能存取資料,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0559 | A-33897722 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 25 日 |
恢復原廠設定程序中的資訊外洩漏洞
恢復原廠設定程序中的資訊外洩漏洞可能會讓本機惡意攻擊者存取上一位擁有者的資料。由於這個問題或許可用於規避裝置保護措施,因此嚴重程度被評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2017-0560 | A-30681079 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 內部資訊 |
2017-04-05 安全性修補程式等級 - 資安漏洞詳情
下列各節針對 2017-04-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 Android 開放原始碼計劃版本 (在適用情況下) 和回報日期。假如有公開變更內容可以解決某錯誤,我們會連結相對應的錯誤 ID 和變更內容 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
Broadcom Wi-Fi 韌體中的遠端程式碼執行漏洞
Broadcom Wi-Fi 韌體中的遠端程式碼執行安全漏洞可能會讓遠端攻擊者在 Wi-Fi SoC 環境內執行任何指令。由於這個問題可能會讓遠端程式碼在 Wi-Fi SoC 環境內執行,因此嚴重程度被評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0561 | A-34199105* B-RB#110814 |
最高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 1 月 9 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 加密編譯引擎驅動程式中的遠端程式碼執行漏洞
Qualcomm 加密編譯引擎驅動程式中的遠端程式碼執行安全漏洞可能會讓遠端攻擊者在核心環境內執行任何指令。由於這個問題可能會讓遠端程式碼在核心環境內執行,因此嚴重程度被評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10230 | A-34389927 QC-CR#1091408 |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 10 日 |
核心網路子系統中的遠端程式碼執行漏洞
核心網路子系統中的遠端程式碼執行漏洞可能會讓遠端攻擊者在核心環境內執行任何程式碼。由於這個問題可能會讓遠端程式碼在核心環境內執行,因此嚴重程度被評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10229 | A-32813456 上游程式庫核心 |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | Google 內部資訊 |
MediaTek 觸控螢幕驅動程式中的權限提升漏洞
聯發科技觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0562 | A-30202425* M-ALPS02898189 |
最高* | 無** | 2016 年 7 月 16 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
HTC 觸控螢幕驅動程式中的權限升級漏洞
HTC 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0563 | A-32089409* |
最高 | Nexus 9 | 2016 年 10 月 9 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
核心 ION 子系統中的權限升級漏洞
核心 ION 子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能會永久破壞本機裝置,使用者可能要重新刷新作業系統才能修復裝置,因此嚴重程度評定為「最高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0564 | A-34276203* |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2017 年 1 月 12 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 元件中的漏洞
以下列出會影響 Qualcomm 元件的安全漏洞,詳情請參考 2016 年 10 月的 Qualcomm AMSS 安全性公告。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10237 | A-31628601** QC-CR#1046751 |
最高 | 無** | Qualcomm 內部資訊 |
| CVE-2016-10238 | A-35358527** QC-CR#1042558 |
最高 | 無*** | Qualcomm 內部資訊 |
| CVE-2016-10239 | A-31624618** QC-CR#1032929 |
高 | Pixel、Pixel XL | Qualcomm 內部資訊 |
* 這些漏洞的嚴重程度是由廠商自行評定。
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
*** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
v8 中的遠端程式碼執行漏洞
v8 中的遠端程式碼執行漏洞可能會讓遠端攻擊者在獲得授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在網站中執行,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-5129 | A-29178923 | 高 | 無* | 6.0、6.0.1、7.0 | 2016 年 7 月 20 日 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Freetype 中的遠端程式碼執行漏洞
Freetype 中的遠端程式碼執行漏洞可能會讓本機惡意應用程式在未獲授權的程序中,載入特製字型造成記憶體出錯。由於這個問題可能會讓遠端程式碼在使用這個程式庫的應用程式中執行,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 Android 開放原始碼計畫版本 | 回報日期 |
|---|---|---|---|---|---|
| CVE-2016-10244 | A-31470908 | 高 | 無* | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | 2016 年 9 月 13 日 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
核心音效子系統中的權限升級漏洞
核心音效子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-4656 | A-34464977 上游程式庫核心 |
高 | Nexus 6、Nexus Player | 2014 年 6 月 26 日 |
NVIDIA 加密編譯驅動程式中的權限升級漏洞
NVIDIA 加密編譯驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0339 | A-27930566* N-CVE-2017-0339 |
高 | Nexus 9 | 2016 年 3 月 29 日 |
| CVE-2017-0332 | A-33812508* N-CVE-2017-0332 |
高 | Nexus 9 | 2016 年 12 月 21 日 |
| CVE-2017-0327 | A-33893669* N-CVE-2017-0327 |
高 | Nexus 9 | 2016 年 12 月 24 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
MediaTek 熱能感知驅動程式中的權限提升漏洞
聯發科技熱能感知驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0565 | A-28175904* M-ALPS02696516 |
高 | 無** | 2016 年 4 月 11 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
MediaTek 相機驅動程式中的權限升級安全漏洞
MediaTek 相機驅動程式中的權限提升漏洞,可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0566 | A-28470975* M-ALPS02696367 |
高 | 無** | 2016 年 4 月 29 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Broadcom Wi-Fi 驅動程式中的權限升級漏洞
Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0567 | A-32125310* B-RB#112575 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 10 月 12 日 |
| CVE-2017-0568 | A-34197514* B-RB#112600 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 1 月 9 日 |
| CVE-2017-0569 | A-34198729* B-RB#110666 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 1 月 9 日 |
| CVE-2017-0570 | A-34199963* B-RB#110688 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 1 月 9 日 |
| CVE-2017-0571 | A-34203305* B-RB#111541 |
高 | Nexus 6、Nexus 6P、Pixel C、Nexus Player | 2017 年 1 月 9 日 |
| CVE-2017-0572 | A-34198931* B-RB#112597 |
高 | 無** | 2017 年 1 月 9 日 |
| CVE-2017-0573 | A-34469904* B-RB#91539 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 1 月 18 日 |
| CVE-2017-0574 | A-34624457* B-RB#113189 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C | 2017 年 1 月 22 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞
Qualcomm Wi-Fi 驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0575 | A-32658595* QC-CR#1103099 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 11 月 3 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
NVIDIA I2C HID 驅動程式中的權限升級漏洞
NVIDIA I2C HID 驅動程式中的權限升級安全漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0325 | A-33040280* N-CVE-2017-0325 |
高 | Nexus 9、Pixel C | 2016 年 11 月 20 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 音效驅動程式中的權限升級漏洞
Qualcomm 音效驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0454 | A-33353700 QC-CR#1104067 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 5 日 |
Qualcomm 加密引擎驅動程式中的權限升級漏洞
Qualcomm 加密編譯引擎驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0576 | A-33544431 QC-CR#1103089 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 9 日 |
HTC 觸控螢幕驅動程式中的權限升級漏洞
HTC 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0577 | A-33842951* |
高 | 無** | 2016 年 12 月 21 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
DTS 音效驅動程式中的權限升級漏洞
DTS 音效驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0578 | A-33964406* |
高 | 無** | 2016 年 12 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 音訊轉碼器驅動程式中的權限升級漏洞
Qualcomm 音訊轉碼器驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10231 | A-33966912 QC-CR#1096799 |
高 | Pixel、Pixel XL | 2016 年 12 月 29 日 |
Qualcomm 視訊驅動程式中的權限升級漏洞
Qualcomm 視訊驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0579 | A-34125463* QC-CR#1115406 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2017 年 1 月 5 日 |
| CVE-2016-10232 | A-34386696 QC-CR#1024872 [2] |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 10 日 |
| CVE-2016-10233 | A-34389926 QC-CR#897452 |
高 | 無** | 2017 年 1 月 10 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
NVIDIA 啟動和電源管理處理器驅動程式中的權限提升漏洞
NVIDIA 啟動和電源管理處理器驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在啟動和電源管理處理器環境內執行任何程式碼。 由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0329 | A-34115304* N-CVE-2017-0329 |
高 | Pixel C | 2017 年 1 月 5 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Synaptics 觸控螢幕驅動程式中的權限升級漏洞
Synaptics 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0580 | A-34325986* |
高 | 無** | 2017 年 1 月 16 日 |
| CVE-2017-0581 | A-34614485* |
高 | 無** | 2017 年 1 月 22 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm Seemp 驅動程式中的權限升級漏洞
Qualcomm Seemp 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0462 | A-33353601 QC-CR#1102288 |
高 | Pixel、Pixel XL | Google 內部資訊 |
Qualcomm Kyro L2 驅動程式中的權限升級漏洞
Qualcomm Kyro L2 驅動程式中的權限升級安全漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-6423 | A-32831370 QC-CR#1103158 |
高 | Pixel、Pixel XL | Google 內部資訊 |
核心檔案系統中的權限升級漏洞
核心檔案系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-9922 | A-32761463 上游程式庫核心 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2014 年 10 月 24 日 |
核心記憶體子系統中的資訊外洩漏洞
核心記憶體子系統中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於此問題可讓有心人士不必取得使用者明確授權就能存取機密資料,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-0206 | A-34465735 上游程式庫核心 |
高 | Nexus 6、Nexus Player | 2014 年 5 月 6 日 |
核心網路子系統中的資訊外洩漏洞
核心網路子系統中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於此問題可讓有心人士不必取得使用者明確授權就能存取機密資料,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-3145 | A-34469585 上游程式庫核心 [2] |
高 | Nexus 6、Nexus Player | 2014 年 5 月 9 日 |
Qualcomm TrustZone 中的資訊外洩漏洞
Qualcomm TrustZone 中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於此問題可讓有心人士不必取得使用者明確授權就能存取機密資料,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-5349 | A-29083830 QC-CR#1021945 [2] [3] [4] |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 6 月 1 日 |
Qualcomm IPA 驅動程式中的資訊外洩漏洞
Qualcomm IPA 驅動程式中的資訊外洩安全漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於此問題可讓有心人士不必取得使用者明確授權就能存取機密資料,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10234 | A-34390017 QC-CR#1069060 [2] |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2017 年 1 月 10 日 |
核心網路子系統中的拒絕服務漏洞
核心網路子系統中的拒絕服務漏洞可能會讓遠端攻擊者能利用特製網路封包造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-2706 | A-34160553 上游程式庫核心 |
高 | Nexus Player | 2014 年 4 月 1 日 |
Qualcomm Wi-Fi 驅動程式中的拒絕服務漏洞
Qualcomm Wi-Fi 驅動程式中的阻斷服務漏洞可能會讓鄰近的攻擊者在 Wi-Fi 子系統中造成阻斷服務。由於這個問題可能會造成遠端阻斷服務,因此嚴重程度評定為「高」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10235 | A-34390620 QC-CR#1046409 |
高 | 無** | 2017 年 1 月 10 日 |
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
核心檔案系統中的權限升級漏洞
核心檔案系統中的權限升級漏洞可能會讓本機惡意應用程式執行其權限範圍以外的任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,而目前平台的設定可因應這種攻擊,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-7097 | A-32458736 上游程式庫核心 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Nexus Player | 2016 年 8 月 28 日 |
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞
Qualcomm Wi-Fi 驅動程式中的權限提升漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特殊權限的程序才能執行,而且影響層面受限於某些技術性因素,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-6424 | A-32086742 QC-CR#1102648 |
中 | Nexus 5X、Pixel、Pixel XL、Android One | 2016 年 10 月 9 日 |
Broadcom Wi-Fi 驅動程式中的權限升級漏洞
Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破解具有特殊權限的程序才能執行,而目前平台的設定可因應這種攻擊,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-8465 | A-32474971* B-RB#106053 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 10 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
HTC OEM Fastboot 指令中的權限升級漏洞
HTC OEM Fastboot 指令中的權限升級漏洞可能會讓本機惡意應用程式在感應器中樞環境內執行任何程式碼。由於這種攻擊還必須配合其他的漏洞才能執行,因此這個問題的嚴重程度被評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0582 | A-33178836* |
中 | Nexus 9 | 2016 年 11 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm CP 存取驅動程式中的權限升級漏洞
Qualcomm CP 存取驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而且由此漏洞的影響層面受限於某些技術性因素,因此這個問題的嚴重程度被評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0583 | A-32068683 QC-CR#1103788 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | Google 內部資訊 |
核心媒體驅動程式中的資訊外洩漏洞
核心媒體驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-1739 | A-34460642 上游程式庫核心 |
中 | Nexus 6、Nexus 9、Nexus Player | 2014 年 6 月 15 日 |
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0584 | A-32074353* QC-CR#1104731 |
中 | Nexus 5X、Pixel、Pixel XL | 2016 年 10 月 9 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Broadcom Wi-Fi 驅動程式中的資訊外洩漏洞
Broadcom Wi-Fi 驅動程式中的資訊外洩安全漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0585 | A-32475556* B-RB#112953 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 10 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm Avtimer 驅動程式中的資訊外洩漏洞
Qualcomm Avtimer 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-5346 | A-32551280 QC-CR#1097878 |
中 | Pixel、Pixel XL | 2016 年 10 月 29 日 |
Qualcomm 視訊驅動程式中的資訊外洩漏洞
Qualcomm 視訊驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-6425 | A-32577085 QC-CR#1103689 |
中 | Pixel、Pixel XL | 2016 年 10 月 29 日 |
Qualcomm USB 驅動程式中的資訊外洩漏洞
Qualcomm USB 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2016-10236 | A-33280689 QC-CR#1102418 |
中 | Pixel、Pixel XL | 2016 年 11 月 30 日 |
Qualcomm 音效驅動程式中的資訊外洩漏洞
Qualcomm 音效驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0586 | A-33649808 QC-CR#1097569 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 13 日 |
Qualcomm SPMI 驅動程式中的資訊外洩漏洞
Qualcomm SPMI 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-6426 | A-33644474 QC-CR#1106842 |
中 | Pixel、Pixel XL | 2016 年 12 月 14 日 |
NVIDIA 加密編譯驅動程式中的資訊外洩漏洞
NVIDIA 加密編譯驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特殊權限的程序才能執行,因此嚴重程度評定為「中」。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2017-0328 | A-33898322* N-CVE-2017-0328 |
中 | 無** | 2016 年 12 月 24 日 |
| CVE-2017-0330 | A-33899858* N-CVE-2017-0330 |
中 | 無** | 2016 年 12 月 24 日 |
* 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 元件中的漏洞
以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考 2014 至 2016 年之間發布的 Qualcomm AMSS 安全性公告。我們在這個 Android 安全性公告中列出這些漏洞,方便使用者確認漏洞修正程式及其相對應的 Android 安全性修補程式等級。
| CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
|---|---|---|---|---|
| CVE-2014-9931 | A-35445101** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2014-9932 | A-35434683** | 最高 | Pixel、Pixel XL | Qualcomm 內部資訊 |
| CVE-2014-9933 | A-35442512** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2014-9934 | A-35439275** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2014-9935 | A-35444951** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2014-9936 | A-35442420** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2014-9937 | A-35445102** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-8995 | A-35445002** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-8996 | A-35444658** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-8997 | A-35432947** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-8998 | A-35441175** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-8999 | A-35445401** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-9000 | A-35441076** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-9001 | A-35445400** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-9002 | A-35442421** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2015-9003 | A-35440626** | 最高 | 無** | Qualcomm 內部資訊 |
| CVE-2016-10242 | A-35434643** | 最高 | 無** | Qualcomm 內部資訊 |
* 這些漏洞的嚴重程度是由廠商自行評定。
** 這個問題的修補程式並未開放給一般使用者下載,相關更新已納入 Nexus 裝置的最新二進位驅動程式中。您可以前往 Google Developers 網站下載這些驅動程式。
*** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
請參閱 Pixel 與 Nexus 更新時間表中的說明,瞭解如何查看裝置的安全性修補程式等級。
- 2017-04-01 之後的安全性修補程式等級已解決了所有與 2017-04-01 安全性修補程式等級相關的問題。
- 2017-04-05 之後的安全性修補程式等級已解決了所有與 2017-04-05 安全性修補程式等級及所有先前修補程式等級相關的問題。
提供這些更新的裝置製造商應將修補程式字串等級設定為:
- [ro.build.version.security_patch]:[2017-04-01]
- [ro.build.version.security_patch]:[2017-04-05]
2. 為什麼這篇公告有兩種安全性修補程式等級?
本公告納入兩種安全性修補程式等級,可以方便 Android 合作夥伴靈活運用,快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全性修補程式等級。
- 安全性修補程式等級為 2017 年 4 月 1 日的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。
- 如果裝置的安全性修補程式等級在 2017 年 4 月 5 日之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。
我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。
3. 如何判斷哪些 Google 裝置會受到哪種問題的影響?
在 2017-04-01 和 2017-04-05 安全漏洞詳情的章節中,每個表格都會有「更新的 Google 裝置」欄,當中列出受每各個問題影響而需要更新的 Google 裝置範圍。此欄中的選項包括:
- 所有 Google 裝置:如果問題會影響所有 Nexus 與 Pixel 裝置,表格內「更新的 Google 裝置」欄中就會標示「全部」字樣。「全部」包含下列支援的裝置:Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel 和 Pixel XL。
- 部分 Google 裝置:如果問題並未影響所有 Google 裝置,「更新的 Google 裝置」欄中會列出受影響的 Google 裝置。
- 不影響任何 Google 裝置:如果問題不會影響任何搭載 Android 7.0 的 Google 裝置,表格內「更新的 Google 裝置」欄中就會標示「無」字樣。
4. 「參考資料」欄底下列出的識別碼代表什麼意義?
在安全漏洞詳情表格中,「參考資料」欄底下的項目可能會包含一個前置字串,表示該參考資料值所屬的機構。這些前置字串代表的意義如下:
| 前置字串 | 參考資料 |
|---|---|
| A- | Android 錯誤 ID |
| QC- | Qualcomm 參考編號 |
| M- | MediaTek 參考編號 |
| N- | NVIDIA 參考編號 |
| B- | Broadcom 參考編號 |
修訂版本
- 2017 年 4 月 3 日:發布公告。
- 2017 年 4 月 5 日:修訂公告內容 (加入 Android 開放原始碼計畫連結)。
- 2017 年 4 月 21 日:更正 CVE-2016-10231 和 CVE-2017-0586 的相關銘謝名單。
- 2017 年 4 月 27 日:從公告中移除 CVE-2017-0540。
- 2017 年 8 月 17 日:修訂公告內容 (更新參考編號清單)。