เผยแพร่เมื่อ 03 เมษายน 2017 | อัปเดตเมื่อวันที่ 17 สิงหาคม 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวแล้ว เรายังได้เผยแพร่การอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยในวันที่ 5 เมษายน 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 6 มีนาคม 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หลายวิธี เช่น อีเมล การเรียกดูเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การประเมินความรุนแรงขึ้น อยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การบรรเทาปัญหาบริการ Android และ Google สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 01-04-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-04-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 05-04-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-04-01 และ 2017-04-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA เดียวพร้อมระดับแพตช์ความปลอดภัยในวันที่ 5 เมษายน 2017
การบรรเทาผลกระทบจากบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาปัญหาที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพวกเขาพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใดก็ตาม นอกจากนี้ Verify Apps ยังพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่ทราบซึ่งใช้ประโยชน์จากช่องโหว่ในการเพิ่มระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว ยืนยันแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:
- Aravind Machiry (donfos) จากทีม Shellphish Grill: CVE-2016-5349
- Daxing Guo ( @freener0 ) จาก Xuanwu Lab, Tencent: CVE-2017-0585, CVE-2017-0553
- Derrek ( @derrekr6 ) และ Scott Bauer: CVE-2017-0576
- Gal Beniamini จาก Project Zero: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
- Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
- Guang Gong (龚广) ( @oldfresher ) จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
- Hao Chen และ Guang Gong จากทีม Alpha, Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017 -0567
- เอียน ฟอสเตอร์ ( @lanrat ): CVE-2017-0554
- Jack Tang จาก Trend Micro Inc.: CVE-2017-0579
- Jianjun Dai ( @Jioun_dai ) จาก Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
- Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360: CVE-2017-6425, CVE-2016-5346
- Lubo Zhang ( zlbzlb815@163.com ) จาก ทีม C0RE และ Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
- มาร์ก ซาลีซิน จาก Google: CVE-2017-0558
- Mike Andereson ( @manderbot ) และ Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla: CVE-2017-0327, CVE-2017-0328
- เพลง Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang ของ Alibaba Mobile Security Group: CVE-2017-0565
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) และ Lenx Wei (韦韬) แห่ง Baidu X-Lab (百度安全实验室): CVE-2016-10236
- Qidan He (何淇丹 - @flanker_hqd ) แห่ง KeenLab, Tencent: CVE-2017-0544, CVE-2017-0325
- Roee Hay ( @roeehay ) จาก Aleph Research, HCL Technologies: CVE-2017-0582, CVE-2017-0563
- สก็อตต์ บาวเออร์ ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
- Seven Shen ( @lingtongshen ) จากทีมวิจัยภัยคุกคามบนมือถือของ TrendMicro: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
- ทิม เบกเกอร์: CVE-2017-0546
- อุมา สังการ์ ปราธาน ( @umasankar_iitd ): CVE-2017-0560
- VEO ( @VYSEa ) ของ ทีมรับมือภัยคุกคามบนมือถือ Trend Micro : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
- Weichao Sun ( @sunblate ) จาก Alibaba Inc: CVE-2017-0549
- Wenlin Yang ( @wenlin_yang ), Guang Gong ( @oldfresher ) และ Hao Chen จาก Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0580, CVE-2017-0577
- Zinuo Han จาก Chengdu Security Response Center ของบริษัท Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
- ซูบิน มิธราจาก Google: CVE-2017-0462
ระดับแพตช์ความปลอดภัย 04-04-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพทช์ 2017-04-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างการประมวลผลไฟล์สื่อและข้อมูล ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0538 | A-33641588 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 13 ธันวาคม 2559 |
| CVE-2017-0539 | A-33864300 | วิกฤต | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 ธันวาคม 2016 |
| CVE-2017-0541 | A-34031018 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 1 มกราคม 2017 |
| CVE-2017-0542 | A-33934721 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
| CVE-2017-0543 | A-34097866 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิพิเศษใน CameraBase
การยกระดับช่องโหว่ของสิทธิ์ใน CameraBase อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากเป็นการดำเนินการโค้ดภายในเครื่องในกระบวนการที่ได้รับสิทธิพิเศษ
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0544 | A-31992879 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน Audioserver
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0545 | A-32591350 | สูง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 31 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษใน SurfaceFlinger
การยกระดับช่องโหว่ของสิทธิ์ใน SurfaceFlinger อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งโดยปกติจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0546 | A-32628763 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 พฤศจิกายน 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับว่าสูงเนื่องจากเป็นการเลี่ยงทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0547 | A-33861560 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 22 ธันวาคม 2016 |
การปฏิเสธช่องโหว่การบริการใน libskia
การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน libskia อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์ค้างหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการบริการจากระยะไกล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0548 | A-33251605 | สูง | ทั้งหมด | 7.0, 7.1.1 | 29 พ.ย. 2559 |
การปฏิเสธช่องโหว่การบริการใน Mediaserver
การปฏิเสธช่องโหว่ของบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูตได้ ปัญหานี้ได้รับการจัดอันดับว่ามีความรุนแรงสูงเนื่องจากความเป็นไปได้ของการปฏิเสธการบริการจากระยะไกล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0549 | A-33818508 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 20 ธันวาคม 2559 |
| CVE-2017-0550 | A-33933140 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
| CVE-2017-0551 | A-34097231 [ 2 ] | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
| CVE-2017-0552 | A-34097915 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิพิเศษใน libnl
การยกระดับช่องโหว่ของสิทธิ์ใน libnl อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของบริการ Wi-Fi ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0553 | A-32342065 | ปานกลาง | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในระบบโทรศัพท์
การยกระดับช่องโหว่ของสิทธิพิเศษในส่วนประกอบ Telephony อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงความสามารถที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูง ซึ่งโดยปกติแล้วจะไม่สามารถเข้าถึงได้โดยแอปพลิเคชันบุคคลที่สาม
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0554 | A-33815946 [ 2 ] | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 ธันวาคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Mediaserver
ช่องโหว่ในการเปิดเผยข้อมูลใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0555 | A-33551775 | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 12 ธันวาคม 2559 |
| CVE-2017-0556 | A-34093952 | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 4 มกราคม 2017 |
| CVE-2017-0557 | A-34093073 | ปานกลาง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1 | 4 มกราคม 2017 |
| CVE-2017-0558 | A-34056274 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
ช่องโหว่การเปิดเผยข้อมูลใน libskia
ช่องโหว่ในการเปิดเผยข้อมูลใน libskia อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0559 | A-33897722 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 ธันวาคม 2016 |
ช่องโหว่การเปิดเผยข้อมูลในการรีเซ็ตเป็นค่าจากโรงงาน
ช่องโหว่การเปิดเผยข้อมูลในกระบวนการรีเซ็ตเป็นค่าจากโรงงานอาจทำให้ผู้โจมตีที่เป็นอันตรายในพื้นที่สามารถเข้าถึงข้อมูลจากเจ้าของคนก่อนได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากมีความเป็นไปได้ที่จะข้ามการป้องกันอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0560 | A-30681079 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | ภายในของ Google |
ระดับแพตช์ความปลอดภัย 04-04-2017—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-04-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเฟิร์มแวร์ Broadcom Wi-Fi
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเฟิร์มแวร์ Broadcom Wi-Fi อาจทำให้ผู้โจมตีระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของ Wi-Fi SoC ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของ Wi-Fi SoC
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0561 | A-34199105* B-RB#110814 | วิกฤต | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในไดรเวอร์ Qualcomm crypto engine
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในโปรแกรมควบคุม Qualcomm crypto engine อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10230 | A-34389927 QC-CR#1091408 | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 10 มกราคม 2017 |
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในบริบทของเคอร์เนล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10229 | A-32813456 เคอร์เนลต้นน้ำ | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0562 | A-30202425* M-ALPS02898189 | วิกฤต* | ไม่มี** | 16 ก.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัสของ HTC
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัสของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0563 | A-32089409* | วิกฤต | เน็กซัส 9 | 9 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเคอร์เนล ION อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับว่าสำคัญเนื่องจากความเป็นไปได้ที่อุปกรณ์จะเสียหายอย่างถาวร ซึ่งอาจจำเป็นต้องแฟลชระบบปฏิบัติการใหม่เพื่อซ่อมแซมอุปกรณ์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0564 | A-34276203* | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player | 12 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่ในส่วนประกอบของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS เดือนตุลาคม 2559
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10237 | A-31628601** QC-CR#1046751 | วิกฤต | ไม่มี** | วอลคอมม์ภายใน |
| CVE-2016-10238 | A-35358527** QC-CR#1042558 | วิกฤต | ไม่มี*** | วอลคอมม์ภายใน |
| CVE-2016-10239 | A-31624618** QC-CR#1032929 | สูง | พิกเซล, พิกเซล XL | วอลคอมม์ภายใน |
* ระดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้จำหน่าย
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเวอร์ชัน 8
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลในเวอร์ชัน 8 อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในเว็บไซต์
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-5129 | A-29178923 | สูง | ไม่มี* | 6.0, 6.0.1, 7.0 | 20 ก.ค. 2559 |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Freetype อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถโหลดแบบอักษรที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในกระบวนการที่ไม่มีสิทธิ์ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ของการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-10244 | A-31470908 | สูง | ไม่มี* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 กันยายน 2559 |
* อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในระบบย่อยเสียงเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-4656 | A-34464977 เคอร์เนลต้นน้ำ | สูง | Nexus 6, ผู้เล่น Nexus | 26 มิ.ย. 2557 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA crypto
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA crypto อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0339 | A-27930566* N-CVE-2017-0339 | สูง | เน็กซัส 9 | 29 มี.ค. 2559 |
| CVE-2017-0332 | A-33812508* N-CVE-2017-0332 | สูง | เน็กซัส 9 | 21 ธันวาคม 2016 |
| CVE-2017-0327 | A-33893669* N-CVE-2017-0327 | สูง | เน็กซัส 9 | 24 ธันวาคม 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ระบายความร้อนของ MediaTek
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ระบายความร้อน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0565 | A-28175904* M-ALPS02696516 | สูง | ไม่มี** | 11 เมษายน 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กล้อง MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์กล้อง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0566 | A-28470975* M-ALPS02696367 | สูง | ไม่มี** | 29 เมษายน 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0567 | A-32125310* B-RB#112575 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 12 ต.ค. 2559 |
| CVE-2017-0568 | A-34197514* B-RB#112600 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 มกราคม 2017 |
| CVE-2017-0569 | A-34198729* B-RB#110666 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 มกราคม 2017 |
| CVE-2017-0570 | A-34199963* B-RB#110688 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 9 มกราคม 2017 |
| CVE-2017-0571 | A-34203305* B-RB#111541 | สูง | Nexus 6, Nexus 6P, Pixel C, ผู้เล่น Nexus | 9 มกราคม 2017 |
| CVE-2017-0572 | A-34198931* B-RB#112597 | สูง | ไม่มี** | 9 มกราคม 2017 |
| CVE-2017-0573 | A-34469904* B-RB#91539 | สูง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 18 มกราคม 2017 |
| CVE-2017-0574 | A-34624457* B-RB#113189 | สูง | Nexus 6, Nexus 6P, Nexus 9, พิกเซล C | 22 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0575 | A-32658595* QC-CR#1103099 | สูง | Nexus 5X, พิกเซล, พิกเซล XL | 3 พฤศจิกายน 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ NVIDIA I2C HID
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ NVIDIA I2C HID อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0325 | A-33040280* N-CVE-2017-0325 | สูง | Nexus 9, พิกเซล C | 20 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0454 | A-33353700 QC-CR#1104067 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL | 5 ธันวาคม 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุม Qualcomm crypto engine
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์กลไกเข้ารหัสของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0576 | A-33544431 QC-CR#1103089 | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 9 ธันวาคม 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัสของ HTC
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัสของ HTC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0577 | A-33842951* | สูง | ไม่มี** | 21 ธันวาคม 2016 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์เสียง DTS
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียง DTS อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0578 | A-33964406* | สูง | ไม่มี** | 28 ธันวาคม 2016 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ตัวแปลงสัญญาณเสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10231 | A-33966912 QC-CR#1096799 | สูง | พิกเซล, พิกเซล XL | 29 ธันวาคม 2016 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์วิดีโอ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0579 | A-34125463* QC-CR#1115406 | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL | 5 มกราคม 2017 |
| CVE-2016-10232 | A-34386696 QC-CR#1024872 [2] | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 10 มกราคม 2017 |
| CVE-2016-10233 | A-34389926 QC-CR#897452 | สูง | ไม่มี** | 10 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในการบูต NVIDIA และไดรเวอร์โปรเซสเซอร์การจัดการพลังงาน
การยกระดับช่องโหว่ของสิทธิ์ในการบูต NVIDIA และไดรเวอร์โปรเซสเซอร์การจัดการพลังงานอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของการบูตและโปรเซสเซอร์การจัดการพลังงาน ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0329 | A-34115304* N-CVE-2017-0329 | สูง | พิกเซล ซี | 5 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์หน้าจอสัมผัส Synaptics
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Synaptics Touchscreen อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0580 | A-34325986* | สูง | ไม่มี** | 16 มกราคม 2017 |
| CVE-2017-0581 | A-34614485* | สูง | ไม่มี** | 22 มกราคม 2017 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Seemp
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Seemp อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0462 | A-33353601 QC-CR#1102288 | สูง | พิกเซล, พิกเซล XL | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Kyro L2
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Kyro L2 อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-6423 | A-32831370 QC-CR#1103158 | สูง | พิกเซล, พิกเซล XL | ภายในของ Google |
การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับสิทธิพิเศษก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9922 | A-32761463 เคอร์เนลต้นน้ำ | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL, พิกเซล C, Android One, Nexus Player | 24 ต.ค. 2557 |
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยหน่วยความจำเคอร์เนล
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยหน่วยความจำเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-0206 | A-34465735 เคอร์เนลต้นน้ำ | สูง | Nexus 6, ผู้เล่น Nexus | 6 พฤษภาคม 2557 |
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนล
ช่องโหว่การเปิดเผยข้อมูลในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-3145 | A-34469585 เคอร์เนลอัปสตรีม [2] | สูง | Nexus 6, ผู้เล่น Nexus | 9 พฤษภาคม 2557 |
ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm TrustZone
ช่องโหว่ในการเปิดเผยข้อมูลใน Qualcomm TrustZone อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5349 | A-29083830 QC-CR#1021945 [2] [3] [4] | สูง | Nexus 5X, Nexus 6, Nexus 6P, พิกเซล, พิกเซล XL, Android One | 1 มิถุนายน 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm IPA
ช่องโหว่ในการเปิดเผยข้อมูลในไดรเวอร์ Qualcomm IPA อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10234 | A-34390017 QC-CR#1069060 [2] | สูง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL | 10 มกราคม 2017 |
การปฏิเสธช่องโหว่การบริการในระบบย่อยเครือข่ายเคอร์เนล
การปฏิเสธช่องโหว่ของบริการในระบบย่อยเครือข่ายเคอร์เนลอาจทำให้ผู้โจมตีระยะไกลสามารถใช้แพ็คเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-2706 | A-34160553 เคอร์เนลต้นน้ำ | สูง | ผู้เล่นเน็กซัส | 1 เมษายน 2014 |
การปฏิเสธช่องโหว่การบริการในไดรเวอร์ Qualcomm Wi-Fi
การปฏิเสธช่องโหว่ของบริการในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้ผู้โจมตีใกล้เคียงทำให้เกิดการปฏิเสธบริการในระบบย่อย Wi-Fi ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากความเป็นไปได้ที่จะมีการปฏิเสธการให้บริการจากระยะไกล
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10235 | A-34390620 QC-CR#1046409 | สูง | ไม่มี** | 10 มกราคม 2017 |
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ได้ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบไฟล์เคอร์เนลอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองนอกระดับสิทธิ์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-7097 | A-32458736 เคอร์เนลต้นน้ำ | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, พิกเซล, พิกเซล XL, พิกเซล C, Nexus Player | 28 ส.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลาง เนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และเนื่องจากรายละเอียดเฉพาะของช่องโหว่ซึ่งจำกัดผลกระทบของปัญหา
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-6424 | A-32086742 QC-CR#1102648 | ปานกลาง | Nexus 5X, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | 9 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์ Broadcom Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Broadcom Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และบรรเทาลงด้วยการกำหนดค่าแพลตฟอร์มปัจจุบัน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-8465 | A-32474971* B-RB#106053 | ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในคำสั่ง fastboot ของ HTC OEM
การยกระดับช่องโหว่ของสิทธิ์ในคำสั่ง fastboot ของ HTC OEM อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของฮับเซ็นเซอร์ได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลางเนื่องจากต้องมีการใช้ประโยชน์จากช่องโหว่ที่แยกจากกันก่อน
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0582 | A-33178836* | ปานกลาง | เน็กซัส 9 | 28 พ.ย. 2559 |
* แพตช์สำหรับปัญหานี้ไม่ได้เผยแพร่ต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิพิเศษในโปรแกรมควบคุมการเข้าถึง Qualcomm CP
การยกระดับช่องโหว่ของสิทธิพิเศษในไดรเวอร์การเข้าถึง Qualcomm CP อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นปานกลาง เนื่องจากต้องประนีประนอมกระบวนการสิทธิพิเศษก่อน และเนื่องจากรายละเอียดเฉพาะของช่องโหว่ซึ่งจำกัดผลกระทบของปัญหา
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0583 | A-32068683 QC-CR#1103788 | ปานกลาง | Nexus 5X, Nexus 6P, พิกเซล, พิกเซล XL, แอนดรอยด์ วัน | Google ภายใน |
การเปิดเผยข้อมูลช่องโหว่ในเคอร์เนลไดรเวอร์
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เคอร์เนลสื่อสามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-1739 | A-34460642 เคอร์เนลต้นน้ำ | ปานกลาง | Nexus 6, Nexus 9, Nexus Player | 15 มิ.ย. 2014 |
การเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์ Qualcomm Wi-Fi
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Wi-Fi สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0584 | A-32074353* QC-CR#1104731 | ปานกลาง | Nexus 5X, Pixel, Pixel XL | 9 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Broadcom Wi-Fi
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Broadcom Wi-Fi สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0585 | A-32475556* B-RB#112953 | ปานกลาง | Nexus 6, Nexus 6P, Nexus 9, Pixel C, ผู้เล่น Nexus | 27 ต.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
การเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์ Qualcomm Avtimer
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Avtimer สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-5346 | A-32551280 QC-CR#1097878 | ปานกลาง | พิกเซล, พิกเซล XL | 29 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์วิดีโอ Qualcomm สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-6425 | A-32577085 QC-CR#1103689 | ปานกลาง | พิกเซล, พิกเซล XL | 29 ต.ค. 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm USB
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm USB สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10236 | A-33280689 QC-CR#1102418 | ปานกลาง | พิกเซล, พิกเซล XL | 30 พ.ย. 2559 |
ข้อมูลช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm Sound
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์เสียง Qualcomm สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0586 | A-33649808 QC-CR#1097569 | ปานกลาง | Nexus 5X, Nexus 6, Nexus 6p, Pixel, Pixel XL, Android One | 13 ธันวาคม 2559 |
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm SPMI
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ Qualcomm SPMI สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-6426 | A-33644474 QC-CR#1106842 | ปานกลาง | พิกเซล, พิกเซล XL | 14 ธ.ค. 2559 |
การเปิดเผยข้อมูลช่องโหว่ในไดรเวอร์ Nvidia Crypto
ช่องโหว่การเปิดเผยข้อมูลในไดรเวอร์ NVIDIA Crypto สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในท้องถิ่นเพื่อเข้าถึงข้อมูลนอกระดับการอนุญาต ปัญหานี้ได้รับการจัดอันดับให้อยู่ในระดับปานกลางเนื่องจากต้องประนีประนอมกระบวนการที่ได้รับการยกเว้น
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0328 | A-33898322* N-CVE-2017-0328 | ปานกลาง | ไม่มี** | 24 ธันวาคม 2559 |
| CVE-2017-0330 | A-33899858* N-CVE-2017-0330 | ปานกลาง | ไม่มี** | 24 ธันวาคม 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ในส่วนประกอบ Qualcomm
ช่องโหว่เหล่านี้มีผลต่อส่วนประกอบ Qualcomm ได้รับการปล่อยตัวเป็นส่วนหนึ่งของ Bulletins ความปลอดภัยของ Qualcomm AMSS ระหว่างปี 2557-2559 พวกเขารวมอยู่ในแถลงการณ์ความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัย Android
| ซีวีอี | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2014-9931 | A-35445101 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2014-9932 | A-35434683 ** | วิกฤต | พิกเซล, พิกเซล XL | qualcomm ภายใน |
| CVE-2014-9933 | A-35442512 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2014-9934 | A-35439275 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2014-9935 | A-35444951 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2014-9936 | A-35442420 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2014-9937 | A-35445102 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-8995 | A-35445002 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-8996 | A-35444658 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-8997 | A-35432947 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-8998 | A-35441175 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-8999 | A-35445401 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-9000 | A-35441076 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-9001 | A-35445400 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-9002 | A-35442421 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2015-9003 | A-35440626 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
| CVE-2016-10242 | A-35434643 ** | วิกฤต | ไม่มี** | qualcomm ภายใน |
* การจัดอันดับความรุนแรงสำหรับช่องโหว่เหล่านี้ถูกกำหนดโดยผู้ขาย
** แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer
*** อุปกรณ์ Google ที่รองรับบน Android 7.0 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus
- ระดับแพตช์ความปลอดภัยของ 2017-04-01 หรือใหม่กว่าที่อยู่ที่อยู่ทุกประเด็นที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-04-01
- ระดับแพตช์ความปลอดภัยของ 2017-04-05 หรือใหม่กว่าที่อยู่ปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-04-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]: [2017-04-01]
- [ro.build.version.security_patch]: [2017-04-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยที่ 1 เมษายน 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยรวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในแถลงการณ์ความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยของวันที่ 5 เมษายน 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในแถลงการณ์ความปลอดภัย (และก่อนหน้า) นี้
พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว
3. ฉันจะพิจารณาได้อย่างไรว่าอุปกรณ์ Google ใดที่ได้รับผลกระทบจากแต่ละประเด็น
ในส่วนของรายละเอียดความปลอดภัยความปลอดภัย 2017-04-01 และ 2017-04-04-05 แต่ละตารางมีคอลัมน์ อุปกรณ์ Google ที่อัปเดต ซึ่งครอบคลุมช่วงของอุปกรณ์ที่ได้รับผลกระทบของ Google ที่ได้รับการปรับปรุงสำหรับแต่ละปัญหา คอลัมน์นี้มีตัวเลือกเล็กน้อย:
- อุปกรณ์ Google ทั้งหมด : หากปัญหามีผลต่ออุปกรณ์ทั้งหมดและอุปกรณ์พิกเซลตารางจะมี "ทั้งหมด" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต "ทั้งหมด" ห่อหุ้ม อุปกรณ์ที่รองรับต่อ ไปนี้: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel และ Pixel XL
- อุปกรณ์ Google บางตัว : หากปัญหาไม่ส่งผลกระทบต่ออุปกรณ์ของ Google ทั้งหมดอุปกรณ์ Google ที่ได้รับผลกระทบจะอยู่ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
- ไม่มีอุปกรณ์ Google : หากไม่มีอุปกรณ์ Google ที่ใช้ Android 7.0 ได้รับผลกระทบจากปัญหาตารางจะมี "ไม่มี" ในคอลัมน์ อุปกรณ์ Google ที่อัปเดต
4. รายการในคอลัมน์อ้างอิงถึงอะไร?
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง แผนที่คำนำหน้าเหล่านี้ดังนี้:
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
| เอ็ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| บี- | หมายเลขอ้างอิงของ Broadcom |
การแก้ไข
- 3 เมษายน 2017: Bulletin เผยแพร่
- 05 เมษายน 2017: Bulletin แก้ไขเพื่อรวมลิงก์ AOSP
- 21 เมษายน 2017: การระบุแหล่งที่มาสำหรับ CVE-2016-10231 และ CVE-2017-0586 แก้ไข
- 27 เมษายน 2017: CVE-2017-0540 ถูกลบออกจาก Bulletin
- 17 สิงหาคม 2017: Bulletin แก้ไขเพื่ออัปเดตหมายเลขอ้างอิง