Published พฤษภาคม 01, 2017 | อัพเดทเมื่อ 03 ตุลาคม 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android นอกจากกระดานข่าวสารแล้ว เราได้เปิดตัวการอัปเดตความปลอดภัยสำหรับอุปกรณ์ Nexus ผ่านการอัปเดตแบบ over-the-air (OTA) อิมเมจเฟิร์มแวร์อุปกรณ์ Google ได้รับการเผยแพร่ไปยัง ไซต์ Google Developer แล้ว ระดับแพตช์ความปลอดภัยวันที่ 05 พฤษภาคม 2017 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พาร์ทเนอร์ได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อวันที่ 3 เมษายน 2017 หรือก่อนหน้านั้น แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบผ่านวิธีการต่างๆ เช่น อีเมล การท่องเว็บ และ MMS เมื่อประมวลผลไฟล์สื่อ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาบริการของ Android และ Google สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 2017-05-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-05-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-05-05 : กรอกสตริงระดับแพตช์ความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-05-01 และ 2017-05-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- อุปกรณ์ Google ที่รองรับจะได้รับการอัปเดต OTA ครั้งเดียวด้วยระดับแพตช์ความปลอดภัย 05 พฤษภาคม 2017
การบรรเทาปัญหาบริการ Android และ Google
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น SafetyNet ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android ตรวจสอบการละเมิดด้วย Verify Apps และ SafetyNet ซึ่งออกแบบมาเพื่อเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย ตรวจสอบว่าแอปเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปพลิเคชันจากภายนอก Google Play เครื่องมือการรูทอุปกรณ์เป็นสิ่งต้องห้ามใน Google Play แต่ Verify Apps จะเตือนผู้ใช้เมื่อพยายามติดตั้งแอปพลิเคชันการรูทที่ตรวจพบ ไม่ว่าจะมาจากที่ใด นอกจากนี้ Verify Apps จะพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ช่องโหว่ในการยกระดับสิทธิ์ หากมีการติดตั้งแอปพลิเคชันดังกล่าวแล้ว การตรวจสอบแอปจะแจ้งให้ผู้ใช้ทราบและพยายามลบแอปพลิเคชันที่ตรวจพบ
- ตามความเหมาะสม แอปพลิเคชัน Google Hangouts และ Messenger จะไม่ส่งสื่อไปยังกระบวนการต่างๆ เช่น Mediaserver โดยอัตโนมัติ
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:
- ADlab ของ Venustech: CVE-2017-0630
- Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent: CVE-2016-10287
- Ecular Xu (徐健) ของ Trend Micro: CVE-2017-0599, CVE-2017-0635
- En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team : CVE-2017-0601
- Ethan Yonker จาก Team Win Recovery Project : CVE-2017-0493
- Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE -2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
- godzheng (郑文选@VirtualSeekers ) จาก Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay จาก มหาวิทยาลัยอิลลินอยส์ Urbana-Champaign : CVE-2017-0593
- Hao Chen และ Guang Gong จาก Alpha Team, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- Juhu Nie, Yang Cheng, Nan Li และ Qiwu Huang จาก Xiaomi Inc: CVE-2016-10276
- มิชาล เบดนาร์สกี้ : CVE- 2017-0598
- Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla: CVE-2017-0331, CVE-2017-0606
- Niky1235 ( @jiych_guru ): CVE-2017-0603
- เพลง Peng Xiao, Chengming Yang, Ning You, Chao Yang และ Yang ของ Alibaba Mobile Security Group: CVE-2016-10281, CVE-2016-10280
- Roee Hay ( @roeehay ) จาก Aleph Research : CVE-2016-10277
- สก็อตต์ บาวเออ ร์ ( @ScottyBauer1 ): CVE-2016-10274
- Tong Lin , Yuan-Tsung Lo และ Xuxian Jiang จาก C0RE Team : CVE-2016-10291
- Vasily Vasiliev: CVE-2017-0589
- VEO ( @VYSEa ) จาก Mobile Threat Response Team , Trend Micro : CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
- Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent: CVE-2017-0597
- Xingyuan Lin จาก 360 Marvel Team: CVE-2017-0627
- Yong Wang (王勇) ( @ThomasKing2014 ) แห่ง Alibaba Inc: CVE-2017-0588
- Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
- Yu Pan จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan และ Peide Zhang จากทีม Vulpecker, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
2017-05-01 ระดับแพตช์ความปลอดภัย-รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-05-01 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Mediaserver
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 4 ม.ค. 2017 |
| CVE-2017-0588 | A-34618607 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 21 ม.ค. 2017 |
| CVE-2017-0589 | A-34897036 | วิกฤต | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 1 ก.พ. 2017 |
| CVE-2017-0590 | A-35039946 | วิกฤต | ทั้งหมด | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 ก.พ. 2017 |
| CVE-2017-0591 | A-34097672 | วิกฤต | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Google ภายใน |
| CVE-2017-0592 | A-34970788 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | Google ภายใน |
การยกระดับช่องโหว่ของสิทธิ์ใน Framework APIs
ช่องโหว่การยกระดับสิทธิ์ใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องเข้าถึงสิทธิ์ที่กำหนดเองได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากเป็นการเลี่ยงผ่านทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นๆ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 ม.ค. 2017 |
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver
การยกระดับช่องโหว่ของสิทธิ์ใน Mediaserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 22 ม.ค. 2017 |
| CVE-2017-0595 | A-34705519 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 ม.ค. 2017 |
| CVE-2017-0596 | A-34749392 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 ม.ค. 2017 |
การยกระดับช่องโหว่ของสิทธิ์ใน Audioserver
ช่องโหว่การยกระดับสิทธิ์ใน Audioserver อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงความสามารถระดับสูงในเครื่อง ซึ่งปกติแล้วแอปพลิเคชันของบุคคลที่สามไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 25 ม.ค. 2017 |
ช่องโหว่การเปิดเผยข้อมูลใน Framework APIs
ช่องโหว่ในการเปิดเผยข้อมูลใน Framework API อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถหลีกเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทสูง เนื่องจากสามารถใช้เพื่อเข้าถึงข้อมูลที่แอปพลิเคชันไม่สามารถเข้าถึงได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [ 2 ] | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 6 ม.ค. 2017 |
การปฏิเสธช่องโหว่ของบริการใน Mediaserver
ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทที่มีความรุนแรงสูงเนื่องจากมีความเป็นไปได้ที่จะปฏิเสธการให้บริการจากระยะไกล
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | สูง | ทั้งหมด | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 ม.ค. 2017 |
| CVE-2017-0600 | A-35269635 | สูง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 10 ก.พ. 2017 |
การยกระดับช่องโหว่ของสิทธิ์ใน Bluetooth
ช่องโหว่ Elevation of Privilege ใน Bluetooth อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องยอมรับไฟล์อันตรายที่แชร์ผ่านบลูทูธโดยไม่ได้รับอนุญาตจากผู้ใช้ ปัญหานี้ถูกจัดประเภทเป็นปานกลางเนื่องจากการข้ามภายในของข้อกำหนดการโต้ตอบกับผู้ใช้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | ปานกลาง | ทั้งหมด | 7.0, 7.1.1, 7.1.2 | 9 ก.พ. 2017 |
ช่องโหว่การเปิดเผยข้อมูลในการเข้ารหัสตามไฟล์
ช่องโหว่ในการเปิดเผยข้อมูลใน File-Based Encryption อาจทำให้ผู้โจมตีที่เป็นอันตรายในพื้นที่สามารถเลี่ยงการป้องกันระบบปฏิบัติการสำหรับหน้าจอล็อกได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากมีความเป็นไปได้ที่จะข้ามหน้าจอเมื่อล็อกได้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [ 2 ] [ 3 ] | ปานกลาง | ทั้งหมด | 7.0, 7.1.1 | 9 พ.ย. 2559 |
ช่องโหว่การเปิดเผยข้อมูลใน Bluetooth
ช่องโหว่ในการเปิดเผยข้อมูลในบลูทูธอาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเลี่ยงการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากรายละเอียดเฉพาะของช่องโหว่
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 5 ธ.ค. 2559 |
ช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL & BoringSSL
ช่องโหว่ในการเปิดเผยข้อมูลใน OpenSSL & BoringSSL อาจทำให้ผู้โจมตีจากระยะไกลเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ปัญหานี้จัดอยู่ในประเภทปานกลางเนื่องจากรายละเอียดเฉพาะของช่องโหว่
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 19 ธ.ค. 2559 |
การปฏิเสธช่องโหว่ของบริการใน Mediaserver
ช่องโหว่การปฏิเสธบริการใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้จัดอยู่ในประเภทปานกลาง เนื่องจากต้องมีการกำหนดค่าอุปกรณ์ที่ผิดปกติ
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | ปานกลาง | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 23 ก.พ. 2017 |
การปฏิเสธช่องโหว่ของบริการใน Mediaserver
ช่องโหว่การปฏิเสธบริการจากระยะไกลใน Mediaserver อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อทำให้อุปกรณ์หยุดทำงานหรือรีบูต ปัญหานี้ได้รับการจัดอันดับเป็นต่ำเนื่องจากรายละเอียดเฉพาะของช่องโหว่
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | ต่ำ | ทั้งหมด | 7.0, 7.1.1, 7.1.2 | 16 ก.พ. 2017 |
2017-05-05 ระดับแพตช์ความปลอดภัย-รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-05-05 มีคำอธิบายของปัญหา เหตุผลของความรุนแรง และตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ความรุนแรง อุปกรณ์ Google ที่อัปเดต เวอร์ชัน AOSP ที่อัปเดต (หากมี) และวันที่รายงาน เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน GIFLIB
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน GIFLIB อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายระหว่างไฟล์สื่อและการประมวลผลข้อมูล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลภายในบริบทของกระบวนการ Mediaserver
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | วิกฤต | ทั้งหมด | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 | 13 เมษายน 2016 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน้าจอสัมผัส MediaTek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์หน้าจอสัมผัส MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 | วิกฤต | ไม่มี** | 16 ก.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader
การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm bootloader อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 | วิกฤต | Nexus 5X, Nexus 6, Pixel, Pixel XL, Android One | 13 ก.ย. 2559 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 | วิกฤต | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 16 พ.ย. 2559 |
การยกระดับช่องโหว่ของระบบย่อยเสียงเคอร์เนล
การยกระดับช่องโหว่ของสิทธิ์ในระบบย่อยเสียงเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 ต้นน้ำเคอร์เนล | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 3 ธ.ค. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ใน Motorola bootloader
การยกระดับช่องโหว่ของสิทธิ์พิเศษใน Motorola bootloader สามารถเปิดใช้งานแอพพลิเคชั่นที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของ bootloader ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* | วิกฤต | Nexus 6 | 21 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอ NVIDIA
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอ NVIDIA สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 | วิกฤต | Nexus 9 | 4 ม.ค. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมพลังงานของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในเคอร์เนลไดรเวอร์พลังงานของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้จัดอยู่ในประเภทวิกฤติเนื่องจากมีความเป็นไปได้ที่อุปกรณ์ถาวรในเครื่องอาจเกิดการประนีประนอม ซึ่งอาจต้องรีเฟรชระบบปฏิบัติการเพื่อซ่อมแซมอุปกรณ์
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 | วิกฤต | ไม่มี* | 15 ก.พ. 2017 |
* อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ในส่วนประกอบ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS ในเดือนสิงหาคม กันยายน ตุลาคม และธันวาคม 2559
| CVE | อ้างอิง | ความรุนแรง* | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 | วิกฤต | Nexus 6P | Qualcomm ภายใน |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 | วิกฤต | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | Qualcomm ภายใน |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 | สูง | Pixel, Pixel XL | Qualcomm ภายใน |
| CVE-2016-10279 | A-3624421** QC-CR#1031821 | สูง | Pixel, Pixel XL | Qualcomm ภายใน |
* ผู้ให้บริการกำหนดระดับความรุนแรงของช่องโหว่เหล่านี้
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน libxml2
ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน libxml2 อาจทำให้ผู้โจมตีสามารถใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากมีความเป็นไปได้ในการเรียกใช้โค้ดจากระยะไกลในแอปพลิเคชันที่ใช้ไลบรารีนี้
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | อัปเดตเวอร์ชัน AOSP | วันที่รายงาน |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | สูง | ไม่มี** | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 กรกฎาคม 2016 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมความร้อน MediaTek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ระบายความร้อน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 | สูง | ไม่มี** | 11 เม.ย. 2559 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 | สูง | ไม่มี** | 11 เม.ย. 2559 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 | สูง | ไม่มี** | 27 ธ.ค. 2559 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Wi-Fi อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 | สูง | Nexus 5X, Pixel, Pixel XL, Android One | 11 ต.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์วิดีโอของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 ต.ค. 2559 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 | สูง | Pixel, Pixel XL | 19 ธ.ค. 2559 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 | สูง | Pixel, Pixel XL | 15 ก.พ. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
การเพิ่มช่องโหว่ของระบบย่อยประสิทธิภาพของเคอร์เนล
ช่องโหว่การยกระดับสิทธิ์ในระบบย่อยประสิทธิภาพของเคอร์เนลอาจทำให้แอพพลิเคชั่นที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 ต้นน้ำเคอร์เนล | สูง | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | 23 พ.ย. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์เสียงของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 20 ธ.ค. 2559 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 3 ม.ค. 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 | สูง | Pixel, Pixel XL | 22 ม.ค. 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 | สูง | ไม่มี* | 15 ก.พ. 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 | สูง | Pixel, Pixel XL | 15 ก.พ. 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 ก.พ. 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 15 ก.พ. 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 | สูง | ไม่มี* | 15 ก.พ. 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 ก.พ. 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 ก.พ. 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 | สูง | ไม่มี* | 15 ก.พ. 2017 |
* อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าซึ่งติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm LED
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm LED อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 | สูง | Pixel, Pixel XL | 23 ธ.ค. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมการเข้ารหัสลับของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์การเข้ารหัสลับของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 24 ธ.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมหน่วยความจำที่ใช้ร่วมกันของ Qualcomm
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์หน่วยความจำที่ใช้ร่วมกันของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 24 ธ.ค. 2559 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Slimbus
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Slimbus อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Android One | 31 ธ.ค. 2559 |
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm ADSPRPC
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm ADSPRPC อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 | สูง | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | 5 ม.ค. 2017 |
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Secure Execution Environment Communicator
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm Secure Execution Environment Communicator อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 | สูง | Pixel, Pixel XL | 10 ม.ค. 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 ก.พ. 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 | สูง | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | 15 ก.พ. 2017 |
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมพลังงาน MediaTek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์พลังงาน MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 | สูง | ไม่มี** | 12 ม.ค. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในไดรเวอร์ขัดจังหวะการจัดการระบบ MediaTek
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมการขัดจังหวะการจัดการระบบ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 | สูง | ไม่มี** | 19 ม.ค. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การยกระดับช่องโหว่ของสิทธิ์ในโปรแกรมควบคุมวิดีโอ MediaTek
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์วิดีโอ MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 | สูง | ไม่มี** | 19 ม.ค. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์คิวคำสั่ง MediaTek
ช่องโหว่ของการยกระดับสิทธิ์ในไดรเวอร์คิวคำสั่ง MediaTek อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 | สูง | ไม่มี** | 7 ก.พ. 2017 |
* แพตช์สำหรับปัญหานี้ไม่เปิดเผยต่อสาธารณะ การอัปเดตนี้มีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
** อุปกรณ์ Google ที่รองรับบน Android 7.1.1 หรือใหม่กว่าที่ติดตั้งการอัปเดตที่มีอยู่ทั้งหมดจะไม่ได้รับผลกระทบจากช่องโหว่นี้
การเพิ่มช่องโหว่ของสิทธิ์ในไดรเวอร์ Qualcomm pin controller
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ตัวควบคุมพินของ Qualcomm อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้ ปัญหานี้ได้รับการจัดอันดับเป็นสูงเนื่องจากต้องประนีประนอมกับกระบวนการที่มีสิทธิพิเศษก่อน
| CVE | อ้างอิง | ความรุนแรง | อัปเดตอุปกรณ์ Google | วันที่รายงาน |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 | สูง | Nexus 6, Android One | 15 ก.พ. 2017 |
การยกระดับช่องโหว่ของสิทธิ์ใน Qualcomm Secure Channel Manager Driver
การยกระดับช่องโหว่ของสิทธิ์พิเศษในไดรเวอร์ Qualcomm Secure Channel Manager สามารถเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในเครื่องเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล ปัญหานี้ได้รับการจัดอันดับเป็นสูง เนื่องจากก่อนอื่นต้องมีการประนีประนอมกับกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | ความรุนแรง | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 | High | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | Feb 15, 2017 |
Elevation of privilege vulnerability in Qualcomm sound codec driver
An elevation of privilege vulnerability in the Qualcomm sound codec driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 | High | Pixel, Pixel XL | Feb 15, 2017 |
Elevation of privilege vulnerability in kernel voltage regulator driver
An elevation of privilege vulnerability in the kernel voltage regulator driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 Upstream kernel | High | Nexus 6, Nexus 9, Pixel C, Android One, Nexus Player | Feb 15, 2017 |
Elevation of privilege vulnerability in Qualcomm camera driver
An elevation of privilege vulnerability in the Qualcomm camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 | High | Android One | Feb 15, 2017 |
Elevation of privilege vulnerability in Qualcomm networking driver
An elevation of privilege vulnerability in the Qualcomm networking driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 | High | Nexus 5X, Pixel, Pixel XL | Feb 15, 2017 |
Elevation of privilege vulnerability in kernel networking subsystem
An elevation of privilege vulnerability in the kernel networking subsystem could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 Upstream kernel [2] | High | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Android One | Mar 23, 2017 |
Elevation of privilege vulnerability in Goodix touchscreen driver
An elevation of privilege vulnerability in the Goodix touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 | High | Android One | Google internal |
Elevation of privilege vulnerability in HTC bootloader
An elevation of privilege vulnerability in the HTC bootloader could enable a local malicious application to execute arbitrary code within the context of the bootloader. This issue is rated as High because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* | High | Pixel, Pixel XL | Google Internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm Wi-Fi driver
An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 | High | Nexus 5X, Pixel, Pixel XL | Jan 16, 2017 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in MediaTek command queue driver
An information disclosure vulnerability in the MediaTek command queue driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 | High | None** | Feb 8, 2017 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in Qualcomm crypto engine driver
An information disclosure vulnerability in the Qualcomm crypto engine driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 | High | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | Feb 15, 2017 |
Denial of service vulnerability in Qualcomm Wi-Fi driver
A denial of service vulnerability in the Qualcomm Wi-Fi driver could enable a proximate attacker to cause a denial of service in the Wi-Fi subsystem. This issue is rated as High due to the possibility of remote denial of service.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 | High | Nexus 5X, Pixel, Pixel XL | Dec 16, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in kernel UVC driver
An information disclosure vulnerability in the kernel UVC driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* | Moderate | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Dec 2, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm video driver
An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 | Moderate | Nexus 5X, Nexus 6P, Android One | Dec 4, 2016 |
Information disclosure vulnerability in Qualcomm power driver (device specific)
An information disclosure vulnerability in the Qualcomm power driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 | Moderate | Nexus 5X, Nexus 6P, Pixel, Pixel XL | Dec 14, 2016 |
Information disclosure vulnerability in Qualcomm LED driver
An information disclosure vulnerability in the Qualcomm LED driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 | Moderate | Pixel, Pixel XL | Dec 20, 2016 |
Information disclosure vulnerability in Qualcomm shared memory driver
An information disclosure vulnerability in the Qualcomm shared memory driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 | Moderate | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | Dec 22, 2016 |
Information disclosure vulnerability in Qualcomm camera driver
An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 | Moderate | Nexus 5X, Nexus 6, Pixel, Pixel XL | Jan 10, 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 | Moderate | Nexus 5X, Nexus 6, Pixel, Pixel XL | Feb 8, 2017 |
Information disclosure vulnerability in kernel trace subsystem
An information disclosure vulnerability in the kernel trace subsystem could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* | Moderate | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | Jan 11, 2017 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm sound codec driver
An information disclosure vulnerability in the Qualcomm sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] | Moderate | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | Feb 15, 2017 |
Information disclosure vulnerability in Qualcomm camera driver
An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 | Moderate | Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | Feb 15, 2017 |
Information disclosure vulnerability in Qualcomm sound driver
An information disclosure vulnerability in the Qualcomm sound driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 | Moderate | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | Feb 15, 2017 |
Information disclosure vulnerability in Qualcomm SPCom driver
An information disclosure vulnerability in the Qualcomm SPCom driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 | Moderate | None* | Feb 15, 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 | Moderate | None* | Feb 15, 2017 |
* Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in Qualcomm sound codec driver
An information disclosure vulnerability in the Qualcomm sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 | Moderate | Android One | Feb 15, 2017 |
Information disclosure vulnerability in Broadcom Wi-Fi driver
An information disclosure vulnerability in the Broadcom Wi-Fi driver could enable a local malicious component to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 | Moderate | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Feb 23, 2017 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Synaptics touchscreen driver
An information disclosure vulnerability in the Synaptics touchscreen driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | References | Severity | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* | Moderate | Pixel, Pixel XL | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Vulnerabilities in Qualcomm components
These vulnerabilities affecting Qualcomm components were released as part of Qualcomm AMSS security bulletins between 2014–2016. They are included in this Android security bulletin to associate their fixes with an Android security patch level.
| CVE | References | Severity* | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | Critical | None*** | Qualcomm internal |
| CVE-2014-9924 | A-35434631** | Critical | None*** | Qualcomm internal |
| CVE-2014-9925 | A-35444657** | Critical | None*** | Qualcomm internal |
| CVE-2014-9926 | A-35433784** | Critical | None*** | Qualcomm internal |
| CVE-2014-9927 | A-35433785** | Critical | None*** | Qualcomm internal |
| CVE-2014-9928 | A-35438623** | Critical | None*** | Qualcomm internal |
| CVE-2014-9929 | A-35443954** QC-CR#644783 | Critical | None*** | Qualcomm internal |
| CVE-2014-9930 | A-35432946** | Critical | None*** | Qualcomm internal |
| CVE-2015-9005 | A-36393500** | Critical | None*** | Qualcomm internal |
| CVE-2015-9006 | A-36393450** | Critical | None*** | Qualcomm internal |
| CVE-2015-9007 | A-36393700** | Critical | None*** | Qualcomm internal |
| CVE-2016-10297 | A-36393451** | Critical | None*** | Qualcomm internal |
| CVE-2014-9941 | A-36385125** | High | None*** | Qualcomm internal |
| CVE-2014-9942 | A-36385319** | High | None*** | Qualcomm internal |
| CVE-2014-9943 | A-36385219** | High | None*** | Qualcomm internal |
| CVE-2014-9944 | A-36384534** | High | None*** | Qualcomm internal |
| CVE-2014-9945 | A-36386912** | High | None*** | Qualcomm internal |
| CVE-2014-9946 | A-36385281** | High | None*** | Qualcomm internal |
| CVE-2014-9947 | A-36392400** | High | None*** | Qualcomm internal |
| CVE-2014-9948 | A-36385126** | High | None*** | Qualcomm internal |
| CVE-2014-9949 | A-36390608** | High | None*** | Qualcomm internal |
| CVE-2014-9950 | A-36385321** | High | None*** | Qualcomm internal |
| CVE-2014-9951 | A-36389161** | High | None*** | Qualcomm internal |
| CVE-2014-9952 | A-36387019** | High | None*** | Qualcomm internal |
* The severity rating for these vulnerabilities was determined by the vendor.
** The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
*** Supported Google devices on Android 7.1.1 or later that have installed all available updates are not affected by this vulnerability.
Common Questions and Answers
This section answers common questions that may occur after reading this bulletin.
1. How do I determine if my device is updated to address these issues?
To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .
- Security patch levels of 2017-05-01 or later address all issues associated with the 2017-05-01 security patch level.
- Security patch levels of 2017-05-05 or later address all issues associated with the 2017-05-05 security patch level and all previous patch levels.
Device manufacturers that include these updates should set the patch string level to:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. Why does this bulletin have two security patch levels?
This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.
- Devices that use the May 01, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of May 05, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.
3. How do I determine which Google devices are affected by each issue?
In the 2017-05-01 and 2017-05-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:
| Prefix | Reference |
|---|---|
| A- | Android bug ID |
| QC- | Qualcomm reference number |
| M- | MediaTek reference number |
| N- | NVIDIA reference number |
| B- | Broadcom reference number |
Revisions
- May 01, 2017: Bulletin published.
- May 02, 2017: Bulletin revised to include AOSP links.
- August 10, 2017: Bulletin revised to include additional AOSP link for CVE-2017-0493.
- August 17, 2017: Bulletin revised to update reference numbers.
- October 03, 2017: Bulletin revised to remove CVE-2017-0605.