发布于 2017 年 7 月 5 日 |更新于 2017 年 9 月 26 日
Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。 2017 年 7 月 5 日或更高版本的安全补丁级别可解决所有这些问题。请参阅Pixel 和 Nexus 更新时间表,了解如何检查设备的安全补丁级别。
合作伙伴至少在一个月前就收到了公告中描述的问题的通知。这些问题的源代码补丁已发布到 Android 开源项目 (AOSP) 存储库,并从此公告链接。此公告还包含 AOSP 之外的补丁的链接。
其中最严重的问题是媒体框架中的一个关键安全漏洞,该漏洞可能使远程攻击者能够使用特制文件在特权进程的上下文中执行任意代码。严重性评估基于利用漏洞可能对受影响设备产生的影响,假设平台和服务缓解措施出于开发目的而关闭或成功绕过。
我们尚未收到有关客户主动利用或滥用这些新报告问题的报告。有关 Android安全平台保护和Google Play Protect 的详细信息,请参阅 Android 和 Google Play Protect 缓解措施部分,这些保护可提高 Android 平台的安全性。
我们鼓励所有客户接受对其设备的这些更新。
注意:有关 Google 设备的最新无线更新 (OTA) 和固件映像的信息,请参阅Google 设备更新部分。
公告
- 此公告有两个安全补丁级别字符串,可让 Android 合作伙伴灵活地更快地修复所有 Android 设备上相似的漏洞子集。有关更多信息,请参阅常见问题和解答:
- 2017-07-01 :部分安全补丁级别字符串。此安全补丁级别字符串表示与 2017-07-01(以及所有之前的安全补丁级别字符串)相关的所有问题均已得到解决。
- 2017-07-05 :完整的安全补丁级别字符串。此安全补丁级别字符串表示与 2017-07-01 和 2017-07-05(以及所有以前的安全补丁级别字符串)相关的所有问题均已得到解决。
Android 和 Google Play Protect 缓解措施
这是Android 安全平台和服务保护(例如Google Play Protect)提供的缓解措施的摘要。这些功能降低了 Android 上安全漏洞被成功利用的可能性。
- 新版 Android 平台的增强功能使得利用 Android 上的许多问题变得更加困难。我们鼓励所有用户尽可能更新到最新版本的 Android。
- Android 安全团队通过Google Play Protect积极监控滥用行为,并向用户发出有关潜在有害应用程序的警告。默认情况下,在具有Google 移动服务的设备上启用 Google Play Protect,这对于从 Google Play 外部安装应用程序的用户尤其重要。
2017-07-01 安全补丁级别—漏洞详情
在下面的部分中,我们提供了适用于 2017-07-01 补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。有问题的描述和包含 CVE、相关参考文献、漏洞类型、严重性和更新的 AOSP 版本(如果适用)的表格。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。
运行
本节中最严重的漏洞可能使远程攻击者能够使用特制文件在非特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | 远程代码执行 | 缓和 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
框架
本节中最严重的漏洞可能使本地恶意应用程序使用特制文件在使用该库的应用程序上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | 结束时间 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0665 | A-36991414 | 结束时间 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0666 | A-37285689 | 结束时间 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0667 | A-37478824 | 结束时间 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0668 | A-22011579 | ID | 缓和 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0669 | A-34114752 | ID | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0670 | A-36104177 | 拒绝服务 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
图书馆
本节中最严重的漏洞可能使远程攻击者能够使用特制文件在使用该库的应用程序上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762 * | 远程代码执行 | 高的 | 4.4.4 |
| CVE-2016-2109 | A-35443725 | 拒绝服务 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0672 | A-34778578 | 拒绝服务 | 高的 | 7.0、7.1.1、7.1.2 |
媒体框架
本节中最严重的漏洞可能使远程攻击者能够使用特制文件在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | 远程代码执行 | 批判的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0673 | A-33974623 | 远程代码执行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0674 | A-34231163 | 远程代码执行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0675 | A-34779227 [ 2 ] | 远程代码执行 | 批判的 | 6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0676 | A-34896431 | 远程代码执行 | 批判的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0677 | A-36035074 | 远程代码执行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0678 | A-36576151 | 远程代码执行 | 批判的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0679 | A-36996978 | 远程代码执行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0680 | A-37008096 | 远程代码执行 | 批判的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0681 | A-37208566 | 远程代码执行 | 批判的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0682 | A-36588422 * | 远程代码执行 | 高的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0683 | A-36591008 * | 远程代码执行 | 高的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0684 | A-35421151 | 结束时间 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0685 | A-34203195 | 拒绝服务 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0686 | A-34231231 | 拒绝服务 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0688 | A-35584425 | 拒绝服务 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0689 | A-36215950 | 拒绝服务 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0690 | A-36592202 | 拒绝服务 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0691 | A-36724453 | 拒绝服务 | 高的 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0692 | A-36725407 | 拒绝服务 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0693 | A-36993291 | 拒绝服务 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0694 | A-37093318 | 拒绝服务 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0695 | A-37094889 | 拒绝服务 | 高的 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0696 | A-37207120 | 拒绝服务 | 高的 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0697 | A-37239013 | 拒绝服务 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0698 | A-35467458 | ID | 缓和 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0699 | A-36490809 | ID | 缓和 | 6.0、6.0.1、7.0、7.1.1、7.1.2 |
系统界面
本节中最严重的漏洞可能使远程攻击者能够使用特制文件在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | 远程代码执行 | 高的 | 7.1.1、7.1.2 |
| CVE-2017-0701 | A-36385715 [ 2 ] | 远程代码执行 | 高的 | 7.1.1、7.1.2 |
| CVE-2017-0702 | A-36621442 | 远程代码执行 | 高的 | 7.1.1、7.1.2 |
| CVE-2017-0703 | A-33123882 | 结束时间 | 高的 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
| CVE-2017-0704 | A-33059280 | 结束时间 | 缓和 | 7.1.1、7.1.2 |
2017-07-05 安全补丁级别—漏洞详情
在下面的部分中,我们提供了适用于 2017-07-05 补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组,包括 CVE、关联引用、漏洞类型、严重性、组件(如果适用)和更新的 AOSP 版本(如果适用)等详细信息。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。
博通组件
本节中最严重的漏洞可能使邻近的攻击者能够在内核上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027 * B-RB#123023 | 远程代码执行 | 批判的 | 无线网络驱动程序 |
| CVE-2017-0705 | A-34973477 * B-RB#119898 | 结束时间 | 缓和 | 无线网络驱动程序 |
| CVE-2017-0706 | A-35195787 * B-RB#120532 | 结束时间 | 缓和 | 无线网络驱动程序 |
HTC 组件
本节中最严重的漏洞可能使本地恶意应用程序能够在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467 * | 结束时间 | 缓和 | LED驱动器 |
| CVE-2017-0708 | A-35384879 * | ID | 缓和 | 声音驱动程序 |
| CVE-2017-0709 | A-35468048 * | ID | 低的 | 传感器集线器驱动程序 |
内核组件
本节中最严重的漏洞可能使本地恶意应用程序能够在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 上游内核 | 结束时间 | 高的 | 网络子系统 |
| CVE-2017-5970 | A-35805460 上游内核 | 拒绝服务 | 高的 | 网络子系统 |
| CVE-2015-5707 | A-35841297 上游内核[ 2 ] | 结束时间 | 缓和 | SCSI驱动程序 |
| CVE-2017-7308 | A-36725304 上游内核[ 2 ] [ 3 ] | 结束时间 | 缓和 | 网络驱动程序 |
| CVE-2014-9731 | A-35841292 上游内核 | ID | 缓和 | 文件系统 |
联发科技组件
本节中最严重的漏洞可能使本地恶意应用程序能够在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953 * M-ALPS03206781 | 结束时间 | 高的 | 网络驱动程序 |
NVIDIA 组件
本节中最严重的漏洞可能使本地恶意应用程序能够在特权进程的上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204 * N-CVE-2017-0340 | 结束时间 | 高的 | Libnv解析器 |
| CVE-2017-0326 | A-33718700 * N-CVE-2017-0326 | ID | 缓和 | 视频驱动程序 |
高通组件
本节中最严重的漏洞可能使本地恶意应用程序能够在内核上下文中执行任意代码。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 | 结束时间 | 高的 | 引导装载程序 |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 | 结束时间 | 高的 | 引导装载程序 |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 | 结束时间 | 高的 | 摄像头驱动 |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 | 结束时间 | 高的 | GPU驱动程序 |
| CVE-2017-8263 | A-34126808 * QC-CR#1107034 | 结束时间 | 高的 | 匿名共享内存子系统 |
| CVE-2017-8267 | A-34173755 * QC-CR#2001129 | 结束时间 | 高的 | 匿名共享内存子系统 |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [ 2 ] | 结束时间 | 高的 | 引导装载程序 |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 | 结束时间 | 缓和 | USB HID 驱动程序 |
| CVE-2017-8243 | A-34112490 * QC-CR#2001803 | 结束时间 | 缓和 | 片上系统驱动程序 |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 | 结束时间 | 缓和 | 声音驱动程序 |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 | 结束时间 | 缓和 | 无线网络驱动程序 |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 | 结束时间 | 缓和 | 视频驱动程序 |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 | 结束时间 | 缓和 | 片上系统驱动程序 |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 | 结束时间 | 缓和 | 摄像头驱动 |
| CVE-2017-8261 | A-35139833 * QC-CR#2013631 | 结束时间 | 缓和 | 摄像头驱动 |
| CVE-2017-8264 | A-33299365 * QC-CR#1107702 | 结束时间 | 缓和 | 摄像头驱动 |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 | 结束时间 | 缓和 | 视频驱动程序 |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 | 结束时间 | 缓和 | 视频驱动程序 |
| CVE-2017-8268 | A-34620535 * QC-CR#2002207 | 结束时间 | 缓和 | 摄像头驱动 |
| CVE-2017-8270 | A-35468665 * QC-CR#2021363 | 结束时间 | 缓和 | 无线网络驱动程序 |
| CVE-2017-8271 | A-35950388 * QC-CR#2028681 | 结束时间 | 缓和 | 视频驱动程序 |
| CVE-2017-8272 | A-35950805 * QC-CR#2028702 | 结束时间 | 缓和 | 视频驱动程序 |
| CVE-2017-8254 | A-36252027 QC-CR#832914 | ID | 缓和 | 声音驱动程序 |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 | ID | 缓和 | 摄像头驱动 |
| CVE-2017-8269 | A-33967002 * QC-CR#2013145 | ID | 缓和 | 国际音标驱动程序 |
高通闭源组件
这些漏洞影响 Qualcomm 组件,并在 2014-2016 年 Qualcomm AMSS 安全公告中进行了更详细的描述。它们包含在此 Android 安全公告中,以便将其修复与 Android 安全补丁级别相关联。这些漏洞的修复可直接从高通获得。
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9968 | A-37304413 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9973 | A-37470982 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9974 | A-37471979 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9975 | A-37471230 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9977 | A-37471087 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9978 | A-37468982 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9979 | A-37471088 * | 不适用 | 高的 | 闭源组件 |
| CVE-2014-9980 | A-37471029 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-0575 | A-37296999 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-8592 | A-37470090 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-8595 | A-37472411 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-8596 | A-37472806 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9034 | A-37305706 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9035 | A-37303626 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9036 | A-37303519 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9037 | A-37304366 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9038 | A-37303027 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9039 | A-37302628 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9040 | A-37303625 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9041 | A-37303518 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9042 | A-37301248 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9043 | A-37305954 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9044 | A-37303520 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9045 | A-37302136 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9046 | A-37301486 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9047 | A-37304367 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9048 | A-37305707 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9049 | A-37301488 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9050 | A-37302137 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9051 | A-37300737 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9052 | A-37304217 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9053 | A-37301249 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9054 | A-37303177 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9055 | A-37472412 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9060 | A-37472807 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9061 | A-37470436 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9062 | A-37472808 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9067 | A-37474000 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9068 | A-37470144 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9069 | A-37470777 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9070 | A-37474001 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9071 | A-37471819 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9072 | A-37474002 * | 不适用 | 高的 | 闭源组件 |
| CVE-2015-9073 | A-37473407 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10343 | A-32580186 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10344 | A-32583954 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10346 | A-37473408 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10347 | A-37471089 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10382 | A-28823584 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10383 | A-28822389 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10388 | A-32580294 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-10391 | A-32583804 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-5871 | A-37473055 * | 不适用 | 高的 | 闭源组件 |
| CVE-2016-5872 | A-37472809 * | 不适用 | 高的 | 闭源组件 |
谷歌设备更新
此表包含 Google 设备的最新无线更新 (OTA) 和固件映像中的安全补丁程序级别。 Google 设备固件映像可在Google Developer 网站上获取。
| 谷歌设备 | 安全补丁级别 |
|---|---|
| 像素/像素XL | 2017 年 7 月 5 日 |
| Nexus 5X | 2017 年 7 月 5 日 |
| Nexus 6 | 2017 年 7 月 5 日 |
| Nexus 6P | 2017 年 7 月 5 日 |
| Nexus 9 | 2017 年 7 月 5 日 |
| Nexus 播放器 | 2017 年 7 月 5 日 |
| 像素C | 2017 年 7 月 5 日 |
Google 设备更新还包含针对这些安全漏洞的补丁(如果适用):
| CVE | 参考 | 类型 | 严重性 | 成分 |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864 * | 结束时间 | 缓和 | TCB |
致谢
我们要感谢这些研究人员的贡献:
| CVE | 研究人员 |
|---|---|
| CVE-2017-8263 | 谷歌的比利·刘 |
| CVE-2017-0711 | 阿里巴巴移动安全事业部杨成明、丁宝增、宋杨 |
| CVE-2017-0681 | C0RE 团队的Chi Chang 、 Hanyang Wen 、Mingjian Zhou ( @Mingjian_Zhou ) 和 Xuxian Jiang |
| CVE-2017-0706 | 腾讯玄武实验室的郭大兴 ( @freener0 ) |
| CVE-2017-8260 | 德里克 ( @derrekr6 ) 和斯科特·鲍尔 |
| CVE-2017-8265 | 腾讯科恩实验室 ( @keen_lab ) 的沉迪 ( @returnsme ) |
| CVE-2017-0703 | 德兹米特里·卢基亚宁卡 |
| CVE-2017-0692、CVE-2017-0694 | 奇虎 360 科技有限公司 Alpha 团队的 Elphet 和龚光 |
| CVE-2017-8266、CVE-2017-8243、CVE-2017-8270 | 奇虎 360 科技有限公司 IceSword 实验室的 Gengjia Chen ( @ Chengjia4574 ) 和pjf |
| CVE-2017-0665 | C0RE 团队的Chi Chang 、 Hanyang Wen 、Mingjian Zhou ( @Mingjian_Zhou ) 和 Xuxian Jiang |
| CVE-2017-8268、CVE-2017-8261 | 奇虎 360 IceSword 实验室的赵建强 ( @jianqiangzhao ) 和pjf |
| CVE-2017-0698 | 人口普查咨询公司的乔伊·布兰德 |
| CVE-2017-0666、CVE-2017-0684 | C0RE 团队的 Mingjian Zhou ( @Mingjian_Zhou )、 Chi Zhang和 Xuxian Jiang |
| CVE-2017-0697、CVE-2017-0670 | Niky1235 ( @jiych_guru ) |
| CVE-2017-9417 | Exodus Intelligence 的 Nitay Artenstein |
| CVE-2017-0705、CVE-2017-8259 | 斯科特·鲍尔 |
| CVE-2017-0667 | CSS Inc. 的蒂莫西·贝克尔 (Timothy Becker) |
| CVE-2017-0682、CVE-2017-0683、CVE-2017-0676、CVE-2017-0696、CVE-2017-0675、CVE-2017-0701、CVE-2017-0702、CVE-2017-0699 | 瓦西里·瓦西里耶夫 |
| CVE-2017-0695、CVE-2017-0689、CVE-2017-0540、CVE-2017-0680、CVE-2017-0679、CVE-2017-0685、CVE-2017-0686、CVE-2017-0693、CVE- 2017-0674、CVE-2017-0677 | 趋势科技移动威胁响应团队的 VEO ( @VYSEa ) |
| CVE-2017-0708 | 腾讯安全平台部龚希灵 |
| CVE-2017-0690 | 奇虎 360 Qex 团队的 Yangkang ( @dnpushme ) 和 Liyadong |
| CVE-2017-8269、CVE-2017-8271、CVE-2017-8272、CVE-2017-8267 | 奇虎 360 科技有限公司 IceSword 实验室的郭永刚 ( @guoygang ) |
| CVE-2017-8264、CVE-2017-0326、CVE-2017-0709 | C0RE 团队的 Yuan-Tsung Lo ( computernik@gmail.com ) 和 Xuxian Jiang |
| CVE-2017-0704、CVE-2017-0669 | 腾讯安全平台部的 Yuxiang Li ( @Xbalien29 ) |
| CVE-2017-0710 | Android 安全团队的 Zach Riggle ( @ebeip90 ) |
| CVE-2017-0678 | 奇虎 360 科技有限公司成都安全响应中心韩子诺 |
| CVE-2017-0691、CVE-2017-0700 | 成都安全响应中心的韩子诺、奇虎 360 科技有限公司以及盘古团队的王傲 ( @ArayzSegment ) |
常见问题及解答
本节回答阅读本公告后可能出现的常见问题。
1. 如何确定我的设备是否已更新以解决这些问题?
要了解如何检查设备的安全补丁级别,请阅读Pixel 和 Nexus 更新计划上的说明。
- 2017-07-01 或更高版本的安全补丁程序级别解决了与 2017-07-01 安全补丁程序级别相关的所有问题。
- 2017-07-05 或更高版本的安全补丁级别解决了与 2017-07-05 安全补丁级别和所有先前补丁级别相关的所有问题。
包含这些更新的设备制造商应将补丁字符串级别设置为:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. 为什么本公告有两个安全补丁级别?
此公告有两个安全补丁级别,以便 Android 合作伙伴能够灵活地更快地修复所有 Android 设备上相似的漏洞子集。我们鼓励 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁级别。
- 使用 2017 年 7 月 1 日安全补丁级别的设备必须包含与该安全补丁级别相关的所有问题,以及之前安全公告中报告的所有问题的修复。
- 使用 2017 年 7 月 5 日或更高版本安全补丁程序级别的设备必须包含本(和之前)安全公告中的所有适用补丁程序。
我们鼓励合作伙伴将他们正在解决的所有问题的修复程序捆绑在一次更新中。
3.类型栏中的条目是什么意思?
漏洞详细信息表的“类型”列中的条目引用安全漏洞的分类。
| 缩写 | 定义 |
|---|---|
| 远程代码执行 | 远程代码执行 |
| 结束时间 | 特权提升 |
| ID | 信息披露 |
| 拒绝服务 | 拒绝服务 |
| 不适用 | 分类不可用 |
4.参考文献栏中的条目是什么意思?
漏洞详细信息表的引用列下的条目可能包含标识引用值所属组织的前缀。
| 字首 | 参考 |
|---|---|
| A- | 安卓错误 ID |
| QC- | 高通参考号 |
| M- | 联发科参考号 |
| N- | NVIDIA 参考号 |
| B- | 博通参考号 |
5.参考资料栏中 Android bug ID 旁边的 * 是什么意思?
未公开发布的问题在“参考资料”列中的 Android bug ID 旁边有一个 *。该问题的更新通常包含在Google 开发者网站上提供的 Nexus 设备的最新二进制驱动程序中。
版本
| 版本 | 日期 | 笔记 |
|---|---|---|
| 1.0 | 2017 年 7 月 5 日 | 公告发布。 |
| 1.1 | 2017 年 7 月 6 日 | 公告已修订,包含 AOSP 链接。 |
| 1.2 | 2017 年 7 月 11 日 | 修订公告以更新致谢信息。 |
| 1.3 | 2017 年 8 月 17 日 | 修订公告以更新参考编号。 |
| 1.4 | 2017 年 9 月 19 日 | 更新了 CVE-2017-0710 的致谢信息。 |
| 1.5 | 2017 年 9 月 26 日 | 更新了 CVE-2017-0681 的致谢信息。 |