Published กรกฎาคม 5, 2017 | อัปเดต 26 กันยายน 2017
กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยวันที่ 05 กรกฎาคม 2017 หรือใหม่กว่า แก้ไขปัญหาเหล่านี้ทั้งหมด ดู ตารางการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์
พันธมิตรได้รับแจ้งปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในกรอบงานสื่อ ซึ่งสามารถเปิดใช้งานผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบจากการใช้ประโยชน์จากช่องโหว่ที่อาจจะเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากเลี่ยงผ่านได้สำเร็จ
เราไม่มีรายงานเกี่ยวกับการแสวงประโยชน์จากลูกค้าที่ใช้งานอยู่หรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ อ้างถึงส่วนการ บรรเทาปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android
เราสนับสนุนให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตแบบ over-the-air ล่าสุด (OTA) และอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ของ Google
ประกาศ
- กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองรายการเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
- 2017-07-01 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
- 2017-07-05 : กรอกสตริงระดับแพตช์ความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์ความปลอดภัยนี้ระบุว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-07-01 และ 2017-07-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
การลดผลกระทบของ Android และ Google Play Protect
นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect เปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
2017-07-01 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-07-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
รันไทม์
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | RCE | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
กรอบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่โดยใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารี
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | EoP | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | ไอดี | ปานกลาง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | ไอดี | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ห้องสมุด
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้โค้ดโดยอำเภอใจภายในบริบทของแอปพลิเคชันที่ใช้ไลบรารี
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762 * | RCE | สูง | 4.4.4 |
| CVE-2016-2109 | A-35443725 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-3478578 | DoS | สูง | 7.0, 7.1.1, 7.1.2 |
กรอบสื่อ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [ 2 ] | RCE | วิกฤต | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | RCE | วิกฤต | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | RCE | วิกฤต | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | RCE | วิกฤต | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | RCE | วิกฤต | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422 * | RCE | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008 * | RCE | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | EoP | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | DoS | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | DoS | สูง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | DoS | สูง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | DoS | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | ไอดี | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | ไอดี | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
UI ของระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | RCE | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [ 2 ] | RCE | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | RCE | สูง | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | EoP | สูง | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | EoP | ปานกลาง | 7.1.1, 7.1.2 |
2017-07-05 ระดับแพตช์ความปลอดภัย—รายละเอียดช่องโหว่
ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2017-07-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง
ส่วนประกอบ Broadcom
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนล
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027 * B-RB#1223023 | RCE | วิกฤต | ไดรเวอร์ Wi-Fi |
| CVE-2017-0705 | A-34973477 * B-RB#119898 | EoP | ปานกลาง | ไดรเวอร์ Wi-Fi |
| CVE-2017-0706 | A-35195787 * B-RB#120532 | EoP | ปานกลาง | ไดรเวอร์ Wi-Fi |
ส่วนประกอบ HTC
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467 * | EoP | ปานกลาง | ไดรเวอร์ LED |
| CVE-2017-0708 | A-35384879 * | ไอดี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-0709 | A-35468048 * | ไอดี | ต่ำ | ไดรเวอร์เซ็นเซอร์ฮับ |
ส่วนประกอบเคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 ต้นน้ำเคอร์เนล | EoP | สูง | ระบบย่อยเครือข่าย |
| CVE-2017-5970 | A-35805460 ต้นน้ำเคอร์เนล | DoS | สูง | ระบบย่อยเครือข่าย |
| CVE-2015-5707 | A-35841297 เคอร์เนลต้นน้ำ [ 2 ] | EoP | ปานกลาง | ไดรเวอร์ SCSI |
| CVE-2017-7308 | A-36725304 ต้นน้ำเคอร์เนล [ 2 ] [ 3 ] | EoP | ปานกลาง | ไดรเวอร์เครือข่าย |
| CVE-2014-9731 | A-35841292 ต้นน้ำเคอร์เนล | ไอดี | ปานกลาง | ระบบไฟล์ |
ส่วนประกอบ MediaTek
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953 * M-ALPS03206781 | EoP | สูง | ไดรเวอร์เครือข่าย |
ส่วนประกอบ NVIDIA
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204 * N-CVE-2017-0340 | EoP | สูง | Libnvparser |
| CVE-2017-0326 | A-33718700 * N-CVE-2017-0326 | ไอดี | ปานกลาง | ไดรเวอร์วิดีโอ |
ส่วนประกอบ Qualcomm
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของเคอร์เนลได้
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 | EoP | สูง | Bootloader |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 | EoP | สูง | Bootloader |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 | EoP | สูง | ไดรเวอร์กล้อง |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 | EoP | สูง | ไดรเวอร์ GPU |
| CVE-2017-8263 | A-34126808 * QC-CR#1107034 | EoP | สูง | ระบบย่อยหน่วยความจำที่ใช้ร่วมกันแบบไม่ระบุชื่อ |
| CVE-2017-8267 | A-34173755 * QC-CR#2001129 | EoP | สูง | ระบบย่อยหน่วยความจำที่ใช้ร่วมกันแบบไม่ระบุชื่อ |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [ 2 ] | EoP | สูง | Bootloader |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 | EoP | ปานกลาง | ไดรเวอร์ USB HID |
| CVE-2017-8243 | A-34112490 * QC-CR#2001803 | EoP | ปานกลาง | ไดรเวอร์ SoC |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 | EoP | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 | EoP | ปานกลาง | ไดรเวอร์ Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 | EoP | ปานกลาง | ไดรเวอร์ SoC |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 | EoP | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8261 | A-35139833 * QC-CR#2013631 | EoP | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8264 | A-33299365 * QC-CR#1107702 | EoP | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8268 | A-34620535 * QC-CR#2002207 | EoP | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8270 | A-35468665 * QC-CR#2021363 | EoP | ปานกลาง | ไดรเวอร์ Wi-Fi |
| CVE-2017-8271 | A-35950388 * QC-CR#2028681 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8272 | A-35950805 * QC-CR#2028702 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-8254 | A-36252027 QC-CR#832914 | ไอดี | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 | ไอดี | ปานกลาง | ไดรเวอร์กล้อง |
| CVE-2017-8269 | A-33967002 * QC-CR#2013145 | ไอดี | ปานกลาง | ไดร์เวอร์ IPA |
ส่วนประกอบโอเพ่นซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm AMSS ในปี 2557-2559 รวมอยู่ในกระดานข่าวความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android แก้ไขช่องโหว่เหล่านี้ได้โดยตรงจาก Qualcomm
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9968 | A-37304413 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9973 | A-37470982 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9974 | A-37471979 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9975 | A-37471230 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9977 | A-37471087 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9978 | A-37468982 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9979 | A-37471088 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2014-9980 | A-37471029 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-0575 | A-37296999 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-8592 | A-37470090 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-8595 | A-37472411 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-8596 | A-37472806 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9034 | A-37305706 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9035 | A-37303626 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9036 | A-37303519 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9037 | A-37304366 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9038 | A-37303027 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9039 | A-37302628 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9040 | A-37303625 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9041 | A-37303518 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9042 | A-37301248 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9043 | A-37305954 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9044 | A-37303520 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9045 | A-37302136 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9046 | A-37301486 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9047 | A-37304367 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9048 | A-37305707 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9049 | A-37301488 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9050 | A-37302137 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9051 | A-37300737 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9052 | A-37304217 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9053 | A-37301249 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9054 | A-37303177 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9055 | A-37472412 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9060 | A-37472807 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9061 | A-37470436 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9062 | A-37472808 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9067 | A-37474000 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9068 | A-37470144 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9069 | A-37470777 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9070 | A-37474001 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9071 | A-37471819 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9072 | A-37474002 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2015-9073 | A-37473407 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10343 | A-32580186 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10344 | A-32583954 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10346 | A-37473408 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10347 | A-37471089 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10382 | A-28823584 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10383 | A-28822389 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10388 | A-32580294 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-10391 | A-32583804 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-5871 | A-37473055 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
| CVE-2016-5872 | A-37472809 * | ไม่มี | สูง | ส่วนประกอบที่ปิดแหล่งที่มา |
การอัปเดตอุปกรณ์ Google
ตารางนี้มีระดับแพตช์ความปลอดภัยในการอัปเดตแบบ over-the-air ล่าสุด (OTA) และอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google อิมเมจเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
| อุปกรณ์ Google | ระดับแพตช์ความปลอดภัย |
|---|---|
| พิกเซล / พิกเซล XL | 05 กรกฎาคม 2017 |
| Nexus 5X | 05 กรกฎาคม 2017 |
| Nexus 6 | 05 กรกฎาคม 2017 |
| Nexus 6P | 05 กรกฎาคม 2017 |
| Nexus 9 | 05 กรกฎาคม 2017 |
| Nexus Player | 05 กรกฎาคม 2017 |
| Pixel C | 05 กรกฎาคม 2017 |
การอัปเดตอุปกรณ์ของ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ หากมี:
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864 * | EoP | ปานกลาง | TCB |
รับทราบ
เราขอขอบคุณนักวิจัยเหล่านี้สำหรับผลงานของพวกเขา:
| CVEs | นักวิจัย |
|---|---|
| CVE-2017-8263 | Billy Lau จาก Google |
| CVE-2017-0711 | Chengming Yang, Baozeng Ding และ Yang Song จาก Alibaba Mobile Security Group |
| CVE-2017-0681 | Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0706 | Daxing Guo ( @freener0 ) จาก Xuanwu Lab, Tencent |
| CVE-2017-8260 | Derrek ( @derrekr6 ) และ Scott Bauer |
| CVE-2017-8265 | Di Shen ( @returnsme ) จาก KeenLab ( @keen_lab ), Tencent |
| CVE-2017-0703 | Dzmitry Lukyanenka |
| CVE-2017-0692, CVE-2017-0694 | Elphet และ Gong Guang จาก Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665 | Chi Zhang , Hanxiang Wen , Mingjian Zhou ( @Mingjian_Zhou ) และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-8268, CVE-2017-8261 | Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360 |
| CVE-2017-0698 | แบรนด์ Joey แห่ง Census Consulting Inc. |
| CVE-2017-0666, CVE-2017-0684 | Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang และ Xuxian Jiang จาก ทีม C0RE |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 ( @jiych_guru ) |
| CVE-2017-9417 | Nitay Artenstein จาก Exodus Intelligence |
| CVE-2017-0705, CVE-2017-8259 | Scott Bauer |
| CVE-2017-0667 | ทิโมธี เบกเกอร์ จาก CSS Inc. |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | Vasily Vasiliev |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE- 2017-0674, CVE-2017-0677 | VEO ( @VYSEa ) ของ Mobile Threat Response Team , Trend Micro |
| CVE-2017-0708 | Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent |
| CVE-2017-0690 | Yangkang ( @dnpushme ) และ Liyadong จาก Qihoo 360 Qex Team |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก C0RE Team |
| CVE-2017-0704, CVE-2017-0669 | Yuxiang Li ( @Xbalien29 ) จาก Tencent Security Platform Department |
| CVE-2017-0710 | Zach Riggle ( @ebeip90 ) จากทีมรักษาความปลอดภัย Android |
| CVE-2017-0678 | Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691, CVE-2017-0700 | Zinuo Han จาก Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. และ Ao Wang ( @ArayzSegment ) ของ ทีม Pangu |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน ตารางการอัปเดต Pixel และ Nexus
- ระดับแพตช์ความปลอดภัย 2017-07-01 หรือใหม่กว่า จัดการกับปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-07-01
- ระดับแพตช์ความปลอดภัย 2017-07-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-07-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ
กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 1 กรกฎาคม 2017 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยวันที่ 05 กรกฎาคม 2017 หรือใหม่กว่านั้นจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ Type หมายถึงอะไร
รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำนิยาม |
|---|---|
| RCE | การเรียกใช้โค้ดจากระยะไกล |
| EoP | ยกระดับสิทธิพิเศษ |
| ไอดี | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจัดประเภท |
4. รายการในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
รายการภายใต้คอลัมน์ อ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิงอยู่
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิง Broadcom |
5. * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ข้างรหัสจุดบกพร่องของ Android ในคอลัมน์ อ้างอิง โดยทั่วไป การอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีให้จาก ไซต์ Google Developer
รุ่น
| เวอร์ชั่น | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 กรกฎาคม 2017 | เผยแพร่แถลงการณ์ |
| 1.1 | 6 กรกฎาคม 2017 | กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP |
| 1.2 | 11 กรกฎาคม 2017 | กระดานข่าวแก้ไขปรับปรุงการรับทราบ |
| 1.3 | 17 สิงหาคม 2017 | แก้ไขกระดานข่าวสารเพื่ออัปเดตหมายเลขอ้างอิง |
| 1.4 | 19 กันยายน 2017 | อัปเดตการรับทราบสำหรับ CVE-2017-0710 |
| 1.5 | 26 กันยายน 2017 | อัปเดตการรับทราบสำหรับ CVE-2017-0681 |