เผยแพร่เมื่อวันที่ 4 ธันวาคม 2017 | อัปเดตเมื่อวันที่ 6 ธันวาคม 2017
กระดานข่าวสารด้านความปลอดภัยของ Pixel / Nexus มีรายละเอียดช่องโหว่ด้านความปลอดภัยและการปรับปรุงฟังก์ชันการทำงานที่ส่งผลต่ออุปกรณ์ Google Pixel และ Nexus ที่รองรับ (อุปกรณ์ Google) สำหรับอุปกรณ์ Google แพตช์ความปลอดภัยระดับ 2017-12-05 ขึ้นไปจะแก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้ได้ ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
อุปกรณ์ Google ทั้งหมดที่รองรับจะได้รับการอัปเดตเป็นแพตช์ระดับ 2017-12-05 เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
หมายเหตุ: รูปภาพเฟิร์มแวร์ของอุปกรณ์ Google มีอยู่ในเว็บไซต์นักพัฒนาแอป Google
ประกาศ
นอกจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวสารด้านความปลอดภัยของ Android ประจำเดือนธันวาคม 2017 แล้ว อุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่างด้วย พาร์ทเนอร์ได้รับการแจ้งเตือนเกี่ยวกับปัญหาเหล่านี้อย่างน้อย 1 เดือนที่ผ่านมาและอาจเลือกที่จะรวมปัญหาเหล่านี้ไว้ในอัปเดตอุปกรณ์
แพตช์ความปลอดภัย
ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ โดยมีคำอธิบายปัญหา รวมถึงตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชันโครงการโอเพนซอร์ส Android (AOSP) ที่อัปเดตแล้ว (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขตามรหัสข้อบกพร่อง
เฟรมเวิร์กสื่อ
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2017-13154 | A-63666573 | EoP | สูง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0879 | A-65025028 | รหัส | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13149 | A-65719872 | รหัส | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13150 | A-38328132 | รหัส | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-13152 | A-62872384 | รหัส | ปานกลาง | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
คอมโพเนนต์ Broadcom
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13161 | A-63930471* BC-V2017092501 |
EoP | ปานกลาง | ไม่ระบุ |
คอมโพเนนต์เคอร์เนล
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13167 | A-37240993* | EoP | สูง | ตัวจับเวลาเสียง |
| CVE-2017-13163 | A-37429972* | EoP | ปานกลาง | ไดรเวอร์ USB MTP |
| CVE-2017-15868 | A-33982955 เคอร์เนล Upstream |
EoP | ปานกลาง | ไดรเวอร์ไร้สาย |
| CVE-2017-13165 | A-31269937* | EoP | ปานกลาง | ระบบไฟล์ |
| CVE-2017-13166 | A-34624167* | EoP | ปานกลาง | ไดรเวอร์วิดีโอ V4L2 |
| CVE-2017-1000380 | A-64217740 เคอร์เนล Upstream |
EoP | ปานกลาง | ไดรเวอร์ตัวจับเวลาเสียง |
| CVE-2017-13168 | A-65023233* | EoP | ปานกลาง | ไดรเวอร์ SCSI |
| CVE-2017-13169 | A-37512375* | รหัส | ปานกลาง | เซิร์ฟเวอร์กล้อง |
| CVE-2017-13164 | A-36007193* | รหัส | ปานกลาง | ไดรเวอร์ Binder |
คอมโพเนนต์ MediaTek
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-13172 | A-36493287* M-ALPS03495791 |
EoP | ปานกลาง | ไดรเวอร์บลูทูธ |
คอมโพเนนต์ NVIDIA
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6280 | A-63851980* N-CVE-2017-6280 |
รหัส | ปานกลาง | ไดรเวอร์ NVIDIA |
| CVE-2017-13175 | A-64339309* N-CVE-2017-13175 |
รหัส | ปานกลาง | Libwilhelm |
คอมโพเนนต์ Qualcomm
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-9708 | A-62674846* QC-CR#2081806 |
EoP | ปานกลาง | ฟองสบู่แตก |
| CVE-2017-11042 | A-38232268* QC-CR#2070438 |
EoP | ปานกลาง | อุปกรณ์เข้าเล่ม |
| CVE-2017-11030 | A-64431967 QC-CR#2034255 [2] |
EoP | ปานกลาง | จอแสดงผล |
| CVE-2017-9703 | A-34329758* QC-CR#2038086 |
EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-9718 | A-36386076* QC-CR#2045918 |
EoP | ปานกลาง | ฟองสบู่แตก |
| CVE-2017-8244 | A-35138888* QC-CR#2013361 |
EoP | ปานกลาง | ไดรเวอร์ Debugfs |
| CVE-2017-14901 | A-65468984 QC-CR#2059714 |
EoP | ปานกลาง | WLAN |
| CVE-2017-9698 | A-63868678 QC-CR#2023860 |
EoP | ปานกลาง | กราฟิก |
| CVE-2017-9700 | A-63868780 QC-CR#2043822 |
EoP | ปานกลาง | เสียง |
| CVE-2017-9722 | A-64453224 QC-CR#2034239 [2] |
EoP | ปานกลาง | จอแสดงผล |
| CVE-2017-11049 | A-64728945 QC-CR#2034909 |
EoP | ปานกลาง | จอแสดงผล |
| CVE-2017-11047 | A-64728948 QC-CR#2057285 |
EoP | ปานกลาง | จอแสดงผล |
| CVE-2017-14898 | A-65468978 QC-CR#2054748 |
EoP | ปานกลาง | WLAN |
| CVE-2017-14899 | A-65468980 QC-CR#2054752 |
EoP | ปานกลาง | WLAN |
| CVE-2017-11044 | A-65468989 QC-CR#2063166 |
EoP | ปานกลาง | กราฟิก |
| CVE-2017-11045 | A-65468993 QC-CR#2060377 [2] |
EoP | ปานกลาง | กล้อง |
| CVE-2017-14900 | A-65468983 QC-CR#2058468 |
EoP | ปานกลาง | WLAN |
| CVE-2017-9710 | A-63868933 QC-CR#2023883 |
EoP | ปานกลาง | HLOS ของข้อมูล |
| CVE-2017-11019 | A-64453105 QC-CR#2030638 |
EoP | ปานกลาง | จอแสดงผล |
| CVE-2017-11016 | A-64453423 QC-CR#2038685 |
EoP | ปานกลาง | เสียง |
| CVE-2017-11033 | A-64453422 QC-CR#2031930 [2] |
EoP | ปานกลาง | ฟองสบู่แตก |
| CVE-2017-14896 | A-65468975 QC-CR#2013716 |
EoP | ปานกลาง | GUD mobicore driver |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
รหัส | ปานกลาง | ไดรเวอร์ DCI |
| CVE-2017-14903 | A-63522505* QC-CR#2088768 |
รหัส | ปานกลาง | WLAN |
| CVE-2017-11031 | A-64442463 QC-CR#2059181 |
รหัส | ปานกลาง | จอแสดงผล |
| CVE-2017-14905 | A-37719782 QC-CR#2061251 |
รหัส | ปานกลาง | เครือข่ายไร้สาย |
คอมโพเนนต์แบบโคลสซอร์สของ Qualcomm
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-14907 | A-62212113* | ไม่มี | วิกฤต | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2016-5341 | A-63983006* | ไม่มี | ปานกลาง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2017-9709 | A-65944335* | ไม่มี | ปานกลาง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2017-15813 | A-63979947* | ไม่มี | ปานกลาง | คอมโพเนนต์แบบโคลสซอร์ส |
การอัปเดตฟังก์ชันการทำงาน
อุปกรณ์ Google ทั้งหมดที่รองรับจะได้รับการอัปเดตเป็น Android 8.1 ผ่านการอัปเดต OTA ในเดือนธันวาคม Android 8.1 มีการอัปเดตและปรับปรุงฟังก์ชันการทำงานหลายอย่างในส่วนต่างๆ ของแพลตฟอร์ม Android
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ระดับแพตช์ความปลอดภัยของวันที่ 05-12-2017 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-12-2017 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านวิธีการในกำหนดการอัปเดต Pixel และ Nexus
2. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
3. รายการในคอลัมน์ข้อมูลอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
4. เครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมีเครื่องหมาย * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ซึ่งมีอยู่ในเว็บไซต์ Google Developer
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกระหว่างกระดานข่าวสารนี้กับกระดานข่าวสารความปลอดภัยของ Android
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยของ Android จำเป็นต้องใช้ในการประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ช่องโหว่ที่ระบุไว้ในกระดานข่าวสารนี้ ไม่จำเป็นต้องประกาศระดับแพตช์ความปลอดภัย
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 4 ธันวาคม 2017 | เผยแพร่กระดานข่าวสารแล้ว |
| 1.1 | 5 ธันวาคม 2017 | อัปเดตกระดานข่าวสารพร้อมลิงก์ไปยังภาพเฟิร์มแวร์และรายละเอียดการอัปเดตฟังก์ชันการทำงาน |
| 1.2 | 6 ธันวาคม 2017 | ปรับปรุงกระดานข่าวสารให้รวมลิงก์ AOSP |