กระดานข่าวความปลอดภัยของ Android—มิถุนายน 2017

เผยแพร่เมื่อ 5 มิถุนายน 2017 | อัปเดตเมื่อวันที่ 17 สิงหาคม 2017

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 5 มิถุนายน 2017 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด โปรดดู กำหนดการอัปเดต Pixel และ Nexus เพื่อเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์

พันธมิตรได้รับแจ้งถึงปัญหาที่อธิบายไว้ในกระดานข่าวอย่างน้อยหนึ่งเดือนที่ผ่านมา แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และลิงก์จากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญใน Media Framework ซึ่งสามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในระหว่างการประมวลผลไฟล์สื่อและข้อมูล การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

เราไม่มีรายงานเกี่ยวกับการเอารัดเอาเปรียบลูกค้าหรือการละเมิดปัญหาที่รายงานใหม่เหล่านี้ โปรดดูส่วน การลดปัญหาของ Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

หมายเหตุ: ข้อมูลเกี่ยวกับการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google มีอยู่ในส่วน การอัปเดตอุปกรณ์ Google

ประกาศ

  • เราได้ปรับปรุงกระดานข่าวความปลอดภัยรายเดือนเพื่อให้อ่านง่ายขึ้น ในการอัปเดตนี้ ข้อมูลช่องโหว่จะถูกจัดหมวดหมู่ตามองค์ประกอบที่ได้รับผลกระทบ จัดเรียงตามชื่อส่วนประกอบภายในระดับแพตช์ความปลอดภัย และข้อมูลเฉพาะอุปกรณ์ของ Google จะโฮสต์ไว้ใน ส่วนเฉพาะ
  • กระดานข่าวนี้มีสตริงระดับแพตช์ความปลอดภัยสองชุดเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ดู คำถามและคำตอบทั่วไป สำหรับข้อมูลเพิ่มเติม:
    • 01-06-2017 : สตริงระดับแพตช์ความปลอดภัยบางส่วน สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-06-01 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว
    • 05-06-2017 : กรอกระดับแพตช์รักษาความปลอดภัยให้สมบูรณ์ สตริงระดับแพตช์รักษาความปลอดภัยนี้บ่งชี้ว่าปัญหาทั้งหมดที่เกี่ยวข้องกับ 2017-06-01 และ 2017-06-05 (และสตริงระดับแพตช์ความปลอดภัยก่อนหน้าทั้งหมด) ได้รับการแก้ไขแล้ว

การบรรเทาผลกระทบจาก Android และ Google Play Protect

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

ระดับแพตช์ความปลอดภัย 06-06-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-06-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ มีคำอธิบายของปัญหาและตารางพร้อม CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

บลูทู ธ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0645 A-35385327 อีโอพี ปานกลาง 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0646 A-33899337 บัตรประจำตัวประชาชน ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ห้องสมุด

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ไม่มีสิทธิ์

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2015-8871 A-35443562 * อาร์ซีอี สูง 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-8332 A-37761553 * อาร์ซีอี สูง 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-5131 A-36554209 อาร์ซีอี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-4658 A-36554207 อาร์ซีอี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0663 A-37104170 อาร์ซีอี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7376 A-36555370 อาร์ซีอี สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-5056 A-36809819 อาร์ซีอี ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7375 A-36556310 อาร์ซีอี ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0647 A-36392138 บัตรประจำตัวประชาชน ปานกลาง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-1839 A-36553781 ดอส ปานกลาง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

กรอบสื่อ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อทำให้หน่วยความจำเสียหายในระหว่างการประมวลผลไฟล์มีเดียและข้อมูลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0637 A-34064500 อาร์ซีอี วิกฤต 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0391 A-32322258 ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0640 A-33129467 * ดอส สูง 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0641 A-34360591 ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0642 A-34819017 ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0643 A-35645051 * ดอส สูง 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0644 A-35472997 * ดอส สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

UI ของระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0638 A-36368305 อาร์ซีอี สูง 7.1.1, 7.1.2

ระดับแพตช์ความปลอดภัย 06-06-2017—รายละเอียดช่องโหว่

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2017-06-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบและรวมถึงรายละเอียด เช่น CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง ส่วนประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0648 A-36101220 * อีโอพี สูง ดีบักเกอร์ FIQ
CVE-2017-0651 A-35644815 * บัตรประจำตัวประชาชน ต่ำ ระบบย่อยไอออน

ห้องสมุด

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2015-7995 A-36810065 * บัตรประจำตัวประชาชน ปานกลาง 4.4.4

ส่วนประกอบ MediaTek

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0636 A-35310230 *
M-ALPS03162263
อีโอพี สูง โปรแกรมควบคุมคิวคำสั่ง
CVE-2017-0649 A-34468195 *
M-ALPS03162283
อีโอพี ปานกลาง ไดรเวอร์เสียง

ส่วนประกอบของ NVIDIA

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-6247 A-34386301 *
N-CVE-2017-6247
อีโอพี สูง ไดรเวอร์เสียง
CVE-2017-6248 A-34372667 *
N-CVE-2017-6248
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-6249 A-34373711 *
N-CVE-2017-6249
อีโอพี ปานกลาง ไดรเวอร์เสียง

ส่วนประกอบของควอลคอมม์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีใกล้เคียงสามารถรันโค้ดที่กำหนดเองภายในบริบทของเคอร์เนลได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-7371 A-36250786
QC-CR#1101054
อาร์ซีอี วิกฤต ไดรเวอร์บลูทูธ
CVE-2017-7365 A-32449913
QC-CR#1017009
อีโอพี สูง บูตโหลดเดอร์
CVE-2017-7366 A-36252171
QC-CR#1036161 [ 2 ]
อีโอพี สูง ไดรเวอร์กราฟฟิก
CVE-2017-7367 A-34514708
QC-CR#1008421
ดอส สูง บูตโหลดเดอร์
CVE-2016-5861 A-36251375
QC-CR#1103510
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2016-5864 A-36251231
QC-CR#1105441
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-6421 A-36251986
QC-CR#1110563
อีโอพี ปานกลาง ไดรเวอร์หน้าจอสัมผัส MStar
CVE-2017-7364 A-36252179
QC-CR#1113926
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-7368 A-33452365
QC-CR#1103085
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-7369 A-33751424
QC-CR#2009216 [ 2 ]
อีโอพี ปานกลาง ไดรเวอร์เสียง
CVE-2017-7370 A-34328139
QC-CR#2006159
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-7372 A-36251497
QC-CR#1110068
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-7373 A-36251984
QC-CR#1090244
อีโอพี ปานกลาง ไดรเวอร์วิดีโอ
CVE-2017-8233 A-34621613
QC-CR#2004036
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8234 A-36252121
QC-CR#832920
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8235 A-36252376
QC-CR#1083323
อีโอพี ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8236 A-35047217
QC-CR#2009606
อีโอพี ปานกลาง ไดรเวอร์ไอพีเอ
CVE-2017-8237 A-36252377
QC-CR#1110522
อีโอพี ปานกลาง ไดรเวอร์เครือข่าย
CVE-2017-8242 A-34327981
QC-CR#2009231
อีโอพี ปานกลาง ไดรเวอร์ Communicator สภาพแวดล้อมการดำเนินการที่ปลอดภัย
CVE-2017-8239 A-36251230
QC-CR#1091603
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์กล้อง
CVE-2017-8240 A-36251985
QC-CR#856379
บัตรประจำตัวประชาชน ปานกลาง ไดรเวอร์คอนโทรลเลอร์พิน
CVE-2017-8241 A-34203184
QC-CR#1069175
บัตรประจำตัวประชาชน ต่ำ ไดรเวอร์ Wi-Fi

ส่วนประกอบของซินแนปติกส์

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปที่เป็นอันตรายในเครื่องสามารถเข้าถึงข้อมูลที่อยู่นอกระดับสิทธิ์ได้

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2017-0650 A-35472278 * อีโอพี ต่ำ ไดรเวอร์หน้าจอสัมผัส

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm AMSS ตั้งแต่ปี 2014–2016 รวมอยู่ในกระดานข่าวความปลอดภัยของ Android นี้เพื่อเชื่อมโยงการแก้ไขกับระดับแพตช์ความปลอดภัยของ Android การแก้ไขช่องโหว่เหล่านี้มีให้โดยตรงจาก Qualcomm

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2014-9960 A-37280308 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2014-9961 A-37279724 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2014-9953 A-36714770 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2014-9967 A-37281466 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9026 A-37277231 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9027 A-37279124 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9008 A-36384689 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9009 A-36393600 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9010 A-36393101 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9011 A-36714882 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9024 A-37265657 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9012 A-36384691 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9013 A-36393251 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9014 A-36393750 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9015 A-36714120 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2015-9029 A-37276981 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10338 A-37277738 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10336 A-37278436 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10333 A-37280574 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10341 A-37281667 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10335 A-37282802 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10340 A-37280614 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10334 A-37280664 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10339 A-37280575 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10298 A-36393252 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2016-10299 A-32577244 * ไม่มี วิกฤต ส่วนประกอบแบบปิด
CVE-2014-9954 A-36388559 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9955 A-36384686 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9956 A-36389611 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9957 A-36387564 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9958 A-36384774 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9962 A-37275888 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9963 A-37276741 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9959 A-36383694 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9964 A-37280321 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9965 A-37278233 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2014-9966 A-37282854 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9023 A-37276138 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9020 A-37276742 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9021 A-37276743 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9025 A-37276744 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9022 A-37280226 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9028 A-37277982 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9031 A-37275889 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9032 A-37279125 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9033 A-37276139 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2015-9030 A-37282907 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10332 A-37282801 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10337 A-37280665 * ไม่มี สูง ส่วนประกอบแบบปิด
CVE-2016-10342 A-37281763 * ไม่มี สูง ส่วนประกอบแบบปิด

การอัปเดตอุปกรณ์ Google

ตารางนี้ประกอบด้วยระดับแพตช์ความปลอดภัยในการอัปเดตผ่านทางอากาศ (OTA) ล่าสุดและอิมเมจเฟิร์มแวร์สำหรับอุปกรณ์ Google อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer

อุปกรณ์กูเกิล ระดับแพตช์ความปลอดภัย
พิกเซล / พิกเซล XL 05 มิถุนายน 2017
เน็กซัส 5X 05 มิถุนายน 2017
เน็กซัส 6 05 มิถุนายน 2017
เน็กซัส 6พี 05 มิถุนายน 2017
เน็กซัส 9 05 มิถุนายน 2017
ผู้เล่นเน็กซัส 05 มิถุนายน 2017
พิกเซล ซี 05 มิถุนายน 2017

การอัปเดตอุปกรณ์ของ Google ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยเหล่านี้ ถ้ามี:

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2017-0639 A-35310991 บัตรประจำตัวประชาชน สูง 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

รับทราบ

เราขอขอบคุณนักวิจัยเหล่านี้สำหรับการมีส่วนร่วม:

CVE นักวิจัย
CVE-2017-0643, CVE-2017-0641 Ecular Xu (徐健) จาก Trend Micro
CVE-2017-0645, CVE-2017-0639 En He ( @heeeeen4x ) และ Bo Liu จาก MS509Team
CVE-2017-0649 Gengjia Chen ( @chengjia4574 ) และ pjf จาก IceSword Lab, Qihoo 360 Technology Co. Ltd.
CVE-2017-0646 Godzheng (郑文选 - @VirtualSeekers ) จาก Tencent PC Manager
CVE-2017-0636 Jake Corina ( @JakeCorina ) จากทีม Shellphish Grill
CVE-2017-8233 Jianqiang Zhao ( @jianqiangzhao ) และ pjf จาก IceSword Lab, Qihoo 360
CVE-2017-7368 Lubo Zhang ( zlbzlb815@163.com ), Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-8242 Nathan Crandall ( @natecray ) จากทีมรักษาความปลอดภัยผลิตภัณฑ์ของ Tesla
CVE-2017-0650 Omer Shwartz, Amir Cohen, Dr. Asaf Shabtai และ Dr. Yossi Oren จาก Ben Gurion University Cyber ​​Lab
CVE-2017-0648 Roee Hay ( @roeehay ) จาก Aleph Research , HCL Technologies
CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 sevenshen ( @lingtongshen ) จาก TrendMicro
CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 วาซิลี วาซิลีฟ
CVE-2017-0640 VEO ( @VYSEa ) จาก ทีมตอบสนองภัยคุกคามมือถือ , Trend Micro
CVE-2017-8236 Xiling Gong จากแผนกแพลตฟอร์มความปลอดภัย Tencent
CVE-2017-0647 Yangkang ( @dnpushme ) และ Liyadong จากทีม Qex, Qihoo 360
CVE-2017-7370 Yonggang Guo ( @guoygang ) จาก IceSword Lab, Qihoo 360 Technology Co. Ltd
CVE-2017-0651 Yuan-Tsung Lo ( computernik@gmail.com ) และ Xuxian Jiang จาก ทีม C0RE
CVE-2017-8241 ซูบิน มิทรา จาก Google

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดต Pixel และ Nexus

  • ระดับแพตช์รักษาความปลอดภัยของ 2017-06-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-06-01
  • ระดับแพตช์รักษาความปลอดภัย 05-06-2560 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัย 06-06-2560 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2017-06-01]
  • [ro.build.version.security_patch]:[2017-06-05]

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 1 มิถุนายน 2017 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยวันที่ 5 มิถุนายน 2017 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดอยู่ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ ประเภท หมายถึงอะไร

รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

คำย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
อีโอพี การยกระดับสิทธิพิเศษ
บัตรประจำตัวประชาชน การเปิดเผยข้อมูล
ดอส การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจำแนกประเภท

4. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
บี- หมายเลขอ้างอิงของ Broadcom

5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่พร้อมใช้งานจาก ไซต์ Google Developer

รุ่นต่างๆ

เวอร์ชัน วันที่ หมายเหตุ
1.0 5 มิถุนายน 2017 เผยแพร่กระดานข่าวแล้ว
1.1 7 มิถุนายน 2017 กระดานข่าวแก้ไขเพื่อรวมลิงก์ AOSP
1.2 11 กรกฎาคม 2017 กระดานข่าวแก้ไขเพื่อรวม CVE-2017-6249
1.3 17 สิงหาคม 2017 กระดานข่าวแก้ไขเพื่ออัปเดตหมายเลขอ้างอิง