เผยแพร่เมื่อ 6 พฤศจิกายน 2017 | อัปเดตเมื่อ 8 พฤศจิกายน 2017
กระดานข่าวความปลอดภัยของ Pixel / Nexus มีรายละเอียดของช่องโหว่ด้านความปลอดภัยและการปรับปรุงการทำงานที่ส่งผลต่ออุปกรณ์ Google Pixel และ Nexus ที่รองรับ (อุปกรณ์ Google) สำหรับอุปกรณ์ Google แพตช์ความปลอดภัยระดับ 2017-11-05 ขึ้นไปจะช่วยแก้ปัญหาทั้งหมดในกระดานข่าวสารนี้ด้วย หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
อุปกรณ์ Google ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็นระดับแพตช์ 2017-11-05 เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน
หมายเหตุ: อิมเมจเฟิร์มแวร์อุปกรณ์ Google มีอยู่ใน ไซต์ Google Developer
ประกาศ
นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ใน กระดานข่าวความปลอดภัยของ Android พฤศจิกายน 2017 แล้วอุปกรณ์ Pixel และ Nexus ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่าง พาร์ทเนอร์ได้รับแจ้งเกี่ยวกับปัญหาเหล่านี้อย่างน้อยหนึ่งเดือนที่ผ่านมาและอาจเลือกที่จะรวมไว้เป็นส่วนหนึ่งของการอัปเดตอุปกรณ์ของพวกเขา
แพตช์ความปลอดภัย
ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่ส่งผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน Android Open Source Project (AOSP) ที่อัปเดตแล้ว (หากมี) เมื่อมีให้เราเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง
กรอบ
| CVE | อ้างอิง | ประเภท | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0845 | A-35028827 | DoS | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
กรอบสื่อ
| CVE | อ้างอิง | ประเภท | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0838 | A-63522818 | EoP | สูง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0852 | A-62815506 | DoS | สูง | 5.0.2, 5.1.1, 6.0 |
| CVE-2017-0847 | A-65540999 | EoP | ปานกลาง | 8.0 |
| CVE-2017-0848 | A-64477217 | ID | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0849 | A-62688399 | ID | ปานกลาง | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0850 | A-64836941 * | ID | ปานกลาง | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0851 | A-35430570 | ID | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0853 | A-63121644 | ID | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0854 | A-63873837 | ID | ปานกลาง | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0857 | A-65122447 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0858 | A-64836894 | NSI | NSI | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | สูง | 6.0, 6.0.1 | ||
| CVE-2017-0859 | A-36075131 * | NSI | NSI | 7.0, 7.1.1, 7.1.2 |
| DoS | สูง | 6.0, 6.0.1 |
รันไทม์
| CVE | อ้างอิง | ประเภท | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2016-2105 | A-63710022 * | RCE | ปานกลาง | 5.0.2, 5.1.1 |
| CVE-2016-2106 | A-63709511 * | RCE | ปานกลาง | 5.0.2, 5.1.1 |
| CVE-2017-3731 | A-63710076 * | ID | ปานกลาง | 5.0.2, 5.1.1 |
ระบบ
| CVE | อ้างอิง | ประเภท | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2017-0860 | A-31097064 | EoP | ปานกลาง | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ส่วนประกอบเคอร์เนล
| CVE | อ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-6001 | A-37901413 เคอร์เนลต้นน้ำ | EoP | ปานกลาง | เคอร์เนลหลัก |
| CVE-2017-0861 | A-36006981 * | EoP | ปานกลาง | ไดรเวอร์เสียง |
| CVE-2017-0862 | A-36006779 * | EoP | ปานกลาง | เคอร์เนล |
| CVE-2017-11600 | A-64257838 เคอร์เนลต้นน้ำ | EoP | ปานกลาง | ระบบย่อยเครือข่าย |
| CVE-2017-0863 | A-37950620 * | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
ส่วนประกอบ MediaTek
| CVE | อ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0864 | A-37277147 * M-ALPS03394571 | EoP | ปานกลาง | IoCtl (ไฟฉาย) |
| CVE-2017-0865 | A-65025090 * M-ALPS02973195 | EoP | ปานกลาง | ไดรเวอร์ SoC |
ส่วนประกอบ NVIDIA
| CVE | อ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-0866 | A-38415808 * N-CVE-2017-0866 | EoP | ปานกลาง | โครงสร้างพื้นฐานการแสดงผลโดยตรง |
| CVE-2017-6274 | A-34705801 * N-CVE-2017-6274 | EoP | ปานกลาง | ไดรเวอร์ความร้อน |
| CVE-2017-6275 | A-34702397 * N-CVE-2017-6275 | ID | ปานกลาง | ไดรเวอร์ความร้อน |
ส่วนประกอบ Qualcomm
| CVE | อ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2017-11073 | A-62084791 * QC-CR # 2064767 | EoP | ปานกลาง | ระบบย่อยเครือข่าย |
| CVE-2017-11035 | A-64431968 QC-CR # 2055659 [ 2 ] | EoP | ปานกลาง | WLAN |
| CVE-2017-11012 | A-64455446 QC-CR # 2054760 | EoP | ปานกลาง | WLAN |
| CVE-2017-11085 | A-62952032 * QC-CR # 2077909 | EoP | ปานกลาง | เสียง |
| CVE-2017-11091 | A-37478866 * QC-CR # 2064235 | EoP | ปานกลาง | ไดรเวอร์วิดีโอ |
| CVE-2017-11026 | A-64453104 QC-CR # 1021460 | EoP | ปานกลาง | บูตลินุกซ์ |
| CVE-2017-11038 | A-35888677 * QC-CR # 2034087 | EoP | ปานกลาง | ระบบย่อยหน่วยความจำ |
| CVE-2017-11032 | A-64431966 QC-CR # 1051435 | EoP | ปานกลาง | เคอร์เนลลินุกซ์ |
| CVE-2017-9719 | A-64438726 QC-CR # 2042697 [ 2 ] | EoP | ปานกลาง | แสดง |
| CVE-2017-11024 | A-64441352 QC-CR # 2031178 | EoP | ปานกลาง | การเชื่อมต่อแบบใช้สาย |
| CVE-2017-11025 | A-64440043 QC-CR # 2013494 | EoP | ปานกลาง | เสียง |
| CVE-2017-11023 | A-64434485 QC-CR # 2029216 | EoP | ปานกลาง | บริการ |
| CVE-2017-11029 | A-64433362 QC-CR # 2025367 [ 2 ] | EoP | ปานกลาง | กล้อง |
| CVE-2017-11018 | A-64441628 QC-CR # 897844 | EoP | ปานกลาง | กล้อง |
| CVE-2017-9721 | A-64441353 QC-CR # 2039552 | EoP | ปานกลาง | แสดง |
| CVE-2017-9702 | A-36492827 * QC-CR # 2037398 | EoP | ปานกลาง | กล้อง |
| CVE-2017-11089 | A-36819059 * QC-CR # 2055013 | ID | ปานกลาง | WLAN |
| CVE-2017-8239 | A-36251230 * QC-CR # 1091603 | ID | ปานกลาง | กล้อง |
| CVE-2017-11090 | A-36818836 * QC-CR # 2061676 | ID | ปานกลาง | WLAN |
| CVE-2017-11093 | A-37625232 * QC-CR # 2077623 | ID | ปานกลาง | HDMI |
| CVE-2017-8279 | A-62378962 QC-CR # 2015227 | ID | ปานกลาง | บริการ |
| CVE-2017-9696 | A-36232584 * QC-CR # 2029867 | ID | ปานกลาง | เคอร์เนล |
| CVE-2017-11058 | A-37718081 QC-CR # 2061251 | ID | ปานกลาง | WLAN |
| CVE-2017-11022 | A-64440918 QC-CR # 1086582 [ 2 ] | ID | ปานกลาง | WLAN |
| CVE-2017-9701 | A-63868730 QC-CR # 2038992 | ID | ปานกลาง | บูตลินุกซ์ |
| CVE-2017-11027 | A-64453534 QC-CR # 2055630 | ID | ปานกลาง | บูตลินุกซ์ |
การปรับปรุงการทำงาน
การอัปเดตเหล่านี้รวมอยู่ในอุปกรณ์ Pixel ที่ได้รับผลกระทบเพื่อแก้ไขปัญหาการทำงานที่ไม่เกี่ยวข้องกับความปลอดภัยของอุปกรณ์ Pixel ตารางประกอบด้วยการอ้างอิงที่เกี่ยวข้อง หมวดหมู่ที่ได้รับผลกระทบเช่นบลูทู ธ หรือข้อมูลมือถือ และสรุปปัญหา
| อ้างอิง | ประเภท | การปรับปรุง |
|---|---|---|
| A-65225835 | เสียง | ปรับเกณฑ์การเตือนระดับเสียงในบางภูมิภาค |
| A-37943083 | บลูทู ธ | การปรับปรุงสำหรับอุปกรณ์บลูทู ธ ที่รองรับ AVRCP เวอร์ชัน 1.3 เท่านั้น |
| A-63790458 | บลูทู ธ | ปรับปรุงการจับคู่การเชื่อมต่อชุดหูฟัง |
| A-64142363 | บลูทู ธ | ปรับปรุงการแสดงข้อมูลเพลงในบลูทู ธ บางตัว |
| A-64991621 | บลูทู ธ | ปรับปรุงข้อมูลเมตาในบาง carkits |
| A-65223508 | บลูทู ธ | ปรับปรุงการเชื่อมต่อบลูทู ธ กับคาร์คิท |
| A-65463237 | บลูทู ธ | ปรับปรุง Magic Tether บน BLE |
| A-64977836 | กล้อง | ปรับปรุงโฟกัสอัตโนมัติระหว่างการจับภาพวิดีโอ |
| A-65099590 | กล้อง | ปรับปรุงความเร็วในการตอบสนองของกล้องหน้า |
| A-68159303 | แสดง | การปรับเพื่อแสดงการตั้งค่าโหมดสี |
| A-68254840 | แสดง | การปรับเพื่อแสดงการตั้งค่าความสว่าง |
| A-68279369 | แสดง | การปรับความสว่างของแถบนำทาง |
| A-64103722 | ข้อมูลมือถือ | YouTube ที่ปรับเปลี่ยนแล้วเปลี่ยนจากเน็ตมือถือเป็น Wi-Fi |
| A-65113738 | ข้อมูลมือถือ | การปรับข้อมูลมือถือบน 3 เครือข่าย |
| A-37187694 | เสถียรภาพ | ปรับปรุงความเสถียรของแอปพลิเคชัน |
| A-67959484 | เสถียรภาพ | การปรับคุณภาพการโทร |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?
ระดับแพตช์ความปลอดภัย 2017-11-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2017-11-05 และระดับแพตช์ก่อนหน้าทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดอ่านคำแนะนำเกี่ยวกับ กำหนดการอัปเดตของ Pixel และ Nexus
2. รายการในคอลัมน์ Type หมายถึงอะไร?
รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การเรียกใช้รหัสระยะไกล |
| EoP | การยกระดับสิทธิพิเศษ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจำแนกประเภท |
3. รายการในคอลัมน์ การอ้างอิง หมายถึงอะไร?
รายการในคอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| ก - | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิง NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
4. เครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ การอ้างอิง หมายถึงอะไร?
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมีเครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ การอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหานั้นจะอยู่ในโปรแกรมควบคุมไบนารีล่าสุดสำหรับอุปกรณ์ Nexus ที่มีอยู่ใน ไซต์ Google Developer
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของ Android
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยของ Android เป็นสิ่งจำเป็นเพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมเช่นที่ระบุไว้ในบูเลทีนนี้ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 6 พฤศจิกายน 2560 | เผยแพร่แถลงการณ์แล้ว |
| 1.1 | 8 พฤศจิกายน 2560 | กระดานข่าวสารอัปเดตด้วยลิงก์ AOSP และรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดตการทำงาน |