aboutsummaryrefslogtreecommitdiff
path: root/zh-cn/security/bulletin/2017-06-01.html
diff options
context:
space:
mode:
Diffstat (limited to 'zh-cn/security/bulletin/2017-06-01.html')
-rw-r--r--zh-cn/security/bulletin/2017-06-01.html1268
1 files changed, 1268 insertions, 0 deletions
diff --git a/zh-cn/security/bulletin/2017-06-01.html b/zh-cn/security/bulletin/2017-06-01.html
new file mode 100644
index 00000000..026af023
--- /dev/null
+++ b/zh-cn/security/bulletin/2017-06-01.html
@@ -0,0 +1,1268 @@
+<html devsite><head>
+ <title>Android 安全公告 - 2017 年 6 月</title>
+ <meta name="project_path" value="/_project.yaml"/>
+ <meta name="book_path" value="/_book.yaml"/>
+ </head>
+ <body>
+ <!--
+ Copyright 2017 The Android Open Source Project
+
+ Licensed under the Apache License, Version 2.0 (the "License");
+ you may not use this file except in compliance with the License.
+ You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+ -->
+<p><em>发布时间:2017 年 6 月 5 日 | 更新时间:2017 年 6 月 7 日</em></p>
+
+<p>Android 安全公告详细介绍了会影响 Android 设备的安全漏洞。2017 年 6 月 5 日(或之后)的安全补丁程序级别均已解决所有这些问题。请参阅 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 和 Nexus 更新时间表</a>,了解如何检查设备的安全补丁程序级别。</p>
+
+<p>我们的合作伙伴在至少一个月前就已收到本公告中说明的这些问题的相关通知。我们将在 Android 开放源代码项目 (AOSP) 代码库中发布针对相关问题的源代码补丁程序,并在本公告中提供相应链接。本公告还提供了 AOSP 之外的补丁程序的链接。</p>
+
+<p>这些问题中危险性最高的是媒体框架中的一个严重程度为“严重”的安全漏洞,在系统处理文件和数据时,该漏洞可让远程攻击者使用特制文件破坏内存。<a href="/security/overview/updates-resources.html#severity">严重程度评估</a>的依据是漏洞被利用后可能会对受影响设备造成的影响大小(假设相关平台和服务缓解措施被成功规避或出于开发目的而被关闭)。</p>
+
+<p>我们尚未收到用户因这些新报告的问题而遭到主动攻击或这些问题遭到滥用的报告。请参阅 <a href="#mitigations">Android 和 Google Play 保护机制缓解措施</a>部分,详细了解 <a href="/security/enhancements/index.html">Android 安全平台防护功能</a>和 <a href="https://www.android.com/play-protect">Google Play 保护机制</a>;这些功能可提高 Android 平台的安全性。</p>
+
+<p>我们建议所有用户都在自己的设备上接受这些更新。</p>
+
+<p class="note"><strong>注意</strong>:如需了解与最新的无线更新 (OTA) 和适用于 Google 设备的固件映像有关的信息,请参阅 <a href="#google-device-updates">Google 设备更新</a>部分。</p>
+
+<h2 id="announcements">公告</h2>
+<ul>
+ <li>我们简化了每月安全公告,以便于轻松阅读。在此次更新中,我们在各安全补丁程序级别内按受影响的组件对漏洞信息进行了分类并按组件名对漏洞信息进行了排序,同时将 Google 设备专属信息划分到了<a href="#google-device-updates">专门的部分</a>中。</li>
+ <li>本公告有两个安全补丁程序级别字符串,目的是让 Android 合作伙伴能够灵活地、更快速地修复所有 Android 设备上类似的一系列漏洞。如需了解详情,请参阅<a href="#common-questions-and-answers">常见问题和解答</a>:
+ <ul>
+ <li><strong>2017-06-01</strong>:部分安全补丁程序级别字符串。此安全补丁程序级别字符串表明与 2017-06-01(以及之前的所有安全补丁程序级别字符串)相关的所有问题均已得到解决。</li>
+ <li><strong>2017-06-05</strong>:完整的安全补丁程序级别字符串。此安全补丁程序级别字符串表明与 2017-06-01 和 2017-06-05(以及之前的所有安全补丁程序级别字符串)相关的所有问题均已得到解决。</li>
+ </ul>
+ </li>
+</ul>
+
+<h2 id="mitigations">Android 和 Google Play 保护机制缓解措施</h2>
+<p>本部分总结了 <a href="/security/enhancements/index.html">Android 安全平台</a>和服务防护功能(如 <a href="https://www.android.com/play-protect">Google Play 保护机制</a>)提供的缓解措施。这些功能可降低 Android 上的安全漏洞被成功利用的可能性。</p>
+<ul>
+ <li>新版 Android 平台中的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。</li>
+ <li>Android 安全团队会积极利用 <a href="https://www.android.com/play-protect">Google Play 保护机制</a>来监控滥用行为,并在发现<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的应用</a>时向用户发出警告。在预装有 <a href="http://www.android.com/gms">Google 移动服务</a>的设备上,Google Play 保护机制在默认情况下处于启用状态。对于安装来自 Google Play 以外的应用的用户来说,这项功能尤为重要。</li>
+</ul>
+
+<h2 id="2017-06-01-details">2017-06-01 安全补丁程序级别 - 漏洞详情</h2>
+<p>我们在下面提供了 2017-06-01 补丁程序级别涵盖的每个安全漏洞的详细信息,漏洞列在受其影响的组件下,其中包括问题描述,以及一个包含 CVE、相关参考信息、<a href="#vulnerability-type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>和已更新的 AOSP 版本(如果适用)的表格。在适用的情况下,我们会将 Bug ID 链接到解决相应问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。</p>
+
+<h3 id="bluetooth">蓝牙</h3>
+<p>这一部分中最严重的漏洞可让本地恶意应用获取超出其权限范围的数据。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>已更新的 AOSP 版本</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0639</td>
+ <td><a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/f196061addcc56878078e5684f2029ddbf7055ff">A-35310991</a></td>
+ <td>ID</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0645</td>
+ <td><a href="https://android.googlesource.com/platform/packages/apps/Bluetooth/+/14b7d7e1537af60b7bca6c7b9e55df0dc7c6bf41">A-35385327</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0646</td>
+ <td><a href="https://android.googlesource.com/platform/system/bt/+/2bcdf8ec7db12c5651c004601901f1fc25153f2c">A-33899337</a></td>
+ <td>ID</td>
+ <td>中</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+</tbody></table>
+<h3 id="libraries">库</h3>
+<p>这一部分中最严重的漏洞可让远程攻击者使用特制文件通过非特许进程执行任意代码。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>已更新的 AOSP 版本</th>
+ </tr>
+ <tr>
+ <td>CVE-2015-8871</td>
+ <td>A-35443562<a href="#asterisk">*</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-8332</td>
+ <td>A-37761553<a href="#asterisk">*</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-5131</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/0eff71008becb7f2c2b4509708da4b79985948bb">A-36554209</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-4658</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/8ea80f29ea5fdf383ee3ae59ce35e55421a339f8">A-36554207</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0663</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/521b88fbb6d18312923f0df653d045384b500ffc">A-37104170</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7376</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/51e0cb2e5ec18eaf6fb331bc573ff27b743898f4">A-36555370</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-5056</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/3f571b1bb85cf56903f06bab3a820182115c5541">A-36809819</a></td>
+ <td>RCE</td>
+ <td>中</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7375</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/308396a55280f69ad4112d4f9892f4cbeff042aa">A-36556310</a></td>
+ <td>RCE</td>
+ <td>中</td>
+ <td>4.4.4、5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0647</td>
+ <td><a href="https://android.googlesource.com/platform/system/core/+/3d6a43155c702bce0e7e2a93a67247b5ce3946a5">A-36392138</a></td>
+ <td>ID</td>
+ <td>中</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-1839</td>
+ <td><a href="https://android.googlesource.com/platform/external/libxml2/+/ff20cd797822dba8569ee518c44e6864d6b4ebfa">A-36553781</a></td>
+ <td>DoS</td>
+ <td>中</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+</tbody></table>
+<h3 id="media-framework">媒体框架</h3>
+<p>这一部分中最严重的漏洞可让远程攻击者在系统处理媒体文件和数据时,使用特制文件破坏内存。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>已更新的 AOSP 版本</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0637</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/ebaa71da6362c497310377df509651974401d258">A-34064500</a></td>
+ <td>RCE</td>
+ <td>严重</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0391</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/14bc1678a80af5be7401cf750ab762ae8c75cc5a">A-32322258</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0640</td>
+ <td>A-33129467<a href="#asterisk">*</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>6.0、6.0.1、7.0、7.1.1</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0641</td>
+ <td><a href="https://android.googlesource.com/platform/external/libvpx/+/698796fc930baecf5c3fdebef17e73d5d9a58bcb">A-34360591</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0642</td>
+ <td><a href="https://android.googlesource.com/platform/external/libhevc/+/913d9e8d93d6b81bb8eac3fc2c1426651f5b259d">A-34819017</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0643</td>
+ <td>A-35645051<a href="#asterisk">*</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0644</td>
+ <td>A-35472997<a href="#asterisk">*</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td>
+ </tr>
+</tbody></table>
+<h3 id="system-ui">系统界面</h3>
+<p>这一部分中最严重的漏洞可让攻击者使用特制文件通过非特许进程执行任意代码。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>已更新的 AOSP 版本</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0638</td>
+ <td><a href="https://android.googlesource.com/platform/external/libgdx/+/a98943dd4aece3024f023f00256607d50dcbcd1e">A-36368305</a></td>
+ <td>RCE</td>
+ <td>高</td>
+ <td>7.1.1、7.1.2</td>
+ </tr>
+</tbody></table>
+<h2 id="2017-06-05-details">2017-06-05 安全补丁程序级别 - 漏洞详情</h2>
+<p>我们在下面提供了 2017-06-05 补丁程序级别涵盖的每个安全漏洞的详细信息,漏洞列在受其影响的组件下,其中包括 CVE、相关参考信息、<a href="#vulnerability-type">漏洞类型</a>、<a href="/security/overview/updates-resources.html#severity">严重程度</a>、组件(如果适用)和已更新的 AOSP 版本(如果适用)等详细信息。在适用的情况下,我们会将 Bug ID 链接到解决相应问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。</p>
+
+<h3 id="kernel-components">内核组件</h3>
+<p>这一部分中最严重的漏洞可让本地恶意应用通过内核执行任意代码。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>组件</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0648</td>
+ <td>A-36101220<a href="#asterisk">*</a></td>
+ <td>EoP</td>
+ <td>高</td>
+ <td>FIQ 调试程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0651</td>
+ <td>A-35644815<a href="#asterisk">*</a></td>
+ <td>ID</td>
+ <td>低</td>
+ <td>ION 子系统</td>
+ </tr>
+</tbody></table>
+<h3 id="libraries-05">库</h3>
+<p>这一部分中最严重的漏洞可让远程攻击者使用特制文件获取敏感信息。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>已更新的 AOSP 版本</th>
+ </tr>
+ <tr>
+ <td>CVE-2015-7995</td>
+ <td>A-36810065<a href="#asterisk">*</a></td>
+ <td>ID</td>
+ <td>中</td>
+ <td>4.4.4</td>
+ </tr>
+</tbody></table>
+<h3 id="mediatek-components">MediaTek 组件</h3>
+<p>这一部分中最严重的漏洞可让本地恶意应用通过内核执行任意代码。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>组件</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0636</td>
+ <td>A-35310230<a href="#asterisk">*</a><br />
+ M-ALPS03162263</td>
+ <td>EoP</td>
+ <td>高</td>
+ <td>命令队列驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0649</td>
+ <td>A-34468195<a href="#asterisk">*</a><br />
+ M-ALPS03162283</td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>声音驱动程序</td>
+ </tr>
+</tbody></table>
+<h3 id="nvidia-components">NVIDIA 组件</h3>
+<p>这一部分中最严重的漏洞可让本地恶意应用通过内核执行任意代码。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>组件</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-6247</td>
+ <td>A-34386301<a href="#asterisk">*</a><br />
+ N-CVE-2017-6247</td>
+ <td>EoP</td>
+ <td>高</td>
+ <td>声音驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-6248</td>
+ <td>A-34372667<a href="#asterisk">*</a><br />
+ N-CVE-2017-6248</td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>声音驱动程序</td>
+ </tr>
+</tbody></table>
+<h3 id="qualcomm-components">Qualcomm 组件</h3>
+<p>这一部分中最严重的漏洞可让邻近区域内的攻击者通过内核执行任意代码。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>组件</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-7371</td>
+ <td>A-36250786<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=e02e63b8014f7a0a5ea17a5196fb4ef1283fd1fd">QC-CR#1101054</a></td>
+ <td>RCE</td>
+ <td>严重</td>
+ <td>蓝牙驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7365</td>
+ <td>A-32449913<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=da49bf21d1c19a6293d33c985066dc0273c476db">QC-CR#1017009</a></td>
+ <td>EoP</td>
+ <td>高</td>
+ <td>引导加载程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7366</td>
+ <td>A-36252171<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=f4c9ffd6cd7960265f38e285ac43cbecf2459e45">QC-CR#1036161</a>
+[<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=7c4d5736d32f91f0cafe6cd86d00e26389970b00">2</a>]</td>
+ <td>EoP</td>
+ <td>高</td>
+ <td>GPU 驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7367</td>
+ <td>A-34514708<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=07174af1af48c60a41c7136f0c80ffdf4ccc0b57">QC-CR#1008421</a></td>
+ <td>DoS</td>
+ <td>高</td>
+ <td>引导加载程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-5861</td>
+ <td>A-36251375<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=cf3c97b8b6165f13810e530068fbf94b07f1f77d">QC-CR#1103510</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>视频驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-5864</td>
+ <td>A-36251231<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=cbc21ceb69cb7bca0643423a7ca982abce3ce50a">QC-CR#1105441</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>声音驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-6421</td>
+ <td>A-36251986<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=be42c7ff1f0396484882451fd18f47144c8f1b6b">QC-CR#1110563</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>MStar 触摸屏驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7364</td>
+ <td>A-36252179<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=3ce6c47d2142fcd2c4c1181afe08630aaae5a267">QC-CR#1113926</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>视频驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7368</td>
+ <td>A-33452365<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=143ef972be1621458930ea3fc1def5ebce7b0c5d">QC-CR#1103085</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>声音驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7369</td>
+ <td>A-33751424<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=75ed08a822cf378ffed0d2f177d06555bd77a006">QC-CR#2009216</a>
+[<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=ae8f1d5f60644983aba7fbab469d0e542a187c6e">2</a>]</td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>声音驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7370</td>
+ <td>A-34328139<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=970edf007fbe64b094437541a42477d653802d85">QC-CR#2006159</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>视频驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7372</td>
+ <td>A-36251497<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=1806be003731d6d4be55e5b940d14ab772839e13">QC-CR#1110068</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>视频驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7373</td>
+ <td>A-36251984<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=e5eb0d3aa6fe62ee437a2269a1802b1a72f61b75">QC-CR#1090244</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>视频驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8233</td>
+ <td>A-34621613<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=64b7bc25e019dd07e8042e0a6ec6dc6a1dd0c385">QC-CR#2004036</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>相机驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8234</td>
+ <td>A-36252121<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=6266f954a52641f550ef71653ea83c80bdd083be">QC-CR#832920</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>相机驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8235</td>
+ <td>A-36252376<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=7e4424a1b5f6a6536066cca7aac2c3a23fd39f6f">QC-CR#1083323</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>相机驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8236</td>
+ <td>A-35047217<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=cf0d31bc3b04cf2db7737d36b11a5bf50af0c1db">QC-CR#2009606</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>IPA 驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8237</td>
+ <td>A-36252377<br />
+ <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=342d16ac6fb01e304ec75344c693257e00628ecf">QC-CR#1110522</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>网络驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8242</td>
+ <td>A-34327981<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=6a3b8afdf97e77c0b64005b23fa6d32025d922e5">QC-CR#2009231</a></td>
+ <td>EoP</td>
+ <td>中</td>
+ <td>安全执行环境通讯驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8239</td>
+ <td>A-36251230<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=01db0e012f86b8ba6974e5cb9905261a552a0610">QC-CR#1091603</a></td>
+ <td>ID</td>
+ <td>中</td>
+ <td>相机驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8240</td>
+ <td>A-36251985<br />
+ <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=22b8b6608174c1308208d5bc6c143f4998744547">QC-CR#856379</a></td>
+ <td>ID</td>
+ <td>中</td>
+ <td>PIN 码控制器驱动程序</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8241</td>
+ <td>A-34203184<br />
+ <a href="https://source.codeaurora.org/quic/la//platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=90213394b7efb28fa511b2eaebc1343ae3b54724">QC-CR#1069175</a></td>
+ <td>ID</td>
+ <td>低</td>
+ <td>WLAN 驱动程序</td>
+ </tr>
+</tbody></table>
+<h3 id="synaptics-components">Synaptics 组件</h3>
+<p>这一部分中最严重的漏洞可让本地恶意应用获取超出其权限范围的数据。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>组件</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0650</td>
+ <td>A-35472278<a href="#asterisk">*</a></td>
+ <td>EoP</td>
+ <td>低</td>
+ <td>触摸屏驱动程序</td>
+ </tr>
+</tbody></table>
+<h3 id="qualcomm-closed-source-components">Qualcomm 闭源组件</h3>
+<p>以下漏洞会影响 Qualcomm 组件;2014–2016 年的 Qualcomm AMSS 安全公告对这些漏洞进行了详细说明。此 Android 安全公告中也包含这些漏洞,旨在将其修复方案与 Android 安全补丁程序级别建立关联。这些漏洞的修复方案可直接从 Qualcomm 获取。</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="19%" />
+ <col width="9%" />
+ <col width="14%" />
+ <col width="39%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>参考信息</th>
+ <th>类型</th>
+ <th>严重程度</th>
+ <th>组件</th>
+ </tr>
+ <tr>
+ <td>CVE-2014-9960</td>
+ <td>A-37280308<a href="#asterisk">*</a><br />
+ QC-CR#381837</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9961</td>
+ <td>A-37279724<a href="#asterisk">*</a><br />
+ QC-CR#581093</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9953</td>
+ <td>A-36714770<a href="#asterisk">*</a><br />
+ QC-CR#642173</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9967</td>
+ <td>A-37281466<a href="#asterisk">*</a><br />
+ QC-CR#739110</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9026</td>
+ <td>A-37277231<a href="#asterisk">*</a><br />
+ QC-CR#748397</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9027</td>
+ <td>A-37279124<a href="#asterisk">*</a><br />
+ QC-CR#748407</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9008</td>
+ <td>A-36384689<a href="#asterisk">*</a><br />
+ QC-CR#762111</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9009</td>
+ <td>A-36393600<a href="#asterisk">*</a><br />
+ QC-CR#762182</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9010</td>
+ <td>A-36393101<a href="#asterisk">*</a><br />
+ QC-CR#758752</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9011</td>
+ <td>A-36714882<a href="#asterisk">*</a><br />
+ QC-CR#762167</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9024</td>
+ <td>A-37265657<a href="#asterisk">*</a><br />
+ QC-CR#740680</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9012</td>
+ <td>A-36384691<a href="#asterisk">*</a><br />
+ QC-CR#746617</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9013</td>
+ <td>A-36393251<a href="#asterisk">*</a><br />
+ QC-CR#814373</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9014</td>
+ <td>A-36393750<a href="#asterisk">*</a><br />
+ QC-CR#855220</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9015</td>
+ <td>A-36714120<a href="#asterisk">*</a><br />
+ QC-CR#701858</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9029</td>
+ <td>A-37276981<a href="#asterisk">*</a><br />
+ QC-CR#827837</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10338</td>
+ <td>A-37277738<a href="#asterisk">*</a><br />
+ QC-CR#987699</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10336</td>
+ <td>A-37278436<a href="#asterisk">*</a><br />
+ QC-CR#973605</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10333</td>
+ <td>A-37280574<a href="#asterisk">*</a><br />
+ QC-CR#947438</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10341</td>
+ <td>A-37281667<a href="#asterisk">*</a><br />
+ QC-CR#991476</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10335</td>
+ <td>A-37282802<a href="#asterisk">*</a><br />
+ QC-CR#961142</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10340</td>
+ <td>A-37280614<a href="#asterisk">*</a><br />
+ QC-CR#989028</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10334</td>
+ <td>A-37280664<a href="#asterisk">*</a><br />
+ QC-CR#949933</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10339</td>
+ <td>A-37280575<a href="#asterisk">*</a><br />
+ QC-CR#988502</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10298</td>
+ <td>A-36393252<a href="#asterisk">*</a><br />
+ QC-CR#1020465</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10299</td>
+ <td>A-32577244<a href="#asterisk">*</a><br />
+ QC-CR#1058511</td>
+ <td>N/A</td>
+ <td>严重</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9954</td>
+ <td>A-36388559<a href="#asterisk">*</a><br />
+ QC-CR#552880</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9955</td>
+ <td>A-36384686<a href="#asterisk">*</a><br />
+ QC-CR#622701</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9956</td>
+ <td>A-36389611<a href="#asterisk">*</a><br />
+ QC-CR#638127</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9957</td>
+ <td>A-36387564<a href="#asterisk">*</a><br />
+ QC-CR#638984</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9958</td>
+ <td>A-36384774<a href="#asterisk">*</a><br />
+ QC-CR#638135</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9962</td>
+ <td>A-37275888<a href="#asterisk">*</a><br />
+ QC-CR#656267</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9963</td>
+ <td>A-37276741<a href="#asterisk">*</a><br />
+ QC-CR#657771</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9959</td>
+ <td>A-36383694<a href="#asterisk">*</a><br />
+ QC-CR#651900</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9964</td>
+ <td>A-37280321<a href="#asterisk">*</a><br />
+ QC-CR#680778</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9965</td>
+ <td>A-37278233<a href="#asterisk">*</a><br />
+ QC-CR#711585</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2014-9966</td>
+ <td>A-37282854<a href="#asterisk">*</a><br />
+ QC-CR#727398</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9023</td>
+ <td>A-37276138<a href="#asterisk">*</a><br />
+ QC-CR#739802</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9020</td>
+ <td>A-37276742<a href="#asterisk">*</a><br />
+ QC-CR#733455</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9021</td>
+ <td>A-37276743<a href="#asterisk">*</a><br />
+ QC-CR#735148</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9025</td>
+ <td>A-37276744<a href="#asterisk">*</a><br />
+ QC-CR#743985</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9022</td>
+ <td>A-37280226<a href="#asterisk">*</a><br />
+ QC-CR#736146</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9028</td>
+ <td>A-37277982<a href="#asterisk">*</a><br />
+ QC-CR#762764</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9031</td>
+ <td>A-37275889<a href="#asterisk">*</a><br />
+ QC-CR#866015</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9032</td>
+ <td>A-37279125<a href="#asterisk">*</a><br />
+ QC-CR#873202</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9033</td>
+ <td>A-37276139<a href="#asterisk">*</a><br />
+ QC-CR#892541</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2015-9030</td>
+ <td>A-37282907<a href="#asterisk">*</a><br />
+ QC-CR#854667</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10332</td>
+ <td>A-37282801<a href="#asterisk">*</a><br />
+ QC-CR#906713<br />
+ QC-CR#917701<br />
+ QC-CR#917702</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10337</td>
+ <td>A-37280665<a href="#asterisk">*</a><br />
+ QC-CR#977632</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+ <tr>
+ <td>CVE-2016-10342</td>
+ <td>A-37281763<a href="#asterisk">*</a><br />
+ QC-CR#988941</td>
+ <td>N/A</td>
+ <td>高</td>
+ <td>闭源组件</td>
+ </tr>
+</tbody></table>
+<h2 id="google-device-updates">Google 设备更新</h2>
+<p>以下表格包含最新的无线更新 (OTA) 中的安全补丁程序级别和适用于 Google 设备的固件映像。Google 设备固件映像可在 <a href="https://developers.google.com/android/nexus/images">Google 开发者网站</a>上获取。</p>
+
+<table>
+ <colgroup><col width="25%" />
+ <col width="75%" />
+ </colgroup><tbody><tr>
+ <th>Google 设备</th>
+ <th>安全补丁程序级别</th>
+ </tr>
+ <tr>
+ <td>Pixel/Pixel XL</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+ <tr>
+ <td>Nexus 5X</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+ <tr>
+ <td>Nexus 6</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+ <tr>
+ <td>Nexus 6P</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+ <tr>
+ <td>Nexus 9</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+ <tr>
+ <td>Nexus Player</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+ <tr>
+ <td>Pixel C</td>
+ <td>2017 年 6 月 5 日</td>
+ </tr>
+</tbody></table>
+<h2 id="acknowledgements">致谢</h2>
+<p>非常感谢以下研究人员做出的贡献:</p>
+
+<table>
+ <colgroup><col width="17%" />
+ <col width="83%" />
+ </colgroup><tbody><tr>
+ <th>CVE</th>
+ <th>研究人员</th>
+ </tr>
+ <tr>
+ <td>CVE-2017-0643、CVE-2017-0641</td>
+ <td>趋势科技的徐健</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0645、CVE-2017-0639</td>
+ <td><a href="http://www.ms509.com">MS509Team</a> 的 En He (<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>) 和 Bo Liu</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0649</td>
+ <td>奇虎 360 科技有限公司 IceSword 实验室的 Gengjia Chen (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) 和 <a href="http://weibo.com/jfpan">pjf</a></td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0646</td>
+ <td>腾讯电脑管家的郑文选 (<a href="https://twitter.com/VirtualSeekers">@VirtualSeekers</a>)</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0636</td>
+ <td>Shellphish Grill 团队的 Jake Corina 和 Nick Stephens</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8233</td>
+ <td>奇虎 360 IceSword 实验室的 Jianqiang Zhao (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>) 和 <a href="http://weibo.com/jfpan">pjf</a></td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7368</td>
+ <td><a href="http://c0reteam.org">C0RE 团队</a>的 Lubo Zhang (<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>)、Yuan-Tsung Lo (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>) 和 Xuxian Jiang</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8242</td>
+ <td>特斯拉产品安全团队的 Nathan Crandall (<a href="https://twitter.com/natecray">@natecray</a>)</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0650</td>
+ <td>本·古里安大学网络实验室的 Omer Shwartz、Amir Cohen、Asaf Shabtai 博士和 Yossi Oren 博士</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0648</td>
+ <td>HCL 科技公司 <a href="https://alephsecurity.com/">Aleph 研究团队</a>的 Roee Hay (<a href="https://twitter.com/roeehay">@roeehay</a>)</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7369、CVE-2017-6249、CVE-2017-6247、CVE-2017-6248</td>
+ <td>趋势科技的 Seven Shen (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>)</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0642、CVE-2017-0637、CVE-2017-0638</td>
+ <td>Vasily Vasiliev</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0640</td>
+ <td><a href="http://www.trendmicro.com">趋势科技</a><a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">移动威胁响应团队</a>的 V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>)</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8236</td>
+ <td>腾讯安全平台部门的 Xiling Gong</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0647</td>
+ <td>奇虎 360 Qex 团队的 Yangkang (<a href="https://twitter.com/dnpushme">@dnpushme</a>) 和 Liyadong</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-7370</td>
+ <td>奇虎 360 科技有限公司 IceSword 实验室的 Yonggang Guo (<a href="https://twitter.com/guoygang">@guoygang</a>)</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-0651</td>
+ <td><a href="http://c0reteam.org">C0RE 团队</a>的 Yuan-Tsung Lo (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>) 和 Xuxian Jiang</td>
+ </tr>
+ <tr>
+ <td>CVE-2017-8241</td>
+ <td>Google 的 Zubin Mithra</td>
+ </tr>
+</tbody></table>
+<h2 id="common-questions-and-answers">常见问题和解答</h2>
+<p>本部分针对阅读本公告后可能产生的常见问题提供了相应的解答。</p>
+
+<p><strong>1. 如何确定我的设备是否已更新到解决了这些问题的版本?
+</strong></p>
+
+<p>要了解如何检查设备的安全补丁程序级别,请阅读 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 和 Nexus 更新时间表</a>中的说明。</p>
+<ul>
+<li>2017-06-01(或之后)的安全补丁程序级别解决了与 2017-06-01 安全补丁程序级别相关的所有问题。</li>
+<li>2017-06-05(或之后)的安全补丁程序级别解决了与 2017-06-05 安全补丁程序级别以及之前的所有补丁程序级别相关的所有问题。</li></ul>
+<p>提供这些更新的设备制造商应将补丁程序字符串级别设为:</p>
+<ul>
+<li>[ro.build.version.security_patch]:[2017-06-01]</li>
+<li>[ro.build.version.security_patch]:[2017-06-05]</li></ul>
+<p><strong>2. 为何此公告有 2 个安全补丁程序级别?</strong></p>
+
+<p>本公告有 2 个安全补丁程序级别,目的是让 Android 合作伙伴能够灵活地、更快速地修复所有 Android 设备上类似的一系列漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。</p>
+<ul>
+<li>使用 2017 年 6 月 1 日安全补丁程序级别的设备必须包含该安全补丁程序级别对应的所有问题的修复方案,以及针对之前的安全公告中报告的所有问题的修复方案。</li>
+<li>使用 2017 年 6 月 5 日或更新的安全补丁程序级别的设备必须包含此(以及之前的)安全公告中的所有适用补丁程序。</li></ul>
+<p>我们建议合作伙伴在一次更新中汇总要解决的所有问题的修复方案。</p>
+
+<p id="vulnerability-type"><strong>3.<em></em>“类型”列中的条目表示什么意思?</strong></p>
+
+<p><em></em>漏洞详情表的“类型”列中的条目是安全漏洞的分类。</p>
+
+<table>
+ <colgroup><col width="25%" />
+ <col width="75%" />
+ </colgroup><tbody><tr>
+ <th>缩写</th>
+ <th>定义</th>
+ </tr>
+ <tr>
+ <td>RCE</td>
+ <td>远程代码执行</td>
+ </tr>
+ <tr>
+ <td>EoP</td>
+ <td>提权</td>
+ </tr>
+ <tr>
+ <td>ID</td>
+ <td>信息披露</td>
+ </tr>
+ <tr>
+ <td>DoS</td>
+ <td>拒绝服务</td>
+ </tr>
+ <tr>
+ <td>N/A</td>
+ <td>没有分类</td>
+ </tr>
+</tbody></table>
+<p><strong>4.<em></em>“参考信息”列中的条目表示什么意思?</strong></p>
+
+<p>漏洞详情表的“参考信息”列中的条目可能包含用于标识参考值所属组织的前缀。<em></em></p>
+
+<table>
+ <colgroup><col width="25%" />
+ <col width="75%" />
+ </colgroup><tbody><tr>
+ <th>前缀</th>
+ <th>参考信息</th>
+ </tr>
+ <tr>
+ <td>A-</td>
+ <td>Android Bug ID</td>
+ </tr>
+ <tr>
+ <td>QC-</td>
+ <td>Qualcomm 参考编号</td>
+ </tr>
+ <tr>
+ <td>M-</td>
+ <td>MediaTek 参考编号</td>
+ </tr>
+ <tr>
+ <td>N-</td>
+ <td>NVIDIA 参考编号</td>
+ </tr>
+ <tr>
+ <td>B-</td>
+ <td>Broadcom 参考编号</td>
+ </tr>
+</tbody></table>
+<p id="asterisk"><strong>5.<em></em>“参考信息”列中的“Android Bug ID”旁边的 <a href="#asterisk">*</a> 表示什么意思?</strong></p>
+
+<p><em></em>如果“参考信息”列的“Android Bug ID”旁边标有 <a href="#asterisk">*</a>,则表示相应问题未公开发布。<a href="https://developers.google.com/android/nexus/drivers">Google Developers 网站</a>上提供的 Nexus 设备的最新二进制驱动程序中通常包含针对此问题的更新。</p>
+
+<h2 id="versions">版本</h2>
+<table>
+ <colgroup><col width="25%" />
+ <col width="25%" />
+ <col width="50%" />
+ </colgroup><tbody><tr>
+ <th>版本</th>
+ <th>日期</th>
+ <th>备注</th>
+ </tr>
+ <tr>
+ <td>1.0</td>
+ <td>2017 年 6 月 5 日</td>
+ <td>发布了本公告。</td>
+ </tr>
+ <tr>
+ <td>1.1</td>
+ <td>2017 年 6 月 7 日</td>
+ <td>修订了本公告,添加了 AOSP 链接。</td>
+ </tr>
+</tbody></table>
+
+</body></html> \ No newline at end of file
generated by cgit v1.2.3 (git 2.25.1) at 2024-07-07 07:56:49 +0000