diff options
Diffstat (limited to 'zh-tw')
-rw-r--r-- | zh-tw/security/bulletin/2016-08-01.html | 189 | ||||
-rw-r--r-- | zh-tw/security/bulletin/2017-05-01.html | 44 | ||||
-rw-r--r-- | zh-tw/security/bulletin/2017-11-01.html | 31 |
3 files changed, 148 insertions, 116 deletions
diff --git a/zh-tw/security/bulletin/2016-08-01.html b/zh-tw/security/bulletin/2016-08-01.html index 1113eba3..6016e924 100644 --- a/zh-tw/security/bulletin/2016-08-01.html +++ b/zh-tw/security/bulletin/2016-08-01.html @@ -1,5 +1,5 @@ <html devsite><head> - <title>Android 安全性公告 — 2016 年 8 月</title> + <title>Android 安全性公告 - 2016 年 8 月</title> <meta name="project_path" value="/_project.yaml"/> <meta name="book_path" value="/_book.yaml"/> </head> @@ -23,10 +23,10 @@ <p><em>發佈日期:2016 年 8 月 1 日 | 更新日期:2016 年 10 月 21 日</em></p> <p>Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。在這篇公告發佈的同時,Google 已透過 OTA 更新機制發佈了 Nexus 裝置的安全性更新。此外,Nexus 韌體映像檔也已經發佈到 <a href="https://developers.google.com/android/nexus/images">Google Developers 網站</a>上。2016 年 8 月 5 日之後的安全性修補程式等級已解決了這些問題。請參閱<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">說明文件</a>,瞭解如何查看安全性修補程式等級。 </p> -<p>合作夥伴是在 2016 年 7 月 6 日或之前收到有關公告中所述問題的相關通知。這些問題的原始碼修補程式 (如果有對應的修補程式) 已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中。此外,本公告也提供 AOSP 以外的修補程式連結。</p> +<p>合作夥伴是在 2016 年 7 月 6 日或之前收到有關公告中所述問題的相關通知。這些問題的原始碼修補程式 (如果有對應的修補程式) 已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中。此外,本公告也提供 Android 開放原始碼計劃以外的修補程式連結。</p> <p>在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。 </p> -<p>針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果您想進一步瞭解 <a href="/security/enhancements/index.html">Android 安全性平台防護措施</a>和服務防護措施 (例如 SafetyNet) 如何加強 Android 平台的安全性,請參閱 <a href="#mitigations">Android 和 Google 服務因應措施</a>一節。 +<p>針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果您想進一步瞭解 <a href="#mitigations">Android 安全性平台防護措施</a>和服務防護措施 (例如 SafetyNet) 如何加強 Android 平台的安全性,請參閱 <a href="/security/enhancements/index.html">Android 和 Google 服務問題因應措施</a>一節。 </p> <p>我們建議所有客戶接受這些裝置更新。 </p> @@ -46,7 +46,7 @@ </p> <ul> <li>Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。</li> -<li>Android 安全性小組採用<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">「驗證應用程式」和 SafetyNet</a> 主動監控濫用情形;使用這些功能的目的是在<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">發現可能有害的應用程式</a>時警告使用者。「驗證應用程式」在搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置上都會預設啟用,且對於要從 Google Play 以外來源安裝應用程式的使用者來說格外重要。Google Play 禁止發佈任何可用於獲取裝置 Root 權限的工具,但「驗證應用程式」會在使用者嘗試安裝已偵測到的 Root 權限獲取應用程式 (無論其來源為何) 時發出警告。此外,「驗證應用程式」會設法找出已知會利用權限升級漏洞的惡意應用程式,並封鎖這類應用程式的安裝作業。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者並嘗試移除偵測到的應用程式。</li> +<li>Android 安全性小組採用<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">「驗證應用程式」和 SafetyNet</a> 主動監控濫用情形;使用這些功能的目的是在發現<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的應用程式</a>時警告使用者。在預設情況下,搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置會自動啟用「驗證應用程式」。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。Google Play 禁止發佈任何可用於獲取裝置 Root 權限的工具,但「驗證應用程式」會在使用者嘗試安裝已偵測到的 Root 權限獲取應用程式 (無論其來源為何) 時發出警告。此外,「驗證應用程式」會設法找出已知會利用權限升級漏洞的惡意應用程式,並封鎖這類應用程式的安裝作業。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者並嘗試移除偵測到的應用程式。</li> <li>在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。</li> </ul> <h2 id="acknowledgements">特別銘謝</h2> @@ -56,35 +56,35 @@ <li>Google Chrome 安全性小組的 Abhishek Arya、Oliver Chang 和 Martin Barbella:CVE-2016-3821、CVE-2016-3837</li> <li>Check Point Software Technologies Ltd. 的 Adam Donenfeld et al.: CVE-2016-2504</li> -<li><a href="http://c0reteam.org">C0RE 小組</a>成員 Chiachih Wu (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Mingjian Zhou (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、和 Xuxian Jiang:CVE-2016-3844</li> -<li><a href="http://c0reteam.org">C0RE 小組</a>成員 Chiachih Wu (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Yuan-Tsung Lo (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>) 和 Xuxian Jiang:CVE-2016-3857</li> +<li><a href="https://twitter.com/chiachih_wu">C0RE 小組</a>成員 Chiachih Wu (<a href="https://twitter.com/Mingjian_Zhou">@chiachih_wu</a>)、Mingjian Zhou (<a href="http://c0reteam.org">@Mingjian_Zhou</a>)、和 Xuxian Jiang:CVE-2016-3844</li> +<li><a href="https://twitter.com/chiachih_wu">C0RE 小組</a>成員 Chiachih Wu (<a href="mailto:computernik@gmail.com">@chiachih_wu</a>)、Yuan-Tsung Lo (<a href="http://c0reteam.org">computernik@gmail.com</a>) 和 Xuxian Jiang:CVE-2016-3857</li> <li>Google 的 David Benjamin 和 Kenny Root:CVE-2016-3840</li> -<li><a href="http://jaq.alibaba.com">阿里巴巴移動安全小組</a>的 Dawei Peng (<a href="http://weibo.com/u/5622360291">Vinc3nt4H</a>):CVE-2016-3822</li> -<li>騰訊 KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>) 的 Di Shen (<a href="https://twitter.com/returnsme">@returnsme</a>):CVE-2016-3842</li> +<li><a href="http://weibo.com/u/5622360291">阿里巴巴移動安全小組</a>的 Dawei Peng (<a href="http://jaq.alibaba.com">Vinc3nt4H</a>):CVE-2016-3822</li> +<li>騰訊 KeenLab (<a href="https://twitter.com/returnsme">@keen_lab</a>) 的 Di Shen (<a href="https://twitter.com/keen_lab">@returnsme</a>):CVE-2016-3842</li> <li>Google 的 Dianne Hackborn:CVE-2016-2497</li> <li>Google 動態工具小組 Dmitry Vyukov:CVE-2016-3841</li> -<li><a href="http://www.360.com">奇虎 360 科技有限公司</a> IceSword 實驗室的 Gengjia Chen (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、pjf (<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>):CVE-2016-3852</li> -<li><a href="http://www.360.com">奇虎 360 科技有限公司</a> Alpha 小組的 Guang Gong (龔廣) (<a href="https://twitter.com/oldfresher">@oldfresher</a>):CVE-2016-3834</li> +<li><a href="https://twitter.com/chengjia4574">奇虎 360 科技有限公司</a> IceSword 實驗室的 Gengjia Chen (<a href="http://weibo.com/jfpan">@chengjia4574</a>)、pjf (<a href="http://www.360.com">weibo.com/jfpan</a>):CVE-2016-3852</li> +<li><a href="https://twitter.com/oldfresher">奇虎 360 科技有限公司</a> Alpha 小組的 Guang Gong (龔廣) (<a href="http://www.360.com">@oldfresher</a>):CVE-2016-3834</li> <li>Fortinet 的 FortiGuard 實驗室成員 Kai Lu (<a href="https://twitter.com/K3vinLuSec">@K3vinLuSec</a>):CVE-2016-3820</li> <li>Kandala Shivaram Reddy、DS 和 Uppi:CVE-2016-3826</li> -<li><a href="http://c0reteam.org">C0RE 小組</a>的 Mingjian Zhou (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、Chiachih Wu (<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>) 和 Xuxian Jiang:CVE-2016-3823、CVE-2016-3835、CVE-2016-3824、CVE-2016-3825</li> +<li><a href="https://twitter.com/Mingjian_Zhou">C0RE 小組</a>的 Mingjian Zhou (<a href="https://twitter.com/chiachih_wu">@Mingjian_Zhou</a>)、Chiachih Wu (<a href="http://c0reteam.org">@chiachih_wu</a>) 和 Xuxian Jiang:CVE-2016-3823、CVE-2016-3835、CVE-2016-3824、CVE-2016-3825</li> <li>Tesla Motors Product 安全性小組的 Nathan Crandall (<a href="https://twitter.com/natecray">@natecray</a>):CVE-2016-3847、CVE-2016-3848</li> <li>阿里巴巴行動安全小組的 Peng Xiao、Chengming Yang、Ning You、Chao Yang 和 Yang Song:CVE-2016-3845</li> <li>趨勢科技的 Peter Pi (<a href="https://twitter.com/heisecode">@heisecode</a>):CVE-2016-3849</li> -<li><a href="http://www.wooyun.org/">WooYun TangLab</a> 的 Qianwei Hu (<a href="mailto:rayxcp@gmail.com">rayxcp@gmail.com</a>):CVE-2016-3846</li> -<li>騰訊 KeenLab (<a href="https://twitter.com/keen_lab">@keen_lab</a>) 的 Qidan He (<a href="https://twitter.com/flanker_hqd">@Flanker_hqd</a>):CVE-2016-3832</li> +<li><a href="mailto:rayxcp@gmail.com">WooYun TangLab</a> 的 Qianwei Hu (<a href="http://www.wooyun.org/">rayxcp@gmail.com</a>):CVE-2016-3846</li> +<li>騰訊 KeenLab (<a href="https://twitter.com/flanker_hqd">@keen_lab</a>) 的 Qidan He (<a href="https://twitter.com/keen_lab">@Flanker_hqd</a>):CVE-2016-3832</li> <li>Google 的 Sharvil Nanavati:CVE-2016-3839</li> -<li><a href="http://www.isti.tu-berlin.de/security_in_telecommunications">Security in Telecommunications</a> 的 Shinjo Park (<a href="https://twitter.com/ad_ili_rai">@ad_ili_rai</a>) 和 Altaf Shaik:CVE-2016-3831</li> +<li><a href="https://twitter.com/ad_ili_rai">Security in Telecommunications</a> 的 Shinjo Park (<a href="http://www.isti.tu-berlin.de/security_in_telecommunications">@ad_ili_rai</a>) 和 Altaf Shaik:CVE-2016-3831</li> <li>Tom Rootjunky:CVE-2016-3853</li> <li>Vasily Vasiliev:CVE-2016-3819</li> <li>阿里巴巴的 Weichao Sun (<a href="https://twitter.com/sunblate">@sunblate</a>):CVE-2016-3827、CVE-2016-3828、CVE-2016-3829</li> -<li><a href="http://blog.trendmicro.com/trendlabs-security-intelligence/author/wishwu/">趨勢科技股份有限公司</a>的 Wish Wu (<a href="http://weibo.com/wishlinux">吳濰浠</a>) (<a href="https://twitter.com/wish_wu">@wish_wu</a>):CVE-2016-3843</li> +<li><a href="http://weibo.com/wishlinux">趨勢科技股份有限公司</a>的 Wish Wu (<a href="https://twitter.com/wish_wu">吳濰浠</a>) (<a href="http://blog.trendmicro.com/trendlabs-security-intelligence/author/wishwu/">@wish_wu</a>):CVE-2016-3843</li> <li>騰訊 Xuanwu 實驗室的 Yongke Wang (<a href="https://twitter.com/rudykewang">@Rudykewang</a>):CVE-2016-3836</li> </ul> <p>我們要向 Copperhead Security 的 Daniel Micay、Jeff Vander Stoep 和 Google 的 Yabin Cui 致謝,他們對於平台層級更新的貢獻降低了 CVE-2016-3843 這類漏洞的影響。這項因應措施是由 Grsecurity 的 Brad Spengler 奠定基礎。 </p> <h2 id="2016-08-01-details">2016-08-01 安全性修補程式等級 — 安全性漏洞詳情</h2> -<p>下列各節針對 2016-08-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Nexus 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。如果相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。</p> +<p>下列各節針對 2016-08-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Nexus 裝置、更新的 Android 開放原始碼計劃版本 (在適用情況下) 和回報日期。如果相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。</p> <h3 id="remote-code-execution-vulnerability-in-mediaserver">媒體伺服器中的遠端程式碼執行漏洞</h3> <p>在媒體檔案和資料的處理期間,媒體伺服器中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。媒體伺服器程序能夠存取串流格式的音訊和視訊,以及第三方應用程式一般無法存取的權限。 @@ -103,7 +103,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -150,7 +150,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -158,7 +158,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/external/jhead/+/bae671597d47b9e5955c4cb742e468cebfd7ca6b"> A-28868315</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>Google 內部資訊</td> </tr> @@ -179,7 +179,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -187,7 +187,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/hardware/qcom/media/+/7558d03e6498e970b761aa44fff6b2c659202d95"> A-28815329</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 5 月 17 日</td> </tr> @@ -196,7 +196,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/frameworks/av/+/b351eabb428c7ca85a34513c64601f437923d576"> A-28816827</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 5 月 17 日</td> </tr> @@ -214,7 +214,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/frameworks/av/+/9cd8c3289c91254b3955bd7347cf605d6fa032c6"> A-29251553</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 6 月 9 日</td> </tr> @@ -235,7 +235,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -252,7 +252,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/external/libavc/+/7554755536019e439433c515eeb44e701fb3bfb2"> A-28835995</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>6.0、6.0.1</td> <td>2016 年 5 月 17 日</td> </tr> @@ -261,7 +261,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/external/libavc/+/326fe991a4b7971e8aeaf4ac775491dd8abd85bb"> A-29023649</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>6.0、6.0.1</td> <td>2016 年 5 月 27 日</td> </tr> @@ -270,7 +270,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/frameworks/av/+/8e438e153f661e9df8db0ac41d587e940352df06"> A-29153599</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>Google 內部資訊</td> </tr> @@ -291,7 +291,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -299,7 +299,7 @@ CVE-2016-2504</li> <td><a href="https://android.googlesource.com/platform/frameworks/opt/telephony/+/f47bc301ccbc5e6d8110afab5a1e9bac1d4ef058"> A-29083635</a></td> <td>高</td> - <td>所有 Nexus 裝置</td> + <td>All Nexus</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 5 月 31 日</td> </tr> @@ -320,7 +320,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -349,7 +349,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -379,7 +379,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -408,7 +408,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -423,7 +423,8 @@ CVE-2016-2504</li> </tbody></table> <h3 id="information-disclosure-vulnerability-in-mediaserver">媒體伺服器中的資訊外洩漏洞</h3> -<p>媒體伺服器中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。 +<p> +媒體伺服器中的資訊外洩漏洞可讓本機惡意應用程式存取其權限範圍以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。 </p> <table> <colgroup><col width="18%" /> @@ -437,7 +438,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -466,7 +467,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -481,7 +482,8 @@ CVE-2016-2504</li> </tbody></table> <h3 id="information-disclosure-vulnerability-in-wi-fi">Wi-Fi 連線中的資訊外洩漏洞</h3> -<p>Wi-Fi 連線中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。 +<p> +Wi-Fi 連線中的資訊外洩漏洞可讓本機惡意應用程式存取其權限範圍以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。 </p> <table> <colgroup><col width="18%" /> @@ -495,7 +497,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -524,7 +526,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -539,7 +541,8 @@ CVE-2016-2504</li> </tbody></table> <h3 id="denial-of-service-vulnerability-in-bluetooth">藍牙連線中的拒絕服務漏洞</h3> -<p>藍牙連線中的拒絕服務漏洞可讓本機惡意應用程式造成使用者無法透過藍牙裝置撥打緊急電話。由於這個問題可能造成重要功能拒絕服務,因此嚴重程度被評定為「中」。 +<p> +藍牙連線中的拒絕服務漏洞可讓本機惡意應用程式造成使用者無法透過藍牙裝置撥打緊急電話。由於這個問題可能造成重要功能拒絕服務,因此嚴重程度被評定為「中」。 </p> <table> <colgroup><col width="18%" /> @@ -553,7 +556,7 @@ CVE-2016-2504</li> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -567,7 +570,7 @@ CVE-2016-2504</li> </tr> </tbody></table> <h2 id="2016-08-05-details">2016-08-05 安全性修補程式等級 — 資安漏洞詳情</h2> -<p>下列各節針對 2016-08-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Nexus 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。如果相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。</p> +<p>下列各節針對 2016-08-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Nexus 裝置、更新的 Android 開放原始碼計劃版本 (在適用情況下) 和回報日期。如果相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。</p> <h3 id="remote-code-execution-vulnerability-in-qualcomm-wi-fi-driver"> Qualcomm Wi-Fi 驅動程式中的遠端程式碼執行漏洞</h3> @@ -617,7 +620,7 @@ QC-CR#553941</a> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -1108,7 +1111,8 @@ QC-CR#529177</a></p></td> </tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-gpu-driver">Qualcomm GPU 驅動程式中的權限升級漏洞</h3> -<p>Qualcomm GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。 +<p> +Qualcomm GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Reflash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。 </p> <table> <colgroup><col width="19%" /> @@ -1141,11 +1145,13 @@ QC-CR#529177</a></p></td> <td>2016 年 4 月 25 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-performance-component">Qualcomm 效能元件中的權限升級漏洞</h3> -<p>Qualcomm 效能元件中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能導致本機裝置的安全性徹底被破壞,使裝置必須以還原 (Re-flash) 作業系統的方式才能修復,因此嚴重程度被評定為「最高」。 +<p> +Qualcomm 效能元件中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Reflash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。 </p> <p class="note"> <strong>注意:</strong>本公告中還有一項平台層級更新,位在 A-29119870 下方,這項更新的目的在於因應此類型的漏洞。 @@ -1173,11 +1179,12 @@ QC-CR#529177</a></p></td> <td>2016 年 4 月 7 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-kernel">核心中的權限升級漏洞</h3> -<p>核心中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這個問題可能導致本機裝置的安全性徹底被破壞,使裝置必須以還原 (Re-flash) 作業系統的方式才能修復,因此嚴重程度被評定為「最高」。 +<p>核心中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,使裝置必須以還原 (Re-flash) 作業系統的方式才能修復,因此嚴重程度被評定為「最高」。 </p> <table> <colgroup><col width="19%" /> @@ -1200,11 +1207,13 @@ QC-CR#529177</a></p></td> <td>2016 年 5 月 2 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-kernel-memory-system">核心記憶體系統中的權限升級漏洞</h3> -<p>核心記憶體系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。 +<p> +核心記憶體系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。 </p> <table> <colgroup><col width="19%" /> @@ -1343,7 +1352,8 @@ N-CVE-2016-3844</p></td> <td>2016 年 4 月 19 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3>核心視訊驅動程式中的權限升級漏洞</h3> @@ -1370,11 +1380,14 @@ N-CVE-2016-3844</p></td> <td>2016 年 4 月 20 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> -<h3 id="elevation-of-privilege-vulnerability-in-serial-peripheral-interface-driver">串列週邊介面驅動程式中的權限升級漏洞</h3> -<p>串列週邊介面驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。 +<h3 id="elevation-of-privilege-vulnerability-in-serial-peripheral-interface-driver"> +串列週邊介面驅動程式中的權限升級漏洞</h3> +<p> +串列週邊介面驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。 </p> <table> <colgroup><col width="19%" /> @@ -1397,7 +1410,8 @@ N-CVE-2016-3844</p></td> <td>2016 年 5 月 17 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-nvidia-media-driver">NVIDIA 媒體驅動程式中的權限升級漏洞</h3> @@ -1435,7 +1449,8 @@ N-CVE-2016-3848</p></td> <td>2016 年 5 月 19 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-ion-driver">ION 驅動程式中的權限升級漏洞</h3> @@ -1462,11 +1477,13 @@ N-CVE-2016-3848</p></td> <td>2016 年 5 月 24 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-bootloader">Qualcomm 開機載入器中的權限升級漏洞</h3> -<p>Qualcomm 開機載入器中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。 +<p> +Qualcomm 開機載入器中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「高」。 </p> <table> <colgroup><col width="19%" /> @@ -1511,7 +1528,7 @@ QC-CR#945164</a></p></td> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -1523,7 +1540,8 @@ QC-CR#945164</a></p></td> <td>Google 內部資訊</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-lg-electronics-bootloader">LG 電子開機載入器中的權限升級漏洞</h3> @@ -1550,13 +1568,17 @@ QC-CR#945164</a></p></td> <td>Google 內部資訊</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> -<h3 id="information-disclosure-vulnerability-in-qualcomm-components">Qualcomm 元件中的資訊外洩漏洞</h3> -<p>下方表格列出會影響以下 Qualcomm 元件的安全性漏洞,包括:開機載入器、相機驅動程式、字元驅動程式、網路、音訊驅動程式和視訊驅動程式。 +<h3 id="information-disclosure-vulnerability-in-qualcomm-components"> +Qualcomm 元件中的資訊外洩漏洞</h3> +<p> +下方表格列出會影響以下 Qualcomm 元件的安全性漏洞,包括:開機載入器、相機驅動程式、字元驅動程式、網路、音訊驅動程式和視訊驅動程式。 </p> -<p>由於這些問題在最嚴重的情況下可能會讓本機惡意應用程式在未經使用者明確允許的情況下,存取其權限等級以外的資料 (例如機密資料),因此嚴重程度被評定為「高」。 +<p> +由於這些問題在最嚴重的情況下可能會讓本機惡意應用程式在未經使用者明確允許的情況下,存取其權限範圍以外的資料 (例如機密資料),因此嚴重程度被評定為「高」。 </p> <table> <colgroup><col width="19%" /> @@ -1702,7 +1724,8 @@ QC-CR#570754</a></p></td> </tbody></table> <h3 id="information-disclosure-vulnerability-in-mediatek-wi-fi-driver-device-specific">MediaTek Wi-Fi 驅動程式中的資訊外洩漏洞 (特定裝置)</h3> -<p>MediaTek Wi-Fi 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。 +<p> +MediaTek Wi-Fi 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限範圍以外的資料。由於這個問題可能導致有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。 </p> <table> <colgroup><col width="19%" /> @@ -1727,7 +1750,8 @@ QC-CR#570754</a></p></td> <td>2016 年 4 月 12 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="information-disclosure-vulnerability-in-usb-driver">USB 驅動程式中的資訊外洩漏洞</h3> @@ -1789,7 +1813,8 @@ QC-CR#548711</a></p></td> </tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-google-play-services">Google Play 服務中的權限升級漏洞</h3> -<p>Google Play 服務中的權限升級漏洞可能會讓本機攻擊者規避「恢復原廠設定防護機制」,並取得裝置存取權。由於這個問題可能讓有心人士規避「恢復原廠設定防護機制」,而這會讓他人能夠成功重設裝置及清除其中所有資料。 +<p> +Google Play 服務中的權限升級漏洞可能會讓本機攻擊者規避「恢復原廠設定防護機制」,並取得裝置存取權。由於這個問題可能讓有心人士規避「恢復原廠設定防護機制」,而這會讓他人能夠成功重設裝置及清除其中所有資料。 </p> <table> <colgroup><col width="18%" /> @@ -1803,7 +1828,7 @@ QC-CR#548711</a></p></td> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -1815,11 +1840,13 @@ QC-CR#548711</a></p></td> <td>2016 年 5 月 4 日</td> </tr> </tbody></table> -<p>* 這個問題的修補程式並未公開提供,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 +<p> +* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。 </p> <h3 id="elevation-of-privilege-vulnerability-in-framework-apis-2">Framework API 中的權限升級漏洞</h3> -<p>Framework API 中的權限升級漏洞可能會讓預先安裝的應用程式在使用者未獲通知就開始更新的情況下,提高其用途篩選器的優先次序。由於這個問題可能導致有心人士在未獲使用者明確授權的情況下取得進階權限,因此嚴重程度被評定為「中」。 +<p> +Framework API 中的權限升級漏洞可能會讓預先安裝的應用程式在使用者未獲通知就開始更新的情況下,提高其調用請求篩選器的優先順序。由於這個問題可能導致有心人士在未獲使用者明確授權的情況下取得進階權限,因此嚴重程度被評定為「中」。 </p> <table> <colgroup><col width="18%" /> @@ -1833,7 +1860,7 @@ QC-CR#548711</a></p></td> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Nexus 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -1848,7 +1875,8 @@ QC-CR#548711</a></p></td> </tbody></table> <h3 id="information-disclosure-vulnerability-in-kernel-networking-component">核心網路元件中的資訊外洩漏洞</h3> -<p>核心網路元件中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。 +<p> +核心網路元件中的資訊外洩漏洞可讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。 </p> <table> <colgroup><col width="19%" /> @@ -1876,7 +1904,8 @@ QC-CR#548711</a></p></td> </tbody></table> <h3 id="information-disclosure-vulnerability-in-kernel-sound-component">核心音效元件中的資訊外洩漏洞</h3> -<p>核心音效元件中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。 +<p> +核心音效元件中的資訊外洩漏洞可讓本機惡意應用程式存取其權限範圍以外的資料。由於這種攻擊必須先破解具有特定權限的程序才能執行,因此這個問題的嚴重程度被評定為「中」。 </p> <table> <colgroup><col width="19%" /> @@ -1962,7 +1991,7 @@ QC-CR#548711</a></p></td> <strong>1. 如何判斷我目前的裝置軟體版本是否已修正這些問題? </strong> </p> -<p>2016 年 8 月 1 日之後的安全性修補程式等級已解決了所有與 2016-8-01 安全修補字串等級相關的問題。2016 年 8 月 5 日之後的安全性修補程式等級已解決了所有與 2016-08-05 安全修補字串等級相關的問題。如要查看安全性修補程式等級的操作說明,請造訪<a href="https://support.google.com/nexus/answer/4457705">說明中心</a>。提供這些更新的裝置製造商應將修補程式字串等級設定為:[ro.build.version.security_patch]:[2016-08-01] 或 [ro.build.version.security_patch]:[2016-08-05]。 +<p>2016 年 8 月 1 日之後的安全性修補程式等級已解決了所有與 2016-8-01 安全性修補城市字串等級相關的問題。2016 年 8 月 5 日之後的安全性修補程式等級已解決了所有與 2016-08-05 安全性修補程式字串等級相關的問題。如要查看安全性修補程式等級的操作說明,請造訪<a href="https://support.google.com/nexus/answer/4457705">說明中心</a>。提供這些更新的裝置製造商應將修補程式字串等級設定為:[ro.build.version.security_patch]:[2016-08-01] 或 [ro.build.version.security_patch]:[2016-08-05]。 </p> <p> <strong>2. 為什麼這篇公告設有兩個安全性修補程式等級字串?</strong> @@ -1971,17 +2000,19 @@ QC-CR#548711</a></p></td> </p> <p>如果裝置的安全性修補程式等級在 2016 年 8 月 5 日之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。 </p> -<p>安全性修補程式等級為 2016 年 8 月 1 日的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。此外,安全性修補程式等級為 2016 年 8 月 1 日的裝置也可以加入與 2016 年 8 月 5 日安全性修補程式等級相關的部分修正程式。 +<p> +安全性修補程式等級為 2016 年 8 月 1 日的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。此外,安全性修補程式等級為 2016 年 8 月 1 日的裝置也可以加入與 2016 年 8 月 5 日安全性修補程式等級相關的部分修正程式。 </p> <p> 3<strong>. 如何判斷哪些 Nexus 裝置會受到哪種問題的影響?</strong> </p> -<p>在 <a href="#2016-08-01-details">2016-08-01</a> 和 <a href="#2016-08-05-details">2016-08-05</a> 安全性漏洞詳情的章節中,每個表格都包含「更新的 Nexus 裝置」欄,當中列出已針對各個問題進行更新的受影響 Nexus 裝置範圍。此欄中的選項包括: +<p> +在 <a href="#2016-08-01-details">2016-08-01</a> 和 <a href="#2016-08-05-details">2016-08-05</a> 安全性漏洞詳情的章節中,每個表格都包含「更新的 Nexus 裝置」欄,當中針對各項問題分別列出了受影響但已更新的 Nexus 裝置。此欄中的選項包括: </p> <ul> <li><strong>所有 Nexus 裝置</strong>:如果問題會影響到所有 Nexus 裝置,表格內「更新的 Nexus 裝置」<em></em>欄中就會顯示「所有 Nexus 裝置」字樣。「所有 Nexus 裝置」包含下列<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">支援的裝置</a>:Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7 (2013)、Nexus 9、Android One、Nexus Player 和 Pixel C。</li> <li><strong>部分 Nexus 裝置</strong>:如果問題並未影響所有 Nexus 裝置,「更新的 Nexus 裝置」<em></em>欄中就會列出受到影響的 Nexus 裝置。</li> -<li><strong>無 Nexus 裝置</strong>:如果問題不會影響到任何 Nexus 裝置,「更新的 Nexus 裝置」<em></em>欄中就會顯示「無」字樣。 +<li><strong>不影響任何 Nexus 裝置</strong>:如果問題不會影響到任何 Nexus 裝置,「更新的 Nexus 裝置」<em></em>欄中就會顯示「無」字樣。 </li> </ul> <p> @@ -1991,7 +2022,7 @@ QC-CR#548711</a></p></td> </p> <table> <tbody><tr> - <th>前置字元</th> + <th>前置字串</th> <th>參考資料</th> </tr> <tr> @@ -2015,7 +2046,7 @@ QC-CR#548711</a></p></td> <ul> <li>2016 年 8 月 1 日:發佈公告。</li> - <li>2016 年 8 月 2 日:修訂公告內容 (加入 AOSP 連結)。</li> + <li>修訂公告內容 (加入 Android 開放原始碼計劃連結)。</li> <li>2016 年 8 月 16 日:修訂公告內容 (將 CVE-2016-3856 更正為 CVE-2016-2060,以及更新參考網址)。</li> <li>2016 年 10 月 21 日:修訂公告內容 (更正 CVE-2016-4486 中的錯字)。</li> </ul> diff --git a/zh-tw/security/bulletin/2017-05-01.html b/zh-tw/security/bulletin/2017-05-01.html index aba74e65..92ce11a4 100644 --- a/zh-tw/security/bulletin/2017-05-01.html +++ b/zh-tw/security/bulletin/2017-05-01.html @@ -24,7 +24,7 @@ <p>Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。在這篇公告發佈的同時,Google 已透過 OTA 更新機制發佈了 Google 裝置的安全性更新。此外,Google 韌體映像檔也已經發佈到 <a href="https://developers.google.com/android/nexus/images">Google Developers 網站</a>上。2017 年 5 月 5 日之後的安全性修補程式等級已解決了這些問題。請參閱 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 與 Nexus 更新時間表</a>,瞭解如何查看裝置的安全性修補程式等級。</p> -<p>我們的合作夥伴在 2017 年 4 月 3 日當天或更早之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。</p> +<p>我們的合作夥伴在 2017 年 4 月 3 日當天或更早之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計劃以外的修補程式連結。</p> <p>在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。</p> @@ -47,7 +47,7 @@ <ul> <li>Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。</li> -<li>Android 安全性小組採用<a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">「驗證應用程式」和 SafetyNet</a> 主動監控濫用情形;使用這些功能的目的是在發現<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的應用程式</a>時警告使用者。「驗證應用程式」在搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置上都會預設啟用,且對於要從 Google Play 以外來源安裝應用程式的使用者來說格外重要。Google Play 禁止發佈任何可用於獲取裝置 Root 權限的工具,但「驗證應用程式」會在使用者嘗試安裝已偵測到的 Root 權限獲取應用程式 (無論其來源為何) 時發出警告。此外,「驗證應用程式」會設法找出已知會利用權限升級漏洞的惡意應用程式,並封鎖這類應用程式的安裝作業。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者並嘗試移除偵測到的應用程式。</li> +<li>Android 安全性小組採用<a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">「驗證應用程式」和 SafetyNet</a> 主動監控濫用情形;使用這些功能的目的是在發現<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的應用程式</a>時警告使用者。在預設情況下,搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置會自動啟用「驗證應用程式」。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。雖然 Google Play 禁止發佈任何可用於獲取裝置 Root 權限的工具,但是當「驗證應用程式」偵測到使用者嘗試安裝具有這類用途的應用程式時,無論其來源為何,都會發出警告。此外,「驗證應用程式」會設法找出已知會利用權限升級漏洞的惡意應用程式,並封鎖這類應用程式的安裝作業。如果使用者已安裝這類應用程式,「驗證應用程式」會通知使用者並嘗試移除偵測到的應用程式。</li> <li>在適用情況下,Google Hangouts 和 Messenger 應用程式不會自動將媒體內容傳送給媒體伺服器這類的處理程序。</li> </ul> @@ -84,7 +84,7 @@ <h2 id="2017-05-01-details">2017-05-01 安全性修補程式等級 - 資安漏洞詳情</h2> -<p>下列各節針對 2017-05-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。</p> +<p>下列各節針對 2017-05-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 Android 開放原始碼計劃版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> <h3 id="rce-in-mediaserver">媒體伺服器中的遠端程式碼執行漏洞</h3> @@ -102,7 +102,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -171,7 +171,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -200,7 +200,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -245,7 +245,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -274,7 +274,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -304,7 +304,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -341,7 +341,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -370,7 +370,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -401,7 +401,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -430,7 +430,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -459,7 +459,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -488,7 +488,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -503,7 +503,7 @@ <h2 id="2017-05-05-details">2017-05-05 安全性修補程式等級 - 資安漏洞詳情</h2> -<p>下列各節針對 2017-05-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。</p> +<p>下列各節針對 2017-05-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 Android 開放原始碼計劃版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> <h3 id="rce-in-giflib">GIFLIB 中的遠端程式碼執行漏洞</h3> @@ -521,7 +521,7 @@ <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -789,7 +789,7 @@ QC-CR#826589</a></td> <th>參考資料</th> <th>嚴重程度</th> <th>更新的 Google 裝置</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> <th>回報日期</th> </tr> <tr> @@ -1634,7 +1634,7 @@ QC-CR#1098602</a></td> </td> <td>高</td> <td>Pixel、Pixel XL</td> - <td>Google 內部</td> + <td>Google 內部資訊</td> </tr> </tbody></table> @@ -2412,7 +2412,7 @@ QC-CR#832915</a></td> <table> <tbody><tr> - <th>前置字元</th> + <th>前置字串</th> <th>參考資料</th> </tr> <tr> @@ -2439,8 +2439,8 @@ QC-CR#832915</a></td> <h2 id="revisions">修訂版本</h2> <ul> <li>2017 年 5 月 1 日:發佈公告。</li> -<li>2017 年 5 月 2 日:修訂公告內容 (加入 AOSP 連結)。</li> -<li>2017 年 8 月 10 日:修訂公告內容 (加入 CVE-2017-0493 的其他 AOSP 連結)。</li> +<li>2017 年 5 月 2 日:修訂公告內容 (加入 Android 開放原始碼計劃連結)。</li> +<li>2017 年 8 月 10 日:修訂公告內容 (加入 CVE-2017-0493 的其他 Android 開放原始碼計劃連結)。</li> <li>2017 年 8 月 17 日:修訂公告內容 (更新參考編號清單)。</li> <li>2017 年 10 月 3 日:修訂公告內容 (移除 CVE-2017-0605)。</li> </ul> diff --git a/zh-tw/security/bulletin/2017-11-01.html b/zh-tw/security/bulletin/2017-11-01.html index ce85edd6..05eff6cb 100644 --- a/zh-tw/security/bulletin/2017-11-01.html +++ b/zh-tw/security/bulletin/2017-11-01.html @@ -1,5 +1,5 @@ <html devsite><head> - <title>Android 安全性公告 — 2017 年 11 月</title> + <title>Android 安全性公告 - 2017 年 11 月</title> <meta name="project_path" value="/_project.yaml"/> <meta name="book_path" value="/_book.yaml"/> </head> @@ -22,10 +22,10 @@ <p><em>發佈日期:2017 年 11 月 6 日 | 更新日期:2017 年 11 月 8 日</em></p> <p> -Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。2017 年 11 月 6 日之後的安全性修補程式等級已解決了這些問題。想瞭解如何查看裝置的安全性修補程式等級,請參閱<a href="//support.google.com/pixelphone/answer/4457705">檢查及更新 Android 版本</a>。 +Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。2017 年 11 月 6 日之後的安全性修補程式等級已解決了這些問題。請參閱<a href="//support.google.com/pixelphone/answer/4457705">檢查及更新 Android 版本</a>一文,瞭解如何查看裝置的安全性修補程式等級。 </p> <p> -Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一個月之前,就已收到當中所有問題的相關通知,而且也已經在上個月收到 2017-11-06 修補程式等級中所有問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。</p> +Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一個月之前,就已收到當中所有問題的相關通知,而且也已經在上個月收到 2017-11-06 修補程式等級中所有問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計劃以外的修補程式連結。</p> <p> 在這些問題中,最嚴重的就是媒體架構中「最高」等級的安全性漏洞。遠端攻擊者可利用這類漏洞,在獲得授權的程序環境內透過特製檔案執行任何指令。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被關閉,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,使用者的裝置會受到多大的影響,據此評定漏洞的嚴重程度。 </p> @@ -37,7 +37,7 @@ Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一 <h2 id="announcements">公告事項</h2> <ul> <li>我們新推出了 <a href="/security/bulletin/pixel/">Pixel/Nexus 安全性公告</a>,其中羅列了其他已解決的安全性漏洞與相關詳情,以及各項功能改善項目 (適用於受支援的 Pixel 和 Nexus 裝置)。Android 裝置製造商可藉此處理自家裝置的相關問題。如需查詢其他相關資訊,請參閱<a href="#questions">常見問題與解答</a>。</li> - <li>KRACK 漏洞的安全性修補程式已在 2017 年 11 月 6 日的安全性修補程式等級中發佈。</li> + <li>KRACK 漏洞的安全性修補程式已在 2017-11-06 安全性修補程式等級中發佈。</li> </ul> <h2 id="mitigations">Android 和 Google 服務問題因應措施</h2> <p> @@ -49,7 +49,7 @@ Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一 </ul> <h2 id="2017-11-01-details">2017-11-01 安全性修補程式等級 - 資安漏洞詳情</h2> <p> -下列各節針對 2017-11-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。資安漏洞是依照受它們影響的元件分門別類,包括問題說明和一份 CVE 資訊表、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>,以及更新的 AOSP 版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> +下列各節針對 2017-11-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,並依照資安問題本身所影響的元件將各項漏洞分門別類,包括問題說明以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>,以及更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> <h3 id="framework">架構</h3> <p>本節中最嚴重的漏洞可能會讓本機惡意應用程式規避使用者互動要求以取得其他權限。</p> @@ -64,7 +64,7 @@ Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一 <th>參考資料</th> <th>類型</th> <th>嚴重程度</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> </tr> <tr> <td>CVE-2017-0830</td> @@ -97,7 +97,7 @@ Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一 <th>參考資料</th> <th>類型</th> <th>嚴重程度</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> </tr> <tr> <td>CVE-2017-0832</td> @@ -164,7 +164,7 @@ Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一 <th>參考資料</th> <th>類型</th> <th>嚴重程度</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> </tr> <tr> <td>CVE-2017-0841</td> @@ -184,7 +184,7 @@ Android 合作夥伴在 2017-11-01 和 2017-11-05 修補程式公告的至少一 <h2 id="2017-11-05-details">2017-11-05 安全性修補程式等級 - 資安漏洞詳情</h2> <p> -下列各節針對 2017-11-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。資安漏洞是依照受它們影響的元件分門別類,並且包含一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 AOSP 版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> +下列各節針對 2017-11-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> <h3 id="kernel-components">核心元件</h3> <p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。</p> @@ -357,7 +357,7 @@ QC-CR#2008683</a> <h2 id="2017-11-06-details">2017-11-06 安全性修補程式等級 - 資安漏洞詳情</h2> <p> -下列各節針對 2017-11-06 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。資安漏洞是依照受它們影響的元件分門別類,並且包含一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 AOSP 版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> +下列各節針對 2017-11-06 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p> <h3 id="11-06-system">系統</h3> <p> 本節中最嚴重的漏洞可能會讓鄰近的攻擊者規避使用者互動要求,藉此連入缺乏安全防護機制的 Wi-Fi 網路。 @@ -373,7 +373,7 @@ QC-CR#2008683</a> <th>參考資料</th> <th>類型</th> <th>嚴重程度</th> - <th>更新的 AOSP 版本</th> + <th>更新的 Android 開放原始碼計劃版本</th> </tr> <tr> <td>CVE-2017-13077</td> @@ -482,7 +482,7 @@ QC-CR#2008683</a> 我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。 </p> <p id="type"> -<strong>3. 「類型」<em></em>欄中的項目代表什麼意義?</strong> +<strong>3.「類型」<em></em>欄中的項目代表什麼意義?</strong> </p> <p> 資安漏洞詳情表格中「類型」<em></em>欄中的項目代表的是安全性漏洞的類別。 @@ -516,7 +516,7 @@ QC-CR#2008683</a> </tr> </tbody></table> <p> -<strong>4. 「參考資料」<em></em>欄底下列出的識別碼代表什麼意義?</strong> +<strong>4.「參考資料」<em></em>欄底下列出的識別碼代表什麼意義?</strong> </p> <p> 資安漏洞詳情表格中「參考資料」<em></em>欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。 @@ -558,7 +558,8 @@ QC-CR#2008683</a> <p> <strong>6. 為什麼安全性漏洞會分別刊載在這份安全性公告和裝置/合作夥伴安全性公告 (例如 Pixel/Nexus 公告)?</strong> </p> -<p>為了宣告 Android 裝置最新的安全性修補程式等級,我們必須先在這份安全性公告中刊載相關的安全性漏洞。裝置/合作夥伴安全性公告所刊載的其他安全性漏洞並未強制規定宣告安全性修補程式等級。我們鼓勵 Android 裝置和晶片製造商透過自己的網站刊載修正方法,例如 <a href="//security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="//lgsecurity.lge.com/security_updates.html">LGE</a> 或是 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全性公告。 +<p> +為了宣告 Android 裝置最新的安全性修補程式等級,我們必須先在這份安全性公告中刊載相關的安全性漏洞。裝置/合作夥伴安全性公告所刊載的其他安全性漏洞並未強制規定宣告安全性修補程式等級。我們鼓勵 Android 裝置和晶片製造商透過自己的網站刊載修正方法,例如 <a href="//security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="//lgsecurity.lge.com/security_updates.html">LGE</a> 或是 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全性公告。 </p> <h2 id="versions">版本</h2> <table> @@ -578,7 +579,7 @@ QC-CR#2008683</a> <tr> <td>1.1</td> <td>2017 年 11 月 8 日</td> - <td>修訂公告內容 (加入 AOSP 連結)。</td> + <td>修訂公告內容 (加入 Android 開放原始碼計劃連結)。</td> </tr> </tbody></table> |