From 011a7660db88b09c86e6480c235b3a92a6632f4f Mon Sep 17 00:00:00 2001
From: Android Partner Docs
For more information about diagnosing native crashes and tombstones, see Diagnosing Native Crashes
+You can also ask debuggerd
to operate on a running process by invoking it from
+the command line. Given a PID it will dump a full tombstone to stdout, or you can use
+-b
(short for --backtrace
) to just get the stack for every thread in the
+given process.
+
gdb
if you made the wrong choice are unhelp
attach gdb
, set the appropriate property:
-$ adb shell setprop debug.db.uid 999999 # <= M -$ adb shell setprop debug.debuggerd.wait_for_gdb true # > M +# Android 7.0 Nougat and later. +$ adb shell setprop debug.debuggerd.wait_for_gdb true + +# Android 6.0 Marshmallow and earlier. +$ adb shell setprop debug.db.uid 999999
At the end of the usual crash output, debuggerd
will give you
diff --git a/en/security/bulletin/2017-04-01.html b/en/security/bulletin/2017-04-01.html
index b24ea7a4..f5a9bd48 100644
--- a/en/security/bulletin/2017-04-01.html
+++ b/en/security/bulletin/2017-04-01.html
@@ -1718,13 +1718,13 @@ a privileged process.
$ kvm-xfstests -c encrypt -g auto diff --git a/ja/security/bulletin/2017-04-01.html b/ja/security/bulletin/2017-04-01.html new file mode 100644 index 00000000..1667cd5e --- /dev/null +++ b/ja/security/bulletin/2017-04-01.html @@ -0,0 +1,2146 @@ + +Android のセキュリティに関する公開情報 - 2017 年 4 月 + + + + + +2017 年 4 月 3 日公開 | 2017 年 4 月 5 日更新
+Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも Google デベロッパー サイトでリリースしています。2017 年 4 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、Pixel と Nexus のアップデート スケジュールをご覧ください。
+パートナーには、この公開情報に記載の問題について 2017 年 3 月 6 日までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。
+下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の判定は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的や不正に回避されたために無効にされた場合を前提としています。
+この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
+ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。
+ +お知らせ
+
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
+調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。
+パッチレベル 2017-04-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
+ +メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0538 | +A-33641588 | +重大 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 13 日 | +
CVE-2017-0539 | +A-33864300 | +重大 | +すべて | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 23 日 | +
CVE-2017-0540 | +A-33966031 | +重大 | +すべて | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 29 日 | +
CVE-2017-0541 | +A-34031018 | +重大 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 1 日 | +
CVE-2017-0542 | +A-33934721 | +重大 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
CVE-2017-0543 | +A-34097866 | +重大 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
CameraBase に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって任意のコードが実行されるおそれがあります。特権プロセス内で任意のコードがローカルで実行される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0544 | +A-31992879 | +高 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 6 日 | +
オーディオサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0545 | +A-32591350 | +高 | +すべて | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 31 日 | +
SurfaceFlinger に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスすることに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0546 | +A-32628763 | +高 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 11 月 2 日 | +
メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。アプリデータを別のアプリから分離するオペレーティング システムの保護を回避する一般的な方法であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0547 | +A-33861560 | +高 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 22 日 | +
libiskia にリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否の可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0548 | +A-33251605 | +高 | +すべて | +7.0、7.1.1 | +2016 年 11 月 29 日 | +
メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否の可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0549 | +A-33818508 | +高 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 20 日 | +
CVE-2017-0550 | +A-33933140 | +高 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
CVE-2017-0551 | +A-34097231 + [2] | +高 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
CVE-2017-0552 | +A-34097915 | +高 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
libnl に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって Wi-Fi サービス内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、現在のプラットフォーム構成によってリスクが軽減されているため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0553 | +A-32342065 | +中 | +すべて | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 21 日 | +
Telephony コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外の機能にアクセスするおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格して機能にアクセスすることに利用される可能性があるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0554 | +A-33815946 + [2] | +中 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 20 日 | +
メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずにデータにアクセスすることに利用される可能性があるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0555 | +A-33551775 | +中 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 12 日 | +
CVE-2017-0556 | +A-34093952 | +中 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 4 日 | +
CVE-2017-0557 | +A-34093073 | +中 | +すべて | +6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 4 日 | +
CVE-2017-0558 | +A-34056274 | +中 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
libskia に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずにデータにアクセスすることに利用される可能性があるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0559 | +A-33897722 | +中 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 25 日 | +
出荷時設定のプロセスに情報開示の脆弱性があるため、悪意のあるローカルの攻撃者が前の所有者のデータにアクセスするおそれがあります。端末の保護が回避される可能性があるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2017-0560 | +A-30681079 | +中 | +すべて | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +Google 社内 | +
パッチレベル 2017-04-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
+ +Broadcom Wi-Fi ファームウェアにリモートコード実行の脆弱性があるため、リモートの攻撃者によって Wi-Fi SoC 内で任意のコードが実行されるおそれがあります。Wi-Fi SoC 内でリモートでコードが実行される可能性があるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0561 | +A-34199105* + B-RB#110814 |
+ 重大 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Qualcomm crypto エンジン ドライバにリモートコード実行の脆弱性があるため、リモートの攻撃者によってカーネル内で任意のコードが実行されるおそれがあります。カーネル内でリモートでコードが実行される可能性があるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10230 | +A-34389927 + +QC-CR#1091408 |
+ 重大 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2017 年 1 月 10 日 | +
カーネル ネットワーク サブシステムにリモートコード実行の脆弱性があるため、リモートの攻撃者によってカーネル内で任意のコードが実行されるおそれがあります。カーネル内でリモートでコードが実行される可能性があるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10229 | +A-32813456 + +アップストリーム カーネル |
+ 重大 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +Google 社内 | +
MediaTek タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0562 | +A-30202425* + M-ALPS02898189 |
+ 重大* | +なし** | +2016 年 7 月 16 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +HTC タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0563 | +A-32089409* + |
+ 重大 | +Nexus 9 | +2016 年 10 月 9 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0564 | +A-34276203* + |
+ 重大 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +2017 年 1 月 12 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、Qualcomm AMSS の 2016 年 10 月のセキュリティに関する公開情報をご覧ください。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10237 | +A-31628601** + QC-CR#1046751 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2016-10238 | +A-35358527** + QC-CR#1042558 |
+ 重大 | +なし*** | +Qualcomm 社内 | +
CVE-2016-10239 | +A-31624618** + QC-CR#1032929 |
+ 高 | +Pixel、Pixel XL | +Qualcomm 社内 | +
* この一連の問題の重大度はベンダーが決定したものです。
+* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+*** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +v8 にリモートコード実行の脆弱性があるため、リモートの攻撃者によって特権プロセス内で任意のコードが実行されるおそれがあります。ウェブサイト内でリモートでコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2016-5129 | +A-29178923 | +高 | +なし* | +6.0、6.0.1、7.0 | +2016 年 7 月 20 日 | +
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +Freetype にリモートコード実行の脆弱性があるため、悪意のあるローカルアプリが特別に細工したフォントを読み込んで、権限のないプロセス内でメモリ破損を引き起こすおそれがあります。このライブラリを使用するアプリ内でリモートでコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +更新対象の AOSP バージョン | +報告日 | +
---|---|---|---|---|---|
CVE-2016-10244 | +A-31470908 | +高 | +なし* | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | +2016 年 9 月 13 日 | +
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +カーネル サウンド サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-4656 | +A-34464977 + +アップストリーム カーネル |
+ 高 | +Nexus 6、Nexus Player | +2014 年 6 月 26 日 | +
NVIDIA crypto ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0339 | +A-27930566* + N-CVE-2017-0339 |
+ 高 | +Nexus 9 | +2016 年 3 月 29 日 | +
CVE-2017-0332 | +A-33812508* + N-CVE-2017-0332 |
+ 高 | +Nexus 9 | +2016 年 12 月 21 日 | +
CVE-2017-0327 | +A-33893669* + N-CVE-2017-0327 |
+ 高 | +Nexus 9 | +2016 年 12 月 24 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +MediaTek サーマル ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0565 | +A-28175904* + M-ALPS02696516 |
+ 高 | +なし** | +2016 年 4 月 11 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +MediaTek カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0566 | +A-28470975* + M-ALPS02696367 |
+ 高 | +なし** | +2016 年 4 月 29 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0567 | +A-32125310* + B-RB#112575 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 12 日 | +
CVE-2017-0568 | +A-34197514* + B-RB#112600 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0569 | +A-34198729* + B-RB#110666 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0570 | +A-34199963* + B-RB#110688 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0571 | +A-34203305* + B-RB#111541 |
+ 高 | +Nexus 6、Nexus 6P、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0572 | +A-34198931* + B-RB#112597 |
+ 高 | +なし** | +2017 年 1 月 9 日 | +
CVE-2017-0573 | +A-34469904* + B-RB#91539 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 18 日 | +
CVE-2017-0574 | +A-34624457* + B-RB#113189 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C | +2017 年 1 月 22 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0575 | +A-32658595* + QC-CR#1103099 |
+ 高 | +Nexus 5X、Pixel、Pixel XL | +2016 年 11 月 3 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +NVIDIA I2C HID ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0325 | +A-33040280* + N-CVE-2017-0325 |
+ 高 | +Nexus 9、Pixel C | +2016 年 11 月 20 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Qualcomm オーディオ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0454 | +A-33353700 + +QC-CR#1104067 |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2016 年 12 月 5 日 | +
Qualcomm crypto エンジン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0576 | +A-33544431 + +QC-CR#1103089 |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 12 月 9 日 | +
HTC タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0577 | +A-33842951* + |
+ 高 | +なし** | +2016 年 12 月 21 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +DTS サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0578 | +A-33964406* + |
+ 高 | +なし** | +2016 年 12 月 28 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +Qualcomm サウンド コーデック ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10231 | +A-33966912 + +QC-CR#1096799 |
+ 高 | +Pixel、Pixel XL | +2016 年 12 月 29 日 | +
Qualcomm ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0579 | +A-34125463* + QC-CR#1115406 |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2017 年 1 月 5 日 | +
CVE-2016-10232 | +A-34386696 + +QC-CR#1024872 +[2] |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | +2017 年 1 月 10 日 | +
CVE-2016-10233 | +A-34389926 + +QC-CR#897452 |
+ 高 | +なし** | +2017 年 1 月 10 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +NVIDIA 起動および電源管理プロセッサ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってこの起動および電源管理プロセッサ内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0329 | +A-34115304* + N-CVE-2017-0329 |
+ 高 | +Pixel C | +2017 年 1 月 5 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0580 | +A-34325986* + |
+ 高 | +なし** | +2017 年 1 月 16 日 | +
CVE-2017-0581 | +A-34614485* + |
+ 高 | +なし** | +2017 年 1 月 22 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +Qualcomm Seemp ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0462 | +A-33353601 + +QC-CR#1102288 |
+ 高 | +Pixel、Pixel XL | +Google 社内 | +
Qualcomm Kyro L2 ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-6423 | +A-32831370 + +QC-CR#1103158 |
+ 高 | +Pixel、Pixel XL | +Google 社内 | +
カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-9922 | +A-32761463 + +アップストリーム カーネル |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +Google 社内 | +
カーネル メモリ サブシステムに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-0206 | +A-34465735 + +アップストリーム カーネル |
+ 高 | +Nexus 6、Nexus Player | +2014 年 5 月 6 日 | +
カーネル ネットワーク サブシステムに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-3145 | +A-34469585 + +アップストリーム カーネル +[2] |
+ 高 | +Nexus 6、Nexus Player | +2014 年 5 月 9 日 | +
Qualcomm TrustZone に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-5349 | +A-29083830 + +QC-CR#1021945 +[2] +[3] +[4] |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 6 月 1 日 | +
Qualcomm IPA ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10234 | +A-34390017 + +QC-CR#1069060 +[2] |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2017 年 1 月 10 日 | +
カーネル ネットワーク サブシステムにサービス拒否の脆弱性があるため、リモートの攻撃者が特別に細工したネットワーク パケットを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-2706 | +A-34160553 + +アップストリーム カーネル |
+ 高 | +Nexus Player | +2014 年 4 月 1 日 | +
Qualcomm Wi-Fi ドライバにサービス拒否の脆弱性があるため、近くにいる攻撃者が Wi-Fi サブシステムでサービス拒否を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10235 | +A-34390620 + +QC-CR#1046409 |
+ 高 | +なし** | +2017 年 1 月 10 日 | +
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって権限レベルの範囲外で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、現在のプラットフォーム構成によってリスクが軽減されているため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-7097 | +A-32458736 + +アップストリーム カーネル |
+ 中 | +Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Nexus Player | +2016 年 8 月 28 日 | +
Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、脆弱性に固有の詳細によって問題の影響が限定されているため、この問題は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-6424 | +A-32086742 + +QC-CR#1102648 |
+ 中 | +Nexus 5X、Pixel、Pixel XL、Android One | +2016 年 10 月 9 日 | +
Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、現在のプラットフォーム構成によってリスクが軽減されているため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-8465 | +A-32474971* + B-RB#106053 |
+ 中 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 27 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +HTC OEM fastboot コマンドに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってセンサーハブ内で任意のコードが実行されるおそれがあります。最初に別の脆弱性を悪用する必要があるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0582 | +A-33178836* + |
+ 中 | +Nexus 9 | +2016 年 11 月 28 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Qualcomm アクセス ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、脆弱性に固有の詳細情報で問題の影響が限定されているため、この問題は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0583 | +A-32068683 + +QC-CR#1103788 |
+ 中 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | +Google 社内 | +
カーネル メディア ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-1739 | +A-34460642 + +アップストリーム カーネル |
+ 中 | +Nexus 6、Nexus 9、Nexus Player | +2014 年 6 月 15 日 | +
Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0584 | +A-32074353* + QC-CR#1104731 |
+ 中 | +Nexus 5X、Pixel、Pixel XL | +2016 年 10 月 9 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Broadcom Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0585 | +A-32475556* + B-RB#112953 |
+ 中 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 27 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+ +Qualcomm Avtimer ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-5346 | +A-32551280 + +QC-CR#1097878 |
+ 中 | +Pixel、Pixel XL | +2016 年 10 月 29 日 | +
+Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-6425 | +A-32577085 + +QC-CR#1103689 |
+ 中 | +Pixel、Pixel XL | +2016 年 10 月 29 日 | +
Qualcomm USB ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2016-10236 | +A-33280689 + +QC-CR#1102418 |
+ 中 | +Pixel、Pixel XL | +2016 年 11 月 30 日 | +
Qualcomm サウンド ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0586 | +A-33649808 + QC-CR#1097569 |
+ 中 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 12 月 13 日 | +
Qualcomm SPMI ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-6426 | +A-33644474 + +QC-CR#1106842 |
+ 中 | +Pixel、Pixel XL | +2016 年 12 月 14 日 | +
NVIDIA crypto ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2017-0328 | +A-33898322* + N-CVE-2017-0328 |
+ 中 | +なし** | +2016 年 12 月 24 日 | +
CVE-2017-0330 | +A-33899858* + N-CVE-2017-0330 |
+ 中 | +なし** | +2016 年 12 月 24 日 | +
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +Qualcomm コンポーネントに影響する次の脆弱性は、2014~2016 年に Qualcomm AMSS のセキュリティに関する公開情報としてリリースされたものです。その修正を Android のセキュリティ パッチ レベルと関連付けるため、この Android のセキュリティに関する公開情報に追加されています。
+ +CVE | +参照 | +重大度 | +更新対象の Google 端末 | +報告日 | +
---|---|---|---|---|
CVE-2014-9931 | +A-35445101** + QC-CR#612410 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2014-9932 | +A-35434683** + QC-CR#626734 |
+ 重大 | +Pixel、Pixel XL | +Qualcomm 社内 | +
CVE-2014-9933 | +A-35442512 + QC-CR#675463 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2014-9934 | +A-35439275** + QC-CR#658249 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2014-9935 | +A-35444951** + QC-CR#717626 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2014-9936 | +A-35442420** + QC-CR#727389 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2014-9937 | +A-35445102** + QC-CR#734095 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-8995 | +A-35445002** + QC-CR#733690 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-8996 | +A-35444658** + QC-CR#734698 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-8997 | +A-35432947** + QC-CR#734707 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-8998 | +A-35441175** + QC-CR#735337 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-8999 | +A-35445401** + QC-CR#736119 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-9000 | +A-35441076** + QC-CR#740632 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-9001 | +A-35445400** + QC-CR#736083 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-9002 | +A-35442421** + QC-CR#748428 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2015-9003 | +A-35440626** + QC-CR#749215 |
+ 重大 | +なし** | +Qualcomm 社内 | +
CVE-2016-10242 | +A-35434643** + QC-CR#985139 |
+ 重大 | +なし** | +Qualcomm 社内 | +
* この一連の問題の重大度はベンダーが決定したものです。
+* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
+*** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
+ +上記の公開情報に対する一般的な質問について、以下で回答します。
+1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか?
+端末のセキュリティ パッチ レベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。
+このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。
+2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?
+この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。
+パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。
+3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?
+2017-04-01 と 2017-04-05 のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列には次のいずれかが表示されています。
+4. 「参照」列の項目はどのような情報に関連付けられていますか?
+脆弱性の詳細の表で「参照」列に記載した内容には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。
+接頭辞 | +参照 | +
---|---|
A- | +Android バグ ID | +
QC- | +Qualcomm の参照番号 | +
M- | +MediaTek の参照番号 | +
N- | +NVIDIA の参照番号 | +
B- | +Broadcom の参照番号 | +
2017년 4월 3일 게시됨 | 2017년 4월 5일 업데이트됨
+Android 보안 게시판에서는 Android 기기에 영향을 미치는 보안 취약성 +세부정보를 다룹니다. 게시판과 함께 무선(OTA) 업데이트를 통해 +Nexus 기기의 보안 업데이트가 출시되었습니다. Google 기기 펌웨어 이미지도 +Google 개발자 사이트에 게시되었습니다. 아래 목록의 문제는 2017년 4월 5일 +보안 패치 수준 이상에서 모두 해결되었습니다. Pixel 및 Nexus 업데이트 일정을 +참조하여 기기의 보안 패치 수준을 확인하는 방법을 알아보세요.
+파트너에게는 게시판에 설명된 문제에 관한 알림을 2017년 3월 6일 이전에 전달했습니다. 이러한 문제를 해결하기 위한 소스 코드 패치는 Android 오픈소스 프로젝트(AOSP) +저장소에 배포되었으며, 이 게시판에 링크되어 있습니다. 이 게시판에는 AOSP 외부에 있는 +패치로 연결되는 링크도 포함되어 있습니다.
+이 중 가장 심각한 문제는 미디어 파일을 처리할 때 +이메일과 웹 탐색, MMS 등 여러 방법을 통해 대상 기기에서 +원격으로 코드를 실행할 수 있게 하는 심각한 보안 취약성입니다. 심각도 +평가는 개발 목적으로 플랫폼 및 서비스 완화가 사용 중지되어 있거나 +우회되는 경우 취약성 악용으로 인해 대상 기기가 받을 수 있는 영향을 +기준으로 내려집니다.
+실제 고객이 새로 보고된 이러한 문제로 인해 악용당했다는 신고는 +접수되지 않았습니다. SafetyNet과 같이 Android 플랫폼의 보안을 개선하는 +Android 보안 플랫폼 보호 및 서비스 보호 기능에 관해 +자세히 알아보려면 Android 및 Google 서비스 완화 +섹션을 참조하세요.
+모든 고객은 기기에서 이 업데이트를 수락하는 것이 좋습니다.
+ +다음은 SafetyNet과 같은 Android 보안 플랫폼 및 +서비스 보호 기능에서 제공하는 완화에 관한 요약입니다. +이러한 기능을 통해 Android에서 보안 취약성이 악용될 +가능성을 줄일 수 있습니다.
+참여해 주신 다음 연구원에게 감사드립니다.
+다음 섹션에서는 2017-04-01 패치 수준에 적용되는 +각 보안 취약성에 관해 자세히 알아볼 수 있습니다.여기에는 +문제 설명, 심각도 근거 및 CVE, 관련 참조, 심각도, 업데이트된 Google 기기, +업데이트된 AOSP 버전(해당하는 경우), 신고된 날짜가 포함된 표가 제시됩니다. 가능한 경우 +AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 버그 ID에 +연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 +참조가 버그 ID 다음에 오는 번호에 연결되어 있습니다.
+ +미디어 서버의 원격 코드 실행 취약성으로 인해 특별히 제작된 파일을 사용하는 +공격자가 미디어 파일 및 데이터 처리 중에 메모리 손상을 일으킬 수 +있습니다. 이 문제는 미디어 서버 프로세스 내에서 원격 코드를 실행할 가능성이 있으므로 +심각도 심각으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0538 | +A-33641588 | +심각 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 13일 | +
CVE-2017-0539 | +A-33864300 | +심각 | +모두 | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 23일 | +
CVE-2017-0540 | +A-33966031 | +심각 | +모두 | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 29일 | +
CVE-2017-0541 | +A-34031018 | +심각 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2017년 1월 1일 | +
CVE-2017-0542 | +A-33934721 | +심각 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
CVE-2017-0543 | +A-34097866 | +심각 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
CameraBase의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 +임의의 코드를 실행할 수 있습니다. 이 문제는 권한이 설정된 프로세스에서 임의의 +로컬 코드를 실행하는 것이므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0544 | +A-31992879 | +높음 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 10월 6일 | +
오디오 서버의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 +권한이 설정된 프로세스의 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 보통 타사 애플리케이션이 액세스할 수 없는 승격된 +권한으로의 로컬 액세스 권한을 확보하는 데 사용될 수 있으므로 심각도 높음으로 +평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0545 | +A-32591350 | +높음 | +모두 | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 10월 31일 | +
SurfaceFlinger의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 +권한이 설정된 프로세스의 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 보통 타사 애플리케이션이 액세스할 수 없는 승격된 +권한으로의 로컬 액세스 권한을 확보하는 데 사용될 수 있으므로 심각도 높음으로 +평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0546 | +A-32628763 | +높음 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 11월 2일 | +
미디어 서버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 애플리케이션 데이터를 +다른 애플리케이션으로부터 분리하는 운영체제 보호를 일반적으로 +우회하는 것이므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0547 | +A-33861560 | +높음 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 22일 | +
libskia의 원격 서비스 거부 취약성으로 인해 특별히 제작된 파일을 사용하는 +공격자가 기기를 지연시키거나 재부팅되게 만들 수 있습니다. 이 문제는 +원격 서비스 거부를 일으킬 수 있으므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0548 | +A-33251605 | +높음 | +모두 | +7.0, 7.1.1 | +2016년 11월 29일 | +
미디어 서버의 원격 서비스 거부 취약성으로 인해 특별히 제작된 파일을 사용하는 +공격자가 기기를 지연시키거나 재부팅되게 만들 수 있습니다. 이 문제는 +원격 서비스 거부를 일으킬 수 있으므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0549 | +A-33818508 | +높음 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 20일 | +
CVE-2017-0550 | +A-33933140 | +높음 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
CVE-2017-0551 | +A-34097231 + [2] | +높음 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
CVE-2017-0552 | +A-34097915 | +높음 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
libnl의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 Wi-Fi 서비스의 +컨텍스트 내에서 임의의 코드를 실행할 수 있습니다. +이 문제는 먼저 권한이 설정된 +프로세스에 침투해야만 실행 가능하며 현재 플랫폼 구성으로 완화할 수 있으므로 +심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0553 | +A-32342065 | +보통 | +모두 | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 10월 21일 | +
전화 기능 구성요소의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 권한에 액세스할 수 있습니다. 이 문제는 보통 타사 +애플리케이션이 액세스할 수 없는 승격된 권한으로의 액세스 권한을 확보하는 데 +사용될 수 있으므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0554 | +A-33815946 + [2] | +보통 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 20일 | +
미디어 서버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 권한 없이 +데이터에 액세스하는 데 사용될 수 있으므로 심각도 보통으로 +평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0555 | +A-33551775 | +보통 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 12일 | +
CVE-2017-0556 | +A-34093952 | +보통 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +2017년 1월 4일 | +
CVE-2017-0557 | +A-34093073 | +보통 | +모두 | +6.0, 6.0.1, 7.0, 7.1.1 | +2017년 1월 4일 | +
CVE-2017-0558 | +A-34056274 | +보통 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
libskia의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 권한 없이 데이터에 액세스하는 데 +사용될 수 있으므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0559 | +A-33897722 | +보통 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2016년 12월 25일 | +
초기화 과정의 정보 공개 취약성으로 인해 로컬 악성 공격자가 +이전 소유자의 데이터에 액세스할 수 있습니다. 이 문제는 +기기 보호를 우회할 가능성이 있으므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2017-0560 | +A-30681079 | +보통 | +모두 | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +Google 사내용 | +
다음 섹션에서는 2017-04-05 패치 수준에 적용되는 +각 보안 취약성에 관해 자세히 알아볼 수 있습니다. 여기에는 문제 설명, +심각도 근거 및 CVE, 관련 참조, 심각도, 업데이트된 Google 기기, 업데이트된 +AOSP 버전(해당하는 경우), 신고된 날짜가 포함된 표가 제시됩니다. 가능한 경우 +AOSP 변경사항 목록과 같이 문제를 해결한 공개 변경사항을 버그 ID에 +연결합니다. 하나의 버그와 관련된 변경사항이 여러 개인 경우 추가 +참조가 버그 ID 다음에 오는 번호에 연결되어 있습니다.
+ +Broadcom Wi-Fi 펌웨어의 원격 코드 실행 취약성으로 인해 원격 공격자가 +Wi-Fi SoC 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다. 이 문제는 Wi-Fi +SoC 컨텍스트 내에서 원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 +평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0561 | +A-34199105* + B-RB#110814 |
+ 심각 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2017년 1월 9일 | +
* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +Qualcomm 암호화 엔진 드라이버의 원격 코드 실행 취약성으로 인해 원격 공격자가 +커널 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다. 이 문제는 커널 컨텍스트 +내에서 원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10230 | +A-34389927 + +QC-CR#1091408 |
+ 심각 | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +2017년 1월 10일 | +
커널 네트워크 하위 시스템의 원격 코드 실행 취약성으로 인해 원격 공격자가 +커널 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다. 이 문제는 커널 컨텍스트 +내에서 원격 코드를 실행할 가능성이 있으므로 심각도 심각으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10229 | +A-32813456 + +업스트림 커널 |
+ 심각 | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, +Nexus Player | +Google 사내용 | +
MediaTek 터치스크린 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 영구적인 +로컬 기기 손상을 일으킬 가능성이 있으므로 심각도 심각으로 평가되며, +기기를 수리하려면 운영체제를 재설치해야 할 수도 있습니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0562 | +A-30202425* + M-ALPS02898189 |
+ 심각* | +없음** | +2016년 7월 16일 | +
* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +HTC 터치스크린 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 영구적인 +로컬 기기 손상을 일으킬 가능성이 있으므로 심각도 심각으로 평가되며, +기기를 수리하려면 운영체제를 재설치해야 할 수도 있습니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0563 | +A-32089409* + |
+ 심각 | +Nexus 9 | +2016년 10월 9일 | +
* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +커널 ION 하위 시스템의 권한 승격 취약성으로 인해 로컬 +악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 영구적인 +로컬 기기 손상을 일으킬 가능성이 있으므로 심각도 심각으로 평가되며, +기기를 수리하려면 운영체제를 재설치해야 할 수도 있습니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0564 | +A-34276203* + |
+ 심각 | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, +Nexus Player | +2017년 1월 12일 | +
* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +다음 취약성은 Qualcomm 구성요소에 영향을 주며 Qualcomm AMSS +2016년 10월 보안 게시판에 자세히 설명되어 있습니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10237 | +A-31628601** + QC-CR#1046751 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2016-10238 | +A-35358527** + QC-CR#1042558 |
+ 심각 | +없음*** | +Qualcomm 사내용 | +
CVE-2016-10239 | +A-31624618** + QC-CR#1032929 |
+ 높음 | +Pixel, Pixel XL | +Qualcomm 사내용 | +
* 이 취약성의 심각도 등급은 공급업체에서 결정한 것입니다.
+* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+*** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +v8의 원격 권한 실행 취약성으로 인해 원격 공격자가 권한이 설정된 프로세스의 +컨텍스트 내에서 임의의 코드를 실행할 수 있습니다. 이 문제는 웹사이트 내에서 +원격 코드를 실행할 가능성이 있으므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2016-5129 | +A-29178923 | +높음 | +없음* | +6.0, 6.0.1, 7.0 | +2016년 7월 20일 | +
* 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +Freetype의 원격 코드 실행 취약성으로 인해 특별히 제작된 글꼴을 로드하는 +로컬 악성 애플리케이션이 권한이 설정되지 않은 프로세스 내에서 메모리 손상을 +일으킬 수 있습니다. 이 문제는 해당 라이브러리를 사용하는 애플리케이션에서 +원격 코드를 실행할 가능성이 있으므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +업데이트된 AOSP 버전 | +신고된 날짜 | +
---|---|---|---|---|---|
CVE-2016-10244 | +A-31470908 | +높음 | +없음* | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | +2016년 9월 13일 | +
* 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +커널 사운드 하위 시스템의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-4656 | +A-34464977 + +업스트림 커널 |
+ 높음 | +Nexus 6, Nexus Player | +2014년 6월 26일 | +
NVIDIA 암호화 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0339 | +A-27930566* + N-CVE-2017-0339 |
+ 높음 | +Nexus 9 | +2016년 3월 29일 | +
CVE-2017-0332 | +A-33812508* + N-CVE-2017-0332 |
+ 높음 | +Nexus 9 | +2016년 12월 21일 | +
CVE-2017-0327 | +A-33893669* + N-CVE-2017-0327 |
+ 높음 | +Nexus 9 | +2016년 12월 24일 | +
* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +MediaTek 열 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0565 | +A-28175904* + M-ALPS02696516 |
+ 높음 | +없음** | +2016년 4월 11일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +MediaTek 카메라 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0566 | +A-28470975* + M-ALPS02696367 |
+ 높음 | +없음** | +2016년 4월 29일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +Broadcom Wi-Fi 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0567 | +A-32125310* + B-RB#112575 |
+ 높음 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2016년 10월 12일 | +
CVE-2017-0568 | +A-34197514* + B-RB#112600 |
+ 높음 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2017년 1월 9일 | +
CVE-2017-0569 | +A-34198729* + B-RB#110666 |
+ 높음 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2017년 1월 9일 | +
CVE-2017-0570 | +A-34199963* + B-RB#110688 |
+ 높음 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2017년 1월 9일 | +
CVE-2017-0571 | +A-34203305* + B-RB#111541 |
+ 높음 | +Nexus 6, Nexus 6P, Pixel C, Nexus Player | +2017년 1월 9일 | +
CVE-2017-0572 | +A-34198931* + B-RB#112597 |
+ 높음 | +없음** | +2017년 1월 9일 | +
CVE-2017-0573 | +A-34469904* + B-RB#91539 |
+ 높음 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2017년 1월 18일 | +
CVE-2017-0574 | +A-34624457* + B-RB#113189 |
+ 높음 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C | +2017년 1월 22일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +Qualcomm Wi-Fi 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0575 | +A-32658595* + QC-CR#1103099 |
+ 높음 | +Nexus 5X, Pixel, Pixel XL | +2016년 11월 3일 | +
* 이 문제를 해결하기 위한 패치는 공개되어 있지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +NVIDIA I2C HID 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0325 | +A-33040280* + N-CVE-2017-0325 |
+ 높음 | +Nexus 9, Pixel C | +2016년 11월 20일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +Qualcomm 오디오 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0454 | +A-33353700 + +QC-CR#1104067 |
+ 높음 | +Nexus 5X, Nexus 6P, Pixel, Pixel XL | +2016년 12월 5일 | +
Qualcomm 암호화 엔진 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0576 | +A-33544431 + +QC-CR#1103089 |
+ 높음 | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +2016년 12월 9일 | +
HTC 터치스크린 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0577 | +A-33842951* + |
+ 높음 | +없음** | +2016년 12월 21일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +DTS 사운드 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0578 | +A-33964406* + |
+ 높음 | +없음** | +2016년 12월 28일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +Qualcomm 사운드 코덱 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10231 | +A-33966912 + +QC-CR#1096799 |
+ 높음 | +Pixel, Pixel XL | +2016년 12월 29일 | +
Qualcomm 동영상 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0579 | +A-34125463* + QC-CR#1115406 |
+ 높음 | +Nexus 5X, Nexus 6P, Pixel, Pixel XL | +2017년 1월 5일 | +
CVE-2016-10232 | +A-34386696 + +QC-CR#1024872 +[2] |
+ 높음 | +Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | +2017년 1월 10일 | +
CVE-2016-10233 | +A-34389926 + +QC-CR#897452 |
+ 높음 | +없음** | +2017년 1월 10일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +NVIDIA 부팅 및 전원 관리 프로세서 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 부팅 및 전원 관리 프로세서의 컨텍스트 내에서 +임의의 코드를 실행할 수 있습니다. +이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 높음으로 +평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0329 | +A-34115304* + N-CVE-2017-0329 |
+ 높음 | +Pixel C | +2017년 1월 5일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +Synaptics 터치스크린 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0580 | +A-34325986* + |
+ 높음 | +없음** | +2017년 1월 16일 | +
CVE-2017-0581 | +A-34614485* + |
+ 높음 | +없음** | +2017년 1월 22일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +Qualcomm Seemp 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0462 | +A-33353601 + +QC-CR#1102288 |
+ 높음 | +Pixel, Pixel XL | +Google 사내용 | +
Qualcomm Kyro L2 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-6423 | +A-32831370 + +QC-CR#1103158 |
+ 높음 | +Pixel, Pixel XL | +Google 사내용 | +
커널 파일 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 +커널 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 +가능하므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-9922 | +A-32761463 + +업스트림 커널 |
+ 높음 | +Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android +One, Nexus Player | +Google 사내용 | +
커널 메모리 하위 시스템의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 명시적인 사용자 권한 없이 민감한 데이터에 액세스하는 데 +사용될 수 있으므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-0206 | +A-34465735 + +업스트림 커널 |
+ 높음 | +Nexus 6, Nexus Player | +2014년 5월 6일 | +
커널 네트워크 하위 시스템의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 명시적인 +사용자 권한 없이 민감한 데이터에 액세스하는 데 사용될 수 있으므로 +심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-3145 | +A-34469585 + +업스트림 커널 +[2] |
+ 높음 | +Nexus 6, Nexus Player | +2014년 5월 9일 | +
Qualcomm TrustZone의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. +이 문제는 명시적인 사용자 권한 없이 민감한 데이터에 액세스하는 데 사용될 수 있으므로 +심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-5349 | +A-29083830 + +QC-CR#1021945 +[2] +[3] +[4] |
+ 높음 | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +2016년 6월 1일 | +
Qualcomm IPA 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. +이 문제는 명시적인 사용자 권한 없이 민감한 데이터에 액세스하는 데 사용될 수 있으므로 +심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10234 | +A-34390017 + +QC-CR#1069060 +[2] |
+ 높음 | +Nexus 5X, Nexus 6P, Pixel, Pixel XL | +2017년 1월 10일 | +
커널 네트워크 하위 시스템의 서비스 거부 취약성으로 인해 +원격 공격자가 특별히 제작된 네트워크 패킷을 사용하여 기기를 지연시키거나 +재부팅을 일으킬 수 있습니다. 이 문제는 원격 서비스 거부를 일으킬 수 있으므로 +심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-2706 | +A-34160553 + +업스트림 커널 |
+ 높음 | +Nexus Player | +2014년 4월 1일 | +
Qualcomm Wi-Fi 드라이버의 서비스 거부 취약성으로 인해 근접 공격자가 +Wi-Fi 하위 시스템에 서비스 거부를 일으킬 수 있습니다. 이 문제는 +원격 서비스 거부를 일으킬 수 있으므로 심각도 높음으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10235 | +A-34390620 + +QC-CR#1046409 |
+ 높음 | +없음** | +2017년 1월 10일 | +
** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +커널 파일 시스템의 권한 승격 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 +실행 가능하며 현재 플랫폼 구성으로 완화할 수 있으므로 +심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-7097 | +A-32458736 + +업스트림 커널 |
+ 보통 | +Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus +Player | +2016년 8월 28일 | +
Qualcomm Wi-Fi 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 실행 가능하며 +문제의 영향력을 제한하는 취약성별 세부정보로 인해 +심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-6424 | +A-32086742 + +QC-CR#1102648 |
+ 보통 | +Nexus 5X, Pixel, Pixel XL, Android One | +2016년 10월 9일 | +
Broadcom Wi-Fi 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 실행할 수 +있습니다. 이 문제는 먼저 권한이 설정된 절차에 침투해야만 +실행 가능하며 현재 플랫폼 구성으로 완화할 수 있으므로 +심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-8465 | +A-32474971* + B-RB#106053 |
+ 보통 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2016년 10월 27일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +HTC OEM 패스트부트 명령의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 센서 허브의 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 별도의 취약성을 먼저 악용해야 하므로 +심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0582 | +A-33178836* + |
+ 보통 | +Nexus 9 | +2016년 11월 28일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +Qualcomm CP 액세스 드라이버의 권한 승격 취약성으로 인해 +로컬 악성 애플리케이션이 커널 컨텍스트 내에서 임의의 코드를 +실행할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 +실행 가능하며 문제의 영향력을 제한하는 취약성별 세부정보로 인해 +심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0583 | +A-32068683 + +QC-CR#1103788 |
+ 보통 | +Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | +Google 사내용 | +
커널 미디어 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. +이 문제는 먼저 권한이 설정된 프로세스에 침투해야만 +실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-1739 | +A-34460642 + +업스트림 커널 |
+ 보통 | +Nexus 6, Nexus 9, Nexus Player | +2014년 6월 15일 | +
Qualcomm Wi-Fi 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. 이 문제는 먼저 +권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0584 | +A-32074353* + QC-CR#1104731 |
+ 보통 | +Nexus 5X, Pixel, Pixel XL | +2016년 10월 9일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +Broadcom Wi-Fi 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 +프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0585 | +A-32475556* + B-RB#112953 |
+ 보통 | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +2016년 10월 27일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+ +Qualcomm Avtimer 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. 이 문제는 먼저 권한이 설정된 프로세스에 +침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-5346 | +A-32551280 + +QC-CR#1097878 |
+ 보통 | +Pixel, Pixel XL | +2016년 10월 29일 | +
Qualcomm 동영상 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. 이 문제는 먼저 +권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-6425 | +A-32577085 + +QC-CR#1103689 |
+ 보통 | +Pixel, Pixel XL | +2016년 10월 29일 | +
Qualcomm USB 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. +이 문제는 먼저 권한이 설정된 절차에 침투해야만 +실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2016-10236 | +A-33280689 + +QC-CR#1102418 |
+ 보통 | +Pixel, Pixel XL | +2016년 11월 30일 | +
Qualcomm 사운드 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 먼저 +권한이 설정된 절차에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0586 | +A-33649808 + QC-CR#1097569 |
+ 보통 | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +2016년 12월 13일 | +
Qualcomm SPMI 드라이버의 정보 공개 취약성으로 인해 +로컬 악성 애플리케이션이 권한 수준을 벗어난 데이터에 +액세스할 수 있습니다. 이 문제는 먼저 +권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-6426 | +A-33644474 + +QC-CR#1106842 |
+ 보통 | +Pixel, Pixel XL | +2016년 12월 14일 | +
NVIDIA 암호화 드라이버의 정보 공개 취약성으로 인해 로컬 악성 애플리케이션이 +권한 수준을 벗어난 데이터에 액세스할 수 있습니다. 이 문제는 먼저 +권한이 설정된 프로세스에 침투해야만 실행 가능하므로 심각도 보통으로 평가됩니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2017-0328 | +A-33898322* + N-CVE-2017-0328 |
+ 보통 | +없음** | +2016년 12월 24일 | +
CVE-2017-0330 | +A-33899858* + N-CVE-2017-0330 |
+ 보통 | +없음** | +2016년 12월 24일 | +
* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +Qualcomm 구성요소에 영향을 주는 다음 취약성은 2014년~2016년에 +Qualcomm AMSS 보안 게시판을 통해 배포되었습니다. 각 취약성의 +수정사항을 Android 보안 패치 수준과 연결하기 위해 이러한 +취약성이 Android 보안 게시판에 포함되었습니다.
+ +CVE | +참조 | +심각도 | +업데이트된 Google 기기 | +신고된 날짜 | +
---|---|---|---|---|
CVE-2014-9931 | +A-35445101** + QC-CR#612410 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2014-9932 | +A-35434683** + QC-CR#626734 |
+ 심각 | +Pixel, Pixel XL | +Qualcomm 사내용 | +
CVE-2014-9933 | +A-35442512 + QC-CR#675463 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2014-9934 | +A-35439275** + QC-CR#658249 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2014-9935 | +A-35444951** + QC-CR#717626 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2014-9936 | +A-35442420** + QC-CR#727389 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2014-9937 | +A-35445102** + QC-CR#734095 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-8995 | +A-35445002** + QC-CR#733690 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-8996 | +A-35444658** + QC-CR#734698 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-8997 | +A-35432947** + QC-CR#734707 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-8998 | +A-35441175** + QC-CR#735337 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-8999 | +A-35445401** + QC-CR#736119 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-9000 | +A-35441076** + QC-CR#740632 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-9001 | +A-35445400** + QC-CR#736083 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-9002 | +A-35442421** + QC-CR#748428 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2015-9003 | +A-35440626** + QC-CR#749215 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
CVE-2016-10242 | +A-35434643** + QC-CR#985139 |
+ 심각 | +없음** | +Qualcomm 사내용 | +
* 이 취약성의 심각도 등급은 공급업체에서 결정한 것입니다.
+* 이 문제를 해결하기 위한 패치는 공개되지 않습니다. 업데이트는 +Google 개발자 사이트에서 제공되는 Nexus 기기용 +최신 바이너리 드라이버에 + +포함되어 있습니다.
+*** 지원되는 Android 7.0 이상 Google 기기에 제공된 업데이트가 모두 설치되었다면 이러한 +취약성의 영향을 받지 않습니다.
+ +이 섹션에서는 게시판을 읽은 뒤 제기될 수 있는 일반적인 질문에 답변을 제시합니다.
+1. 내 기기가 업데이트되어 이 문제가 해결되었는지 어떻게 알 수 있나요?
+기기의 보안 패치 수준을 확인하는 방법을 알아보려면 +Pixel 및 Nexus 업데이트 일정의 +안내를 읽어 보세요.
+이러한 업데이트를 포함하는 기기 제조업체는 패치 문자열 수준을 +다음과 같이 설정해야 합니다.
+2. 이 게시판에 두 가지 보안 패치 수준이 있는 이유가 무엇인가요?
+이 게시판에서는 Android 파트너가 모든 Android 기기에서 유사하게 발생하는 +취약성 문제의 일부를 더욱 빠르고 유연하게 해결하기 위한 두 가지 보안 패치 수준이 +포함되어 있습니다. Android 파트너는 이 게시판에 언급된 문제를 모두 수정하고 +최신 보안 패치 수준을 사용하는 것이 좋습니다.
+파트너는 해결하는 모든 문제의 수정사항을 단 한 번의 업데이트에서 번들로 묶는 것이 좋습니다.
+3. 문제별로 영향을 받는 Google 기기는 어떻게 알 수 있나요?
+2017-04-01 및 +2017-04-05 +보안 취약성 세부정보 섹션에 있는 각 테이블의 업데이트된 Google +기기 열을 확인하면 됩니다. 이 열에는 영향을 받는 Google 기기의 범위가 +문제별로 업데이트되어 표시됩니다. 이 열에는 다음과 같은 옵션이 있습니다.
+4. 참조 열의 항목이 매핑하는 대상은 무엇인가요?
+취약성 세부정보 표의 참조 열에 있는 항목은 참조 값이 속한 +조직을 나타내는 접두어를 포함할 수 있습니다. 이러한 접두어는 +다음과 같이 매핑됩니다.
+접두어 | +참조 문서 | +
---|---|
A- | +Android 버그 ID | +
QC- | +Qualcomm 참조 번호 | +
M- | +MediaTek 참조 번호 | +
N- | +NVIDIA 참조 번호 | +
B- | +Broadcom 참조 번호 | +
Опубликовано 3 апреля 2017 г. | Обновлено 5 апреля 2017 г.
+В этом бюллетене содержится информация об уязвимостях в защите устройств Android. К его выходу мы выпустили автоматическое обновление системы безопасности для устройств Google и опубликовали образы прошивок на сайте для разработчиков. Все актуальные проблемы, перечисленные здесь, устранены в исправлении от 5 апреля 2017 года или более новом. Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
+Мы сообщили партнерам об уязвимостях 6 марта 2017 года или ранее. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене также приведены ссылки на исправления вне AOSP.
+Наиболее серьезная из уязвимостей имеет критический уровень и позволяет удаленно выполнять код на пораженном устройстве (например, при работе с электронной почтой, просмотре сайтов в Интернете или обработке медиафайлов MMS). Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены разработчиком или взломаны.
+Обнаруженные уязвимости не эксплуатировались. В разделе Предотвращение атак описывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, помогают снизить вероятность атак на Android.
+Мы рекомендуем всем пользователям установить перечисленные в разделе обновления.
+ +Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например SafetyNet, позволяют снизить вероятность атак на Android.
+Благодарим всех, кто помог обнаружить уязвимости:
+В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-04-01: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
+ +Уязвимость позволяет злоумышленнику нарушить целостность информации в памяти при обработке медиафайлов и данных в специально созданном файле. Проблеме присвоен критический уровень серьезности из-за возможности удаленного выполнения кода в контексте процесса mediaserver.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0538 | +A-33641588 | +Критический | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +13 декабря 2016 г. | +
CVE-2017-0539 | +A-33864300 | +Критический | +Все | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +23 декабря 2016 г. | +
CVE-2017-0540 | +A-33966031 | +Критический | +Все | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +29 декабря 2016 г. | +
CVE-2017-0541 | +A-34031018 | +Критический | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +1 января 2017 г. | +
CVE-2017-0542 | +A-33934721 | +Критический | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
CVE-2017-0543 | +A-34097866 | +Критический | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Из-за этого ей присвоен высокий уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0544 | +A-31992879 | +Высокий | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +6 октября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0545 | +A-32591350 | +Высокий | +Все | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +31 октября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0546 | +A-32628763 | +Высокий | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +2 ноября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость позволяет обойти защиту ОС, обеспечивающую раздельное хранение данных приложений.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0547 | +A-33861560 | +Высокий | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +22 декабря 2016 г. | +
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0548 | +A-33251605 | +Высокий | +Все | +7.0, 7.1.1 | +29 ноября 2016 г. | +
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного файла. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0549 | +A-33818508 | +Высокий | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +20 декабря 2016 г. | +
CVE-2017-0550 | +A-33933140 | +Высокий | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
CVE-2017-0551 | +A-34097231 + [2] | +Высокий | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
CVE-2017-0552 | +A-34097915 | +Высокий | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте сервиса Wi-Fi. +Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0553 | +A-32342065 | +Средний | +Все | +5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +21 октября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к функциям. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно получить привилегии, недоступные сторонним приложениям.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0554 | +A-33815946 + [2] | +Средний | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +20 декабря 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0555 | +A-33551775 | +Средний | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +12 декабря 2016 г. | +
CVE-2017-0556 | +A-34093952 | +Средний | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +4 января 2017 г. | +
CVE-2017-0557 | +A-34093073 | +Средний | +Все | +6.0, 6.0.1, 7.0, 7.1.1 | +4 января 2017 г. | +
CVE-2017-0558 | +A-34056274 | +Средний | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен средний уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0559 | +A-33897722 | +Средний | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +25 декабря 2016 г. | +
Уязвимость позволяет злоумышленнику, в руки которого попало устройство, получать несанкционированный доступ к данным предыдущего владельца. Проблеме присвоен средний уровень серьезности, поскольку с ее помощью можно обойти защиту устройства.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2017-0560 | +A-30681079 | +Средний | +Все | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | +Доступно только сотрудникам Google | +
В этом разделе вы найдете подробную информацию обо всех уязвимостях обновления системы безопасности 2017-04-05: описание и обоснование серьезности, таблицу с CVE, ссылками, уровнем серьезности, уязвимыми устройствами Google и версиями AOSP (при наличии), а также датой сообщения об ошибке. Где возможно, мы приведем основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), и дополнительные ссылки в квадратных скобках.
+ +Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте однокристальной системы Wi-Fi. Из-за этого проблеме присвоен критический уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0561 | +A-34199105* + B-RB#110814 |
+ Критический | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +9 января 2017 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10230 | +A-34389927 + +QC-CR#1091408 |
+ Критический | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +10 января 2017 г. | +
Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте ядра. Из-за этого проблеме присвоен критический уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10229 | +A-32813456 + +Upstream kernel |
+ Критический | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0562 | +A-30202425* + M-ALPS02898189 |
+ Критический* | +Нет** | +16 июля 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0563 | +A-32089409* + |
+ Критический | +Nexus 9 | +9 октября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Ей присвоен критический уровень серьезности, поскольку из-за нее нарушается работа системы безопасности. Возможно, для устранения проблемы потребуется переустановить ОС.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0564 | +A-34276203* + |
+ Критический | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | +12 января 2017 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за октябрь 2016 года.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10237 | +A-31628601** + QC-CR#1046751 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2016-10238 | +A-35358527** + QC-CR#1042558 |
+ Критический | +Нет*** | +Доступно только сотрудникам Qualcomm | +
CVE-2016-10239 | +A-31624618** + QC-CR#1032929 |
+ Высокий | +Pixel, Pixel XL | +Доступно только сотрудникам Qualcomm | +
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
+*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода через веб-сайты.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2016-5129 | +A-29178923 | +Высокий | +Нет* | +6.0, 6.0.1, 7.0 | +20 июля 2016 г. | +
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет злоумышленнику загрузить специально созданный шрифт, чтобы нарушить целостность информации в памяти непривилегированного процесса. Проблеме присвоен высокий уровень серьезности из-за возможности удаленного выполнения кода в ПО, которое использует эту библиотеку.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Обновленные версии AOSP | +Дата сообщения об ошибке | +
---|---|---|---|---|---|
CVE-2016-10244 | +A-31470908 | +Высокий | +Нет* | +4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | +13 сентября 2016 г. | +
*Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-4656 | +A-34464977 + +Upstream kernel |
+ Высокий | +Nexus 6, Nexus Player | +26 июня 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0339 | +A-27930566* + N-CVE-2017-0339 |
+ Высокий | +Nexus 9 | +29 марта 2016 г. | +
CVE-2017-0332 | +A-33812508* + N-CVE-2017-0332 |
+ Высокий | +Nexus 9 | +21 декабря 2016 г. | +
CVE-2017-0327 | +A-33893669* + N-CVE-2017-0327 |
+ Высокий | +Nexus 9 | +24 декабря 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0565 | +A-28175904* + M-ALPS02696516 |
+ Высокий | +Нет** | +11 апреля 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0566 | +A-28470975* + M-ALPS02696367 |
+ Высокий | +Нет** | +29 апреля 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0567 | +A-32125310* + B-RB#112575 |
+ Высокий | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +12 октября 2016 г. | +
CVE-2017-0568 | +A-34197514* + B-RB#112600 |
+ Высокий | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +9 января 2017 г. | +
CVE-2017-0569 | +A-34198729* + B-RB#110666 |
+ Высокий | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +9 января 2017 г. | +
CVE-2017-0570 | +A-34199963* + B-RB#110688 |
+ Высокий | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +9 января 2017 г. | +
CVE-2017-0571 | +A-34203305* + B-RB#111541 |
+ Высокий | +Nexus 6, Nexus 6P, Pixel C, Nexus Player | +9 января 2017 г. | +
CVE-2017-0572 | +A-34198931* + B-RB#112597 |
+ Высокий | +Нет** | +9 января 2017 г. | +
CVE-2017-0573 | +A-34469904* + B-RB#91539 |
+ Высокий | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +18 января 2017 г. | +
CVE-2017-0574 | +A-34624457* + B-RB#113189 |
+ Высокий | +Nexus 6, Nexus 6P, Nexus 9, Pixel C | +22 января 2017 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0575 | +A-32658595* + QC-CR#1103099 |
+ Высокий | +Nexus 5X, Pixel, Pixel XL | +3 ноября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0325 | +A-33040280* + N-CVE-2017-0325 |
+ Высокий | +Nexus 9, Pixel C | +20 ноября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0454 | +A-33353700 + +QC-CR#1104067 |
+ Высокий | +Nexus 5X, Nexus 6P, Pixel, Pixel XL | +5 декабря 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0576 | +A-33544431 + +QC-CR#1103089 |
+ Высокий | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +9 декабря 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0577 | +A-33842951* + |
+ Высокий | +Нет** | +21 декабря 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0578 | +A-33964406* + |
+ Высокий | +Нет** | +28 декабря 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10231 | +A-33966912 + +QC-CR#1096799 |
+ Высокий | +Pixel, Pixel XL | +29 декабря 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0579 | +A-34125463* + QC-CR#1115406 |
+ Высокий | +Nexus 5X, Nexus 6P, Pixel, Pixel XL | +5 января 2017 г. | +
CVE-2016-10232 | +A-34386696 + QC-CR#1024872 +[2] |
+ Высокий | +Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | +10 января 2017 г. | +
CVE-2016-10233 | +A-34389926 + +QC-CR#897452 |
+ Высокий | +Нет** | +10 января 2017 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте управления запуском и питанием процессора. +Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0329 | +A-34115304* + N-CVE-2017-0329 |
+ Высокий | +Pixel С | +5 января 2017 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0580 | +A-34325986* + |
+ Высокий | +Нет** | +16 января 2017 г. | +
CVE-2017-0581 | +A-34614485* + |
+ Высокий | +Нет** | +22 января 2017 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0462 | +A-33353601 + +QC-CR#1102288 |
+ Высокий | +Pixel, Pixel XL | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-6423 | +A-32831370 + +QC-CR#1103158 |
+ Высокий | +Pixel, Pixel XL | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен высокий уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-9922 | +A-32761463 + +Upstream kernel |
+ Высокий | +Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-0206 | +A-34465735 + +Upstream kernel |
+ Высокий | +Nexus 6, Nexus Player | +6 мая 2014 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Из-за этого проблеме присвоен высокий уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-3145 | +A-34469585 + Upstream kernel +[2] |
+ Высокий | +Nexus 6, Nexus Player | +9 мая 2014 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Из-за этого проблеме присвоен высокий уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-5349 | +A-29083830 + QC-CR#1021945 +[2] +[3] +[4] |
+ Высокий | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +1 июня 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Из-за этого проблеме присвоен высокий уровень серьезности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10234 | +A-34390017 + QC-CR#1069060 +[2] |
+ Высокий | +Nexus 5X, Nexus 6P, Pixel, Pixel XL | +10 января 2017 г. | +
Уязвимость позволяет злоумышленнику выполнять перезагрузку или вызывать зависание устройства с помощью специально созданного сетевого пакета. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-2706 | +A-34160553 + +Upstream kernel |
+ Высокий | +Nexus Player | +1 апреля 2014 г. | +
Уязвимость позволяет находящемуся поблизости злоумышленнику вызвать отказ в обслуживании в подсистеме Wi-Fi. Проблеме присвоен высокий уровень серьезности, поскольку она приводит к отказу в обслуживании.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10235 | +A-34390620 + +QC-CR#1046409 |
+ Высокий | +Нет** | +10 января 2017 г. | +
**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Уязвимость позволяет локальному вредоносному ПО несанкционированно выполнять произвольный код на устройстве. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-7097 | +A-32458736 + +Upstream kernel |
+ Средний | +Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player | +28 августа 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также особых условий, ограничивающих ее применение.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-6424 | +A-32086742 + +QC-CR#1102648 |
+ Средний | +Nexus 5X, Pixel, Pixel XL, Android One | +9 октября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также предотвращается текущими настройками платформы.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-8465 | +A-32474971* + B-RB#106053 |
+ Средний | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +27 октября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте контроллера датчиков. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует эксплуатации других уязвимостей.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0582 | +A-33178836* + |
+ Средний | +Nexus 9 | +28 ноября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте ядра. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса, а также особых условий, ограничивающих ее применение.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0583 | +A-32068683 + +QC-CR#1103788 |
+ Средний | +Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One | +Доступно только сотрудникам Google | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-1739 | +A-34460642 + +Upstream kernel |
+ Средний | +Nexus 6, Nexus 9, Nexus Player | +15 июня 2014 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0584 | +A-32074353* + QC-CR#1104731 |
+ Средний | +Nexus 5X, Pixel, Pixel XL | +9 октября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0585 | +A-32475556* + B-RB#112953 |
+ Средний | +Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | +27 октября 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+ +Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-5346 | +A-32551280 + +QC-CR#1097878 |
+ Средний | +Pixel, Pixel XL | +29 октября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-6425 | +A-32577085 + +QC-CR#1103689 |
+ Средний | +Pixel, Pixel XL | +29 октября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. +Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2016-10236 | +A-33280689 + +QC-CR#1102418 |
+ Средний | +Pixel, Pixel XL | +30 ноября 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0586 | +A-33649808 + QC-CR#1097569 |
+ Средний | +Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One | +13 декабря 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-6426 | +A-33644474 + +QC-CR#1106842 |
+ Средний | +Pixel, Pixel XL | +14 декабря 2016 г. | +
Уязвимость позволяет локальному вредоносному ПО получать несанкционированный доступ к данным. Проблеме присвоен средний уровень серьезности, поскольку уязвимость требует сначала нарушить защиту привилегированного процесса.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2017-0328 | +A-33898322* + N-CVE-2017-0328 |
+ Средний | +Нет** | +24 декабря 2016 г. | +
CVE-2017-0330 | +A-33899858* + N-CVE-2017-0330 |
+ Средний | +Нет** | +24 декабря 2016 г. | +
*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+**Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +Эти уязвимости затрагивают компоненты Qualcomm и описаны в бюллетенях по безопасности Qualcomm AMSS за 2014–2016 года. Они включены в этот бюллетень по безопасности Android, чтобы связать их исправления с обновлением системы безопасности.
+ +CVE | +Ссылки | +Уровень серьезности | +Обновленные устройства Google | +Дата сообщения об ошибке | +
---|---|---|---|---|
CVE-2014-9931 | +A-35445101** + QC-CR#612410 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2014-9932 | +A-35434683** + QC-CR#626734 |
+ Критический | +Pixel, Pixel XL | +Доступно только сотрудникам Qualcomm | +
CVE-2014-9933 | +A-35442512 + QC-CR#675463 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2014-9934 | +A-35439275** + QC-CR#658249 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2014-9935 | +A-35444951** + QC-CR#717626 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2014-9936 | +A-35442420** + QC-CR#727389 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2014-9937 | +A-35445102** + QC-CR#734095 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-8995 | +A-35445002** + QC-CR#733690 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-8996 | +A-35444658** + QC-CR#734698 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-8997 | +A-35432947** + QC-CR#734707 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-8998 | +A-35441175** + QC-CR#735337 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-8999 | +A-35445401** + QC-CR#736119 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-9000 | +A-35441076** + QC-CR#740632 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-9001 | +A-35445400** + QC-CR#736083 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-9002 | +A-35442421** + QC-CR#748428 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2015-9003 | +A-35440626** + QC-CR#749215 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
CVE-2016-10242 | +A-35434643** + QC-CR#985139 |
+ Критический | +Нет** | +Доступно только сотрудникам Qualcomm | +
*Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
+*Исправление не опубликовано. Обновление содержится в последних бинарных драйверах для устройств Nexus, которые можно скачать на сайте для разработчиков.
+***Эта уязвимость не затрагивает поддерживаемые устройства Google с Android 7.0, на которых установлены все доступные обновления.
+ +В этом разделе мы отвечаем на вопросы, которые могут возникнуть +после прочтения бюллетеня.
+1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
+Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
+Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:
+2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?
+Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
+Рекомендуем партнерам объединить все исправления проблем в одно обновление.
+3. Как определить, на каких устройствах Google присутствует уязвимость?
+В каждой таблице разделов с описанием уязвимостей 2017-04-01 и 2017-04-05 есть столбец Обновленные устройства Google. В нем указано, на каких устройствах присутствует уязвимость.
+4. На что указывают записи в столбце "Ссылки"?
+В таблицах с описанием уязвимостей есть столбец Ссылки. +Каждая запись в нем может содержать префикс, указывающий на +источник ссылки, а именно:
+Префикс | +Значение | +
---|---|
A- | +Идентификатор ошибки Android | +
QC- | +Ссылочный номер Qualcomm | +
M- | +Ссылочный номер MediaTek | +
N- | +Ссылочный номер NVIDIA | +
B- | +Ссылочный номер Broadcom | +
发布时间:2017 年 4 月 3 日 | 更新时间:2017 年 4 月 5 日
+Android 安全公告详细介绍了会影响 Android 设备的安全漏洞。除了公告之外,我们还通过无线下载 (OTA) 更新的方式发布了针对 Nexus 设备的安全更新。我们还在 Google Developers 网站上发布了 Google 设备固件映像。2017 年 4 月 5 日(或之后)的安全补丁程序级别均已解决所有这些问题。请参阅 Pixel 和 Nexus 更新时间表,了解如何检查设备的安全补丁程序级别。
+我们的合作伙伴在 2017 年 3 月 6 日(或之前)就已收到本公告中说明的这些问题的相关通知。我们已在 Android 开放源代码项目 (AOSP) 代码库中发布了针对相关问题的源代码补丁程序,并在本公告中提供了相应链接。本公告还提供了 AOSP 之外的补丁程序的链接。
+这些问题中危险性最高的是一个严重程度为“严重”的安全漏洞,它可能会导致在处理媒体文件的过程中,可通过电子邮件、网页和彩信等多种方式在受影响的设备上执行远程代码。严重程度评估的依据是漏洞被利用后可能会对受影响设备造成的影响大小(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。
+我们尚未收到用户因这些新报告的问题而遭到主动攻击或这些问题遭到滥用的报告。请参阅 Android 和 Google 服务缓解措施部分,详细了解 Android 安全平台防护和服务防护功能(如 SafetyNet);这些功能可提高 Android 平台的安全性。
+我们建议所有用户都在自己的设备上接受这些更新。
+ +本部分总结了 Android 安全平台和服务防护功能(如 SafetyNet)提供的缓解措施。这些功能可降低 Android 上的安全漏洞被成功利用的可能性。
+非常感谢以下研究人员做出的贡献:
+我们在下面提供了 2017-04-01 补丁程序级别涵盖的每个安全漏洞的详细信息,其中包括问题描述、严重程度阐述以及一个包含 CVE、相关参考信息、严重程度、已更新的 Google 设备、已更新的 AOSP 版本(如果适用)及报告日期的表格。在适用的情况下,我们会将 Bug ID 链接到解决相应问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。
+ +系统在处理媒体文件和数据时,Mediaserver 中的远程代码执行漏洞可让攻击者使用特制文件破坏内存。由于该漏洞可用于通过 Mediaserver 进程执行远程代码,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0538 | +A-33641588 | +严重 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 13 日 | +
CVE-2017-0539 | +A-33864300 | +严重 | +所有 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 23 日 | +
CVE-2017-0540 | +A-33966031 | +严重 | +所有 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 29 日 | +
CVE-2017-0541 | +A-34031018 | +严重 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 1 日 | +
CVE-2017-0542 | +A-33934721 | +严重 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
CVE-2017-0543 | +A-34097866 | +严重 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
CameraBase 中的提权漏洞可让本地恶意应用执行任意代码。由于该漏洞可通过特许进程在本地执行任意代码,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0544 | +A-31992879 | +高 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 6 日 | +
Audioserver 中的提权漏洞可让本地恶意应用通过特许进程执行任意代码。由于该漏洞可用于获取第三方应用通常无法获取的本地特权,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0545 | +A-32591350 | +高 | +所有 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 31 日 | +
SurfaceFlinger 中的提权漏洞可让本地恶意应用通过特许进程执行任意代码。由于该漏洞可用于获取第三方应用通常无法获取的本地特权,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0546 | +A-32628763 | +高 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 11 月 2 日 | +
Mediaserver 中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞允许全面深入地绕过将应用数据与其他应用分离开来的操作系统防护功能,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0547 | +A-33861560 | +高 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 22 日 | +
libskia 中的远程拒绝服务漏洞可让攻击者使用特制文件挂起或重新启动设备。由于该漏洞可用于远程发起拒绝服务攻击,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0548 | +A-33251605 | +高 | +所有 | +7.0、7.1.1 | +2016 年 11 月 29 日 | +
Mediaserver 中的远程拒绝服务漏洞可让攻击者使用特制文件挂起或重新启动设备。由于该漏洞可用于远程发起拒绝服务攻击,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0549 | +A-33818508 | +高 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 20 日 | +
CVE-2017-0550 | +A-33933140 | +高 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
CVE-2017-0551 | +A-34097231 [2] | +高 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
CVE-2017-0552 | +A-34097915 | +高 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
libnl 中的提权漏洞可让本地恶意应用通过 WLAN 服务执行任意代码。由于该漏洞需要先破坏特许进程,而且可由当前平台配置缓解,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0553 | +A-32342065 | +中 | +所有 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 21 日 | +
Telephony 组件中的提权漏洞可让本地恶意应用访问超出其权限范围的功能。由于该漏洞可用于获取第三方应用通常无法获取的特权,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0554 | +A-33815946 [2] | +中 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 20 日 | +
Mediaserver 中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经许可的情况下获取数据,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0555 | +A-33551775 | +中 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 12 日 | +
CVE-2017-0556 | +A-34093952 | +中 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 4 日 | +
CVE-2017-0557 | +A-34093073 | +中 | +所有 | +6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 4 日 | +
CVE-2017-0558 | +A-34056274 | +中 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
libskia 中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经许可的情况下获取数据,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0559 | +A-33897722 | +中 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 25 日 | +
恢复出厂设置进程中的信息披露漏洞可让本地恶意攻击者获取先前所有者的数据。由于该漏洞可能会让有心人士绕过设备保护机制,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2017-0560 | +A-30681079 | +中 | +所有 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +Google 内部 | +
我们在下面提供了 2017-04-05 补丁程序级别涵盖的每个安全漏洞的详细信息,其中包括问题描述、严重程度阐述以及一个包含 CVE、相关参考信息、严重程度、已更新的 Google 设备、已更新的 AOSP 版本(如果适用)及报告日期的表格。在适用的情况下,我们会将 Bug ID 链接到解决相应问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还将通过 Bug ID 后面的数字链接到更多参考信息。
+ +Broadcom WLAN 固件中的远程代码执行漏洞可让远程攻击者通过 WLAN SoC 执行任意代码。由于该漏洞可用于通过 WLAN SoC 执行远程代码,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0561 | +A-34199105* B-RB#110814 |
+ 严重 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +Qualcomm 加密引擎驱动程序中的远程代码执行漏洞可让远程攻击者通过内核执行任意代码。由于该漏洞可用于通过内核执行远程代码,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10230 | +A-34389927 + QC-CR#1091408 |
+ 严重 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2017 年 1 月 10 日 | +
内核网络子系统中的远程代码执行漏洞可让远程攻击者通过内核执行任意代码。由于该漏洞可用于通过内核执行远程代码,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10229 | +A-32813456 + 上游内核 |
+ 严重 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +Google 内部 | +
MediaTek 触摸屏驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0562 | +A-30202425* M-ALPS02898189 |
+ 严重* | +无** | +2016 年 7 月 16 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +HTC 触摸屏驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0563 | +A-32089409* + |
+ 严重 | +Nexus 9 | +2016 年 10 月 9 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +内核 ION 子系统中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0564 | +A-34276203* + |
+ 严重 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +2017 年 1 月 12 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +下列漏洞会影响 Qualcomm 组件;此外,2016 年 10 月的 Qualcomm AMSS 安全公告也对这些安全漏洞进行了详细说明。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10237 | +A-31628601** QC-CR#1046751 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2016-10238 | +A-35358527** QC-CR#1042558 |
+ 严重 | +无*** | +Qualcomm 内部 | +
CVE-2016-10239 | +A-31624618** QC-CR#1032929 |
+ 高 | +Pixel、Pixel XL | +Qualcomm 内部 | +
* 这些漏洞的严重程度评级由供应商决定。
+* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+*** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +v8 中的远程代码执行漏洞可让远程攻击者通过特许进程执行任意代码。由于该漏洞可用于在网站中执行远程代码,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2016-5129 | +A-29178923 | +高 | +无* | +6.0、6.0.1、7.0 | +2016 年 7 月 20 日 | +
* 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +Freetype 中的远程代码执行漏洞可让本地恶意应用加载特制字体,以通过非特许进程破坏内存。由于该漏洞可用于在使用此库的应用中执行远程代码,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +已更新的 AOSP 版本 | +报告日期 | +
---|---|---|---|---|---|
CVE-2016-10244 | +A-31470908 | +高 | +无* | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | +2016 年 9 月 13 日 | +
* 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +内核声音子系统中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-4656 | +A-34464977 + 上游内核 |
+ 高 | +Nexus 6、Nexus Player | +2014 年 6 月 26 日 | +
NVIDIA 加密驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0339 | +A-27930566* N-CVE-2017-0339 |
+ 高 | +Nexus 9 | +2016 年 3 月 29 日 | +
CVE-2017-0332 | +A-33812508* N-CVE-2017-0332 |
+ 高 | +Nexus 9 | +2016 年 12 月 21 日 | +
CVE-2017-0327 | +A-33893669* N-CVE-2017-0327 |
+ 高 | +Nexus 9 | +2016 年 12 月 24 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +MediaTek 热驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0565 | +A-28175904* M-ALPS02696516 |
+ 高 | +无** | +2016 年 4 月 11 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +MediaTek 相机驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0566 | +A-28470975* M-ALPS02696367 |
+ 高 | +无** | +2016 年 4 月 29 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +Broadcom WLAN 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0567 | +A-32125310* B-RB#112575 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 12 日 | +
CVE-2017-0568 | +A-34197514* B-RB#112600 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0569 | +A-34198729* B-RB#110666 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0570 | +A-34199963* B-RB#110688 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0571 | +A-34203305* B-RB#111541 |
+ 高 | +Nexus 6、Nexus 6P、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0572 | +A-34198931* B-RB#112597 |
+ 高 | +无** | +2017 年 1 月 9 日 | +
CVE-2017-0573 | +A-34469904* B-RB#91539 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 18 日 | +
CVE-2017-0574 | +A-34624457* B-RB#113189 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C | +2017 年 1 月 22 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +Qualcomm WLAN 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0575 | +A-32658595* QC-CR#1103099 |
+ 高 | +Nexus 5X、Pixel、Pixel XL | +2016 年 11 月 3 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +NVIDIA I2C HID 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0325 | +A-33040280* N-CVE-2017-0325 |
+ 高 | +Nexus 9、Pixel C | +2016 年 11 月 20 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +Qualcomm 音频驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0454 | +A-33353700 + QC-CR#1104067 |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2016 年 12 月 5 日 | +
Qualcomm 加密引擎驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0576 | +A-33544431 + QC-CR#1103089 |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 12 月 9 日 | +
HTC 触摸屏驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0577 | +A-33842951* + |
+ 高 | +无** | +2016 年 12 月 21 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +DTS 声音驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0578 | +A-33964406* + |
+ 高 | +无** | +2016 年 12 月 28 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +Qualcomm 声音编解码器驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10231 | +A-33966912 + QC-CR#1096799 |
+ 高 | +Pixel、Pixel XL | +2016 年 12 月 29 日 | +
Qualcomm 视频驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0579 | +A-34125463* QC-CR#1115406 |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2017 年 1 月 5 日 | +
CVE-2016-10232 | +A-34386696 + QC-CR#1024872 [2] |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | +2017 年 1 月 10 日 | +
CVE-2016-10233 | +A-34389926 + QC-CR#897452 |
+ 高 | +无** | +2017 年 1 月 10 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +NVIDIA 启动和电源管理处理器驱动程序中的提权漏洞可让本地恶意应用通过启动和电源管理处理器执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0329 | +A-34115304* N-CVE-2017-0329 |
+ 高 | +Pixel C | +2017 年 1 月 5 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +Synaptics 触摸屏驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0580 | +A-34325986* + |
+ 高 | +无** | +2017 年 1 月 16 日 | +
CVE-2017-0581 | +A-34614485* + |
+ 高 | +无** | +2017 年 1 月 22 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +Qualcomm Seemp 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0462 | +A-33353601 + QC-CR#1102288 |
+ 高 | +Pixel、Pixel XL | +Google 内部 | +
Qualcomm Kyro L2 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-6423 | +A-32831370 + QC-CR#1103158 |
+ 高 | +Pixel、Pixel XL | +Google 内部 | +
内核文件系统中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-9922 | +A-32761463 + 上游内核 |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +Google 内部 | +
内核内存子系统中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-0206 | +A-34465735 + 上游内核 |
+ 高 | +Nexus 6、Nexus Player | +2014 年 5 月 6 日 | +
内核网络子系统中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-3145 | +A-34469585 + 上游内核 [2] |
+ 高 | +Nexus 6、Nexus Player | +2014 年 5 月 9 日 | +
Qualcomm TrustZone 中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-5349 | +A-29083830 + QC-CR#1021945 [2] [3] [4] |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 6 月 1 日 | +
Qualcomm IPA 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10234 | +A-34390017 + QC-CR#1069060 [2] |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2017 年 1 月 10 日 | +
内核网络子系统中的拒绝服务漏洞可让远程攻击者使用特制网络数据包挂起或重新启动设备。由于该漏洞可用于远程发起拒绝服务攻击,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-2706 | +A-34160553 + 上游内核 |
+ 高 | +Nexus Player | +2014 年 4 月 1 日 | +
Qualcomm WLAN 驱动程序中的拒绝服务漏洞可让邻近区域内的攻击者通过 WLAN 子系统导致拒绝服务。由于该漏洞可用于远程发起拒绝服务攻击,因此我们将其严重程度评为“高”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10235 | +A-34390620 + QC-CR#1046409 |
+ 高 | +无** | +2017 年 1 月 10 日 | +
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +内核文件系统中的提权漏洞可让本地恶意应用超出其权限范围执行任意代码。由于该漏洞需要先破坏特许进程,而且可由当前平台配置缓解,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-7097 | +A-32458736 + 上游内核 |
+ 中 | +Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Nexus Player | +2016 年 8 月 28 日 | +
Qualcomm WLAN 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,且漏洞特定详细信息限制了此问题的影响程度,因此我们将该漏洞的严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-6424 | +A-32086742 + QC-CR#1102648 |
+ 中 | +Nexus 5X、Pixel、Pixel XL、Android One | +2016 年 10 月 9 日 | +
Broadcom WLAN 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,而且可由当前平台配置缓解,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-8465 | +A-32474971* B-RB#106053 |
+ 中 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 27 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +HTC OEM fastboot 命令中的提权漏洞可让本地恶意应用通过传感器中枢执行任意代码。由于该漏洞的攻击行为必须发生在另一个漏洞攻击行为之后,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0582 | +A-33178836* + |
+ 中 | +Nexus 9 | +2016 年 11 月 28 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +Qualcomm CP 访问驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,且漏洞特定详细信息限制了此问题的影响程度,因此我们将该漏洞的严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0583 | +A-32068683 + QC-CR#1103788 |
+ 中 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | +Google 内部 | +
内核媒体驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-1739 | +A-34460642 + 上游内核 |
+ 中 | +Nexus 6、Nexus 9、Nexus Player | +2014 年 6 月 15 日 | +
Qualcomm WLAN 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0584 | +A-32074353* QC-CR#1104731 |
+ 中 | +Nexus 5X、Pixel、Pixel XL | +2016 年 10 月 9 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +Broadcom WLAN 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0585 | +A-32475556* B-RB#112953 |
+ 中 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 27 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+ +Qualcomm Avtimer 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-5346 | +A-32551280 + QC-CR#1097878 |
+ 中 | +Pixel、Pixel XL | +2016 年 10 月 29 日 | +
Qualcomm 视频驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-6425 | +A-32577085 + QC-CR#1103689 |
+ 中 | +Pixel、Pixel XL | +2016 年 10 月 29 日 | +
Qualcomm USB 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2016-10236 | +A-33280689 + QC-CR#1102418 |
+ 中 | +Pixel、Pixel XL | +2016 年 11 月 30 日 | +
Qualcomm 声音驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0586 | +A-33649808 QC-CR#1097569 |
+ 中 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 12 月 13 日 | +
Qualcomm SPMI 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-6426 | +A-33644474 + QC-CR#1106842 |
+ 中 | +Pixel、Pixel XL | +2016 年 12 月 14 日 | +
NVIDIA 加密驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2017-0328 | +A-33898322* N-CVE-2017-0328 |
+ 中 | +无** | +2016 年 12 月 24 日 | +
CVE-2017-0330 | +A-33899858* N-CVE-2017-0330 |
+ 中 | +无** | +2016 年 12 月 24 日 | +
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +下列影响 Qualcomm 组件的漏洞已包含在 2014-2016 年发布的 Qualcomm AMSS 安全公告内容中。此 Android 安全公告中也包含这些漏洞,旨在将其修复方案与 Android 安全补丁程序级别建立关联。
+ +CVE | +参考信息 | +严重程度 | +已更新的 Google 设备 | +报告日期 | +
---|---|---|---|---|
CVE-2014-9931 | +A-35445101** QC-CR#612410 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2014-9932 | +A-35434683** QC-CR#626734 |
+ 严重 | +Pixel、Pixel XL | +Qualcomm 内部 | +
CVE-2014-9933 | +A-35442512 QC-CR#675463 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2014-9934 | +A-35439275** QC-CR#658249 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2014-9935 | +A-35444951** QC-CR#717626 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2014-9936 | +A-35442420** QC-CR#727389 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2014-9937 | +A-35445102** QC-CR#734095 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-8995 | +A-35445002** QC-CR#733690 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-8996 | +A-35444658** QC-CR#734698 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-8997 | +A-35432947** QC-CR#734707 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-8998 | +A-35441175** QC-CR#735337 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-8999 | +A-35445401** QC-CR#736119 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-9000 | +A-35441076** QC-CR#740632 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-9001 | +A-35445400** QC-CR#736083 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-9002 | +A-35442421** QC-CR#748428 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2015-9003 | +A-35440626** QC-CR#749215 |
+ 严重 | +无** | +Qualcomm 内部 | +
CVE-2016-10242 | +A-35434643** QC-CR#985139 |
+ 严重 | +无** | +Qualcomm 内部 | +
* 这些漏洞的严重程度评级由供应商决定。
+* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
+*** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
+ +本部分针对阅读本公告后可能产生的常见问题提供了相应的解答。
+1. 如何确定我的设备是否已更新到解决了这些问题的版本?
+要了解如何检查设备的安全补丁程序级别,请阅读 Pixel 和 Nexus 更新时间表中的说明。
+提供这些更新的设备制造商应将补丁程序字符串级别设为:
+2. 为何此公告有 2 个安全补丁程序级别?
+本公告有 2 个安全补丁程序级别,目的是让 Android 合作伙伴能够灵活地、更快速地修复所有 Android 设备上类似的一系列漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。
+我们建议合作伙伴在一次更新中汇总要解决的所有问题的修复方案。
+3. 如何确定各个问题都会影响哪些 Google 设备?
+在 2017-04-01 和 2017-04-05 安全漏洞详情部分,每个表均包含“已更新的 Google 设备”列,其中列出了已针对每个问题更新过的受影响的 Google 设备系列。此列有以下几种情形:
+4.“参考信息”列中的条目对应的是什么内容?
+漏洞详情表的“参考信息”列中的条目可能包含用于标识参考值所属组织的前缀。这些前缀的含义如下:
+前缀 | +参考信息 | +
---|---|
A- | +Android Bug ID | +
QC- | +Qualcomm 参考编号 | +
M- | +MediaTek 参考编号 | +
N- | +NVIDIA 参考编号 | +
B- | +Broadcom 参考编号 | +
發佈日期:2017 年 4 月 3 日 | 更新日期:2017 年 4 月 5 日
+Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。在這篇公告發佈的同時,Google 已透過 OTA 更新機制發佈了 Google 裝置的安全性更新。此外,Google 韌體映像檔也已經發佈到 Google Developers 網站上。2017 年 4 月 5 日之後的安全修補等級已解決了這些已提及的所有問題。要瞭解如何查看裝置的安全修補等級,請參閱 Pixel 與 Nexus 更新時間表。
+我們的合作夥伴在 2017 年 3 月 6 日當天或更早之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。
+在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。
+針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果您想進一步瞭解 Android 安全性平台防護措施和服務防護措施 (例如 SafetyNet) 如何加強 Android 平台的安全性,請參閱 Android 和 Google 服務因應措施一節。
+我們建議所有客戶接受這些裝置更新。
+ +本節概述 Android 安全性平台和 SafetyNet 等服務防護方案針對資安漏洞所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。
+感謝以下研究人員做出的貢獻:
+下列各節針對 2017-04-01 安全修補等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。
+ +在媒體檔案和資料的處理期間,媒體伺服器中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案造成記憶體出錯。由於這個問題可能會讓遠端程式碼在媒體伺服器程序環境內執行,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0538 | +A-33641588 | +最高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 13 日 | +
CVE-2017-0539 | +A-33864300 | +最高 | +全部 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 23 日 | +
CVE-2017-0540 | +A-33966031 | +最高 | +全部 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 29 日 | +
CVE-2017-0541 | +A-34031018 | +最高 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 1 日 | +
CVE-2017-0542 | +A-33934721 | +最高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
CVE-2017-0543 | +A-34097866 | +最高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
CameraBase 中的權限升級漏洞可能會讓本機惡意應用程式執行任何指令。由於這個問題可讓攻擊者藉由獲得授權的本機程序執行任何指令,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0544 | +A-31992879 | +高 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 6 日 | +
音訊伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可被利用來取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0545 | +A-32591350 | +高 | +全部 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 31 日 | +
SurfaceFlinger 中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可用於取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0546 | +A-32628763 | +高 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 11 月 2 日 | +
媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊可規避作業系統為了將應用程式資料與其他應用程式隔離而採取的防護措施,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0547 | +A-33861560 | +高 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 22 日 | +
libskia 中的拒絕服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0548 | +A-33251605 | +高 | +全部 | +7.0、7.1.1 | +2016 年 11 月 29 日 | +
媒體伺服器中的遠端拒絕服務漏洞可能會讓攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0549 | +A-33818508 | +高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 20 日 | +
CVE-2017-0550 | +A-33933140 | +高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
CVE-2017-0551 | +A-34097231 + [2] | +高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
CVE-2017-0552 | +A-34097915 | +高 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
libnl 中的權限升級漏洞可能會讓本機惡意應用程式在 Wi-Fi 服務環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而目前平台的設定可進行防範,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0553 | +A-32342065 | +中 | +全部 | +5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 10 月 21 日 | +
電話通訊系統中的權限升級漏洞可能會讓本機惡意應用程式存取其權限等級以外的功能。由於這個問題可用來取得某些進階功能的存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0554 | +A-33815946 + [2] | +中 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 20 日 | +
媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲授權的情況下存取資料,因此嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0555 | +A-33551775 | +中 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 12 日 | +
CVE-2017-0556 | +A-34093952 | +中 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 4 日 | +
CVE-2017-0557 | +A-34093073 | +中 | +全部 | +6.0、6.0.1、7.0、7.1.1 | +2017 年 1 月 4 日 | +
CVE-2017-0558 | +A-34056274 | +中 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
libskia 中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲授權的情況下存取資料,因此嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0559 | +A-33897722 | +中 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +2016 年 12 月 25 日 | +
恢復原廠設定程序中的資訊外洩漏洞可能會讓本機惡意攻擊者存取上一位擁有者的資料。由於這個問題或許可用於規避裝置保護措施,因此嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2017-0560 | +A-30681079 | +中 | +全部 | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | +Google 內部 | +
下列各節針對 2017-04-05 安全修補等級適用的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。
+ +Broadcom Wi-Fi 韌體中的遠端程式碼執行漏洞可能會讓遠端攻擊者在 Wi-Fi SoC 環境內執行任何指令。由於這個問題可能會讓遠端程式碼在 Wi-Fi SoC 環境內執行,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0561 | +A-34199105* + B-RB#110814 |
+ 最高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +Qualcomm 加密編譯引擎驅動程式中的遠端程式碼執行漏洞可能會讓遠端攻擊者在核心環境內執行任何指令。由於這個問題可能會讓遠端程式碼在核心環境內執行,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10230 | +A-34389927 + +QC-CR#1091408 |
+ 最高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2017 年 1 月 10 日 | +
核心網路子系統中的遠端程式碼執行漏洞可能會讓遠端攻擊者在核心環境內執行任何指令。由於這個問題可能會讓遠端程式碼在核心環境內執行,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10229 | +A-32813456 + +上游程式庫核心 |
+ 最高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +Google 內部 | +
MediaTek 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0562 | +A-30202425* + M-ALPS02898189 |
+ 最高* | +無** | +2016 年 7 月 16 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +HTC 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0563 | +A-32089409* + |
+ 最高 | +Nexus 9 | +2016 年 10 月 9 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +核心 ION 子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0564 | +A-34276203* + |
+ 最高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +2017 年 1 月 12 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考 2016 年 10 月的 Qualcomm AMSS 安全性公告。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10237 | +A-31628601** + QC-CR#1046751 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2016-10238 | +A-35358527** + QC-CR#1042558 |
+ 最高 | +無*** | +Qualcomm 內部 | +
CVE-2016-10239 | +A-31624618** + QC-CR#1032929 |
+ 高 | +Pixel、Pixel XL | +Qualcomm 內部 | +
* 這些漏洞的嚴重程度是由廠商自行評定。
+* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+*** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +v8 中的遠端程式碼執行漏洞可能會讓遠端攻擊者在獲得授權的程序環境內執行任何指令。由於這個問題可能會讓遠端程式碼在網站中執行,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2016-5129 | +A-29178923 | +高 | +無* | +6.0、6.0.1、7.0 | +2016 年 7 月 20 日 | +
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +Freetype 中的遠端程式碼執行漏洞可能會讓本機惡意應用程式在未獲授權的程序中,載入特製字型造成記憶體出錯。由於這個問題可能會讓遠端程式碼在使用這個程式庫的應用程式中執行,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +更新的 AOSP 版本 | +回報日期 | +
---|---|---|---|---|---|
CVE-2016-10244 | +A-31470908 | +高 | +無* | +4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | +2016 年 9 月 13 日 | +
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +核心音效子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-4656 | +A-34464977 + +上游程式庫核心 |
+ 高 | +Nexus 6、Nexus Player | +2014 年 6 月 26 日 | +
NVIDIA 加密編譯驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0339 | +A-27930566* + N-CVE-2017-0339 |
+ 高 | +Nexus 9 | +2016 年 3 月 29 日 | +
CVE-2017-0332 | +A-33812508* + N-CVE-2017-0332 |
+ 高 | +Nexus 9 | +2016 年 12 月 21 日 | +
CVE-2017-0327 | +A-33893669* + N-CVE-2017-0327 |
+ 高 | +Nexus 9 | +2016 年 12 月 24 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +MediaTek 熱能感知驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0565 | +A-28175904* + M-ALPS02696516 |
+ 高 | +無** | +2016 年 4 月 11 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +MediaTek 相機驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0566 | +A-28470975* + M-ALPS02696367 |
+ 高 | +無** | +2016 年 4 月 29 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0567 | +A-32125310* + B-RB#112575 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 12 日 | +
CVE-2017-0568 | +A-34197514* + B-RB#112600 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0569 | +A-34198729* + B-RB#110666 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0570 | +A-34199963* + B-RB#110688 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0571 | +A-34203305* + B-RB#111541 |
+ 高 | +Nexus 6、Nexus 6P、Pixel C、Nexus Player | +2017 年 1 月 9 日 | +
CVE-2017-0572 | +A-34198931* + B-RB#112597 |
+ 高 | +無** | +2017 年 1 月 9 日 | +
CVE-2017-0573 | +A-34469904* + B-RB#91539 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2017 年 1 月 18 日 | +
CVE-2017-0574 | +A-34624457* + B-RB#113189 |
+ 高 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C | +2017 年 1 月 22 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +Qualcomm Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0575 | +A-32658595* + QC-CR#1103099 |
+ 高 | +Nexus 5X、Pixel、Pixel XL | +2016 年 11 月 3 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +NVIDIA I2C HID 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0325 | +A-33040280* + N-CVE-2017-0325 |
+ 高 | +Nexus 9、Pixel C | +2016 年 11 月 20 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +Qualcomm 音效驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0454 | +A-33353700 + +QC-CR#1104067 |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2016 年 12 月 5 日 | +
Qualcomm 加密編譯引擎驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0576 | +A-33544431 + +QC-CR#1103089 |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 12 月 9 日 | +
HTC 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0577 | +A-33842951* + |
+ 高 | +無** | +2016 年 12 月 21 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +DTS 音效驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0578 | +A-33964406* + |
+ 高 | +無** | +2016 年 12 月 28 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +Qualcomm 音訊轉碼器驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10231 | +A-33966912 + +QC-CR#1096799 |
+ 高 | +Pixel、Pixel XL | +2016 年 12 月 29 日 | +
Qualcomm 視訊驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何程式碼。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0579 | +A-34125463* + QC-CR#1115406 |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2017 年 1 月 5 日 | +
CVE-2016-10232 | +A-34386696 + +QC-CR#1024872 +[2] |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | +2017 年 1 月 10 日 | +
CVE-2016-10233 | +A-34389926 + +QC-CR#897452 |
+ 高 | +無** | +2017 年 1 月 10 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +NVIDIA 啟動和電源管理處理器驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在啟動和電源管理處理器環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0329 | +A-34115304* + N-CVE-2017-0329 |
+ 高 | +Pixel C | +2017 年 1 月 5 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +Synaptics 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0580 | +A-34325986* + |
+ 高 | +無** | +2017 年 1 月 16 日 | +
CVE-2017-0581 | +A-34614485* + |
+ 高 | +無** | +2017 年 1 月 22 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +Qualcomm Seemp 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0462 | +A-33353601 + +QC-CR#1102288 |
+ 高 | +Pixel、Pixel XL | +Google 內部 | +
Qualcomm Kyro L2 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-6423 | +A-32831370 + +QC-CR#1103158 |
+ 高 | +Pixel、Pixel XL | +Google 內部 | +
核心檔案系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-9922 | +A-32761463 + +上游程式庫核心 |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | +Google 內部 | +
核心記憶體子系統中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-0206 | +A-34465735 + +上游程式庫核心 |
+ 高 | +Nexus 6、Nexus Player | +2014 年 5 月 6 日 | +
核心網路子系統中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能讓有心人士在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-3145 | +A-34469585 + +上游程式庫核心 +[2] |
+ 高 | +Nexus 6、Nexus Player | +2014 年 5 月 9 日 | +
Qualcomm TrustZone 中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-5349 | +A-29083830 + +QC-CR#1021945 +[2] +[3] +[4] |
+ 高 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 6 月 1 日 | +
Qualcomm IPA 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10234 | +A-34390017 + +QC-CR#1069060 +[2] |
+ 高 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL | +2017 年 1 月 10 日 | +
核心網路子系統中的拒絕服務漏洞可能會讓遠端攻擊者能利用特製網路封包造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-2706 | +A-34160553 + +上游程式庫核心 |
+ 高 | +Nexus Player | +2014 年 4 月 1 日 | +
Qualcomm Wi-Fi 驅動程式中的拒絕服務漏洞可能會讓鄰近的攻擊者在 Wi-Fi 子系統中造成拒絕服務。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10235 | +A-34390620 + +QC-CR#1046409 |
+ 高 | +無** | +2017 年 1 月 10 日 | +
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +核心檔案系統中的權限升級漏洞可能會讓本機惡意應用程式執行其權限等級以外的任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而目前平台的設定可進行防範,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-7097 | +A-32458736 + +上游程式庫核心 |
+ 中 | +Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Nexus Player | +2016 年 8 月 28 日 | +
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而且由此漏洞的影響層面受限於某些技術性因素,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-6424 | +A-32086742 + +QC-CR#1102648 |
+ 中 | +Nexus 5X、Pixel、Pixel XL、Android One | +2016 年 10 月 9 日 | +
Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而目前平台的設定可進行防範,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-8465 | +A-32474971* + B-RB#106053 |
+ 中 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 27 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +HTC OEM 快速開機命令中的權限升級漏洞可能會讓本機惡意應用程式在感應器中樞環境內執行任何指令。由於這種攻擊還必須配合其他的漏洞才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0582 | +A-33178836* + |
+ 中 | +Nexus 9 | +2016 年 11 月 28 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +Qualcomm CP 存取驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而且由此漏洞的影響層面受限於某些技術性因素,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0583 | +A-32068683 + +QC-CR#1103788 |
+ 中 | +Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | +Google 內部 | +
核心媒體驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-1739 | +A-34460642 + +上游程式庫核心 |
+ 中 | +Nexus 6、Nexus 9、Nexus Player | +2014 年 6 月 15 日 | +
Qualcomm Wi-Fi 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0584 | +A-32074353* + QC-CR#1104731 |
+ 中 | +Nexus 5X、Pixel、Pixel XL | +2016 年 10 月 9 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +Broadcom Wi-Fi 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0585 | +A-32475556* + B-RB#112953 |
+ 中 | +Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | +2016 年 10 月 27 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+ +Qualcomm Avtimer 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-5346 | +A-32551280 + +QC-CR#1097878 |
+ 中 | +Pixel、Pixel XL | +2016 年 10 月 29 日 | +
Qualcomm 視訊驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-6425 | +A-32577085 + +QC-CR#1103689 |
+ 中 | +Pixel、Pixel XL | +2016 年 10 月 29 日 | +
Qualcomm USB 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2016-10236 | +A-33280689 + +QC-CR#1102418 |
+ 中 | +Pixel、Pixel XL | +2016 年 11 月 30 日 | +
Qualcomm 音效驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0586 | +A-33649808 + QC-CR#1097569 |
+ 中 | +Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | +2016 年 12 月 13 日 | +
Qualcomm SPMI 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-6426 | +A-33644474 + +QC-CR#1106842 |
+ 中 | +Pixel、Pixel XL | +2016 年 12 月 14 日 | +
NVIDIA 加密編譯驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2017-0328 | +A-33898322* + N-CVE-2017-0328 |
+ 中 | +無** | +2016 年 12 月 24 日 | +
CVE-2017-0330 | +A-33899858* + N-CVE-2017-0330 |
+ 中 | +無** | +2016 年 12 月 24 日 | +
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考 2014 至 2016 年之間發佈的 Qualcomm AMSS 安全性公告。我們在這個 Android 安全性公告中列出這些漏洞,方便使用者確認漏洞修正程式及其相對應的 Android 安全修補等級。
+ +CVE | +參考資料 | +嚴重程度 | +更新的 Google 裝置 | +回報日期 | +
---|---|---|---|---|
CVE-2014-9931 | +A-35445101** + QC-CR#612410 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2014-9932 | +A-35434683** + QC-CR#626734 |
+ 最高 | +Pixel、Pixel XL | +Qualcomm 內部 | +
CVE-2014-9933 | +A-35442512 + QC-CR#675463 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2014-9934 | +A-35439275** + QC-CR#658249 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2014-9935 | +A-35444951** + QC-CR#717626 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2014-9936 | +A-35442420** + QC-CR#727389 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2014-9937 | +A-35445102** + QC-CR#734095 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-8995 | +A-35445002** + QC-CR#733690 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-8996 | +A-35444658** + QC-CR#734698 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-8997 | +A-35432947** + QC-CR#734707 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-8998 | +A-35441175** + QC-CR#735337 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-8999 | +A-35445401** + QC-CR#736119 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-9000 | +A-35441076** + QC-CR#740632 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-9001 | +A-35445400** + QC-CR#736083 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-9002 | +A-35442421** + QC-CR#748428 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2015-9003 | +A-35440626** + QC-CR#749215 |
+ 最高 | +無** | +Qualcomm 內部 | +
CVE-2016-10242 | +A-35434643** + QC-CR#985139 |
+ 最高 | +無** | +Qualcomm 內部 | +
* 這些漏洞的嚴重程度是由廠商自行評定。
+* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
+*** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
+ +如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
+1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
+要瞭解如何查看裝置的安全修補等級,請詳讀 Pixel 和 Nexus 更新時間表中的操作說明。
+提供這些更新的裝置製造商應將修補程式字串等級設定為:
+2. 為什麼這篇公告有兩種安全修補等級?
+本公告有兩種安全修補等級,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全修補等級。
+我們建議合作夥伴將所要解決的所有問題適用修補程式包裝在單一更新中。
+3. 如何判斷哪些 Google 裝置會受到哪種問題的影響?
+在 2017-04-01 和 2017-04-05 安全性漏洞詳情的章節中,每個表格都包含「更新的 Google 裝置」欄,當中列出已針對各個問題進行更新的受影響 Google 裝置範圍。此欄中的選項包括:
+4. 參考資料欄中的項目會對應到什麼?
+資安漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的公司。這些前置字元代表的意義如下:
+前置字元 | +參考資料 | +
---|---|
A- | +Android 錯誤 ID | +
QC- | +Qualcomm 參考編號 | +
M- | +MediaTek 參考編號 | +
N- | +NVIDIA 參考編號 | +
B- | +Broadcom 參考編號 | +