发布时间:2017 年 3 月 6 日 | 更新时间:2017 年 3 月 7 日
Android 安全公告详细介绍了会影响 Android 设备的安全漏洞。除了公告之外,我们还通过无线下载 (OTA) 更新的方式发布了针对 Google 设备的安全更新。我们还在 Google Developers 网站上发布了 Google 设备固件映像。2017 年 3 月 5 日(或之后)的安全补丁程序级别均已解决所有这些问题。请参阅 Pixel 和 Nexus 更新时间表,了解如何检查设备的安全补丁程序级别。
我们的合作伙伴在 2017 年 2 月 6 日(或之前)就已收到本公告中说明的这些问题的相关通知。我们已在 Android 开放源代码项目 (AOSP) 代码库中发布了针对相关问题的源代码补丁程序,并在本公告中提供了相应链接。 本公告还提供了 AOSP 之外的补丁程序的链接。
这些问题中危险性最高的是一个严重程度为“严重”的安全漏洞,它可能会导致在处理媒体文件的过程中,可通过电子邮件、网页和彩信等多种方式在受影响的设备上执行远程代码。
我们尚未收到用户因这些新报告的问题而遭到主动攻击或这些问题遭到滥用的报告。请参阅 Android 和 Google 服务缓解措施部分,详细了解 Android 安全平台防护和服务防护功能(如 SafetyNet);这些功能可提高 Android 平台的安全性。
我们建议所有用户都在自己的设备上接受这些更新。
下表列出了安全漏洞、对应的 CVE(常见漏洞和风险识别码)、评估得出的严重程度以及是否会影响 Google 设备。严重程度评估的依据是漏洞被利用后可能会对受影响设备造成的影响大小(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。
2017-03-01(或之后)的安全补丁程序级别都必须解决下列问题。
| 问题 | CVE | 严重程度 | 是否会影响 Google 设备? |
|---|---|---|---|
| OpenSSL 和 BoringSSL 中的远程代码执行漏洞 | CVE-2016-2182 | 严重 | 是 |
| Mediaserver 中的远程代码执行漏洞 | CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0474 | 严重 | 是 |
| recovery 验证程序中的提权漏洞 | CVE-2017-0475 | 严重 | 是 |
| AOSP 短信中的远程代码执行漏洞 | CVE-2017-0476 | 高 | 是 |
| libgdx 中的远程代码执行漏洞 | CVE-2017-0477 | 高 | 是 |
| Framesequence 库中的远程代码执行漏洞 | CVE-2017-0478 | 高 | 是 |
| NFC 中的提权漏洞 | CVE-2017-0481 | 高 | 是 |
| Audioserver 中的提权漏洞 | CVE-2017-0479、CVE-2017-0480 | 高 | 是 |
| Mediaserver 中的拒绝服务漏洞 | CVE-2017-0482、CVE-2017-0483、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0488 | 高 | 是 |
| 地理位置信息管理器中的提权漏洞 | CVE-2017-0489 | 中 | 是 |
| WLAN 中的提权漏洞 | CVE-2017-0490 | 中 | 是 |
| 软件包管理器中的提权漏洞 | CVE-2017-0491 | 中 | 是 |
| 系统界面中的提权漏洞 | CVE-2017-0492 | 中 | 是 |
| AOSP 短信中的信息披露漏洞 | CVE-2017-0494 | 中 | 是 |
| Mediaserver 中的信息披露漏洞 | CVE-2017-0495 | 中 | 是 |
| 设置向导中的拒绝服务漏洞 | CVE-2017-0496 | 中 | 是 |
| Mediaserver 中的拒绝服务漏洞 | CVE-2017-0497 | 中 | 是 |
| 设置向导中的拒绝服务漏洞 | CVE-2017-0498 | 中 | 否* |
| Audioserver 中的拒绝服务漏洞 | CVE-2017-0499 | 低 | 是 |
* 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
2017-03-05(或之后)的安全补丁程序级别都必须解决 2017-03-01 的所有问题以及下列问题。
| 问题 | CVE | 严重程度 | 是否会影响 Google 设备? |
|---|---|---|---|
| MediaTek 组件中的提权漏洞 | CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0504、CVE-2017-0505、CVE-2017-0506 | 严重 | 否* |
| NVIDIA GPU 驱动程序中的提权漏洞 | CVE-2017-0337、CVE-2017-0338、CVE-2017-0333、CVE-2017-0306、CVE-2017-0335 | 严重 | 是 |
| 内核 ION 子系统中的提权漏洞 | CVE-2017-0507、CVE-2017-0508 | 严重 | 是 |
| Broadcom WLAN 驱动程序中的提权漏洞 | CVE-2017-0509 | 严重 | 否* |
| 内核 FIQ 调试程序中的提权漏洞 | CVE-2017-0510 | 严重 | 是 |
| Qualcomm GPU 驱动程序中的提权漏洞 | CVE-2016-8479 | 严重 | 是 |
| 内核网络子系统中的提权漏洞 | CVE-2016-9806、CVE-2016-10200 | 严重 | 是 |
| Qualcomm 组件中的漏洞 | CVE-2016-8484、CVE-2016-8485、CVE-2016-8486、CVE-2016-8487、CVE-2016-8488 | 严重 | 否* |
| 内核网络子系统中的提权漏洞 | CVE-2016-8655、CVE-2016-9793 | 高 | 是 |
| Qualcomm 输入硬件驱动程序中的提权漏洞 | CVE-2017-0516 | 高 | 是 |
| MediaTek 硬件传感器驱动程序中的提权漏洞 | CVE-2017-0517 | 高 | 否* |
| Qualcomm ADSPRPC 驱动程序中的提权漏洞 | CVE-2017-0457 | 高 | 是 |
| Qualcomm 指纹传感器驱动程序中的提权漏洞 | CVE-2017-0518、CVE-2017-0519 | 高 | 是 |
| Qualcomm 加密引擎驱动程序中的提权漏洞 | CVE-2017-0520 | 高 | 是 |
| Qualcomm 相机驱动程序中的提权漏洞 | CVE-2017-0458、CVE-2017-0521 | 高 | 是 |
| MediaTek APK 中的提权漏洞 | CVE-2017-0522 | 高 | 否* |
| Qualcomm WLAN 驱动程序中的提权漏洞 | CVE-2017-0464、CVE-2017-0453、CVE-2017-0523 | 高 | 是 |
| Synaptics 触摸屏驱动程序中的提权漏洞 | CVE-2017-0524 | 高 | 是 |
| Qualcomm IPA 驱动程序中的提权漏洞 | CVE-2017-0456、CVE-2017-0525 | 高 | 是 |
| HTC 传感器中枢驱动程序中的提权漏洞 | CVE-2017-0526、CVE-2017-0527 | 高 | 是 |
| NVIDIA GPU 驱动程序中的提权漏洞 | CVE-2017-0307 | 高 | 否* |
| Qualcomm 网络驱动程序中的提权漏洞 | CVE-2017-0463、CVE-2017-0460 | 高 | 是 |
| 内核安全子系统中的提权漏洞 | CVE-2017-0528 | 高 | 是 |
| Qualcomm SPCom 驱动程序中的提权漏洞 | CVE-2016-5856、CVE-2016-5857 | 高 | 否* |
| 内核网络子系统中的信息披露漏洞 | CVE-2014-8709 | 高 | 是 |
| MediaTek 驱动程序中的信息披露漏洞 | CVE-2017-0529 | 高 | 否* |
| Qualcomm 引导加载程序中的信息披露漏洞 | CVE-2017-0455 | 高 | 是 |
| Qualcomm 电源驱动程序中的信息披露漏洞 | CVE-2016-8483 | 高 | 是 |
| NVIDIA GPU 驱动程序中的信息披露漏洞 | CVE-2017-0334、CVE-2017-0336 | 高 | 是 |
| 内核加密子系统中的拒绝服务漏洞 | CVE-2016-8650 | 高 | 是 |
| Qualcomm 相机驱动程序中的提权漏洞(仅特定设备) | CVE-2016-8417 | 中 | 是 |
| Qualcomm WLAN 驱动程序中的信息披露漏洞 | CVE-2017-0461、CVE-2017-0459、CVE-2017-0531 | 中 | 是 |
| MediaTek 视频编解码器驱动程序中的信息披露漏洞 | CVE-2017-0532 | 中 | 否* |
| Qualcomm 视频驱动程序中的信息披露漏洞 | CVE-2017-0533、CVE-2017-0534、CVE-2016-8416、CVE-2016-8478 | 中 | 是 |
| Qualcomm 相机驱动程序中的信息披露漏洞 | CVE-2016-8413、CVE-2016-8477 | 中 | 是 |
| HTC 声音编解码器驱动程序中的信息披露漏洞 | CVE-2017-0535 | 中 | 是 |
| Synaptics 触摸屏驱动程序中的信息披露漏洞 | CVE-2017-0536 | 中 | 是 |
| 内核 USB 小工具驱动程序中的信息披露漏洞 | CVE-2017-0537 | 中 | 是 |
| Qualcomm 相机驱动程序中的信息披露漏洞 | CVE-2017-0452 | 低 | 是 |
* 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
本部分总结了 Android 安全平台和服务防护功能(如 SafetyNet)提供的缓解措施。这些功能可降低 Android 上的安全漏洞被成功利用的可能性。
非常感谢以下研究人员做出的贡献:
我们在下面提供了上述 2017-03-01 安全补丁程序级别 - 漏洞摘要中列出的每个安全漏洞的详细信息。其中包括问题描述、严重程度阐述以及一个包含 CVE、相关参考信息、严重程度、已更新的 Google 设备、已更新的 AOSP 版本(如果适用)及报告日期的表格。在适用的情况下,我们会将 Bug ID 链接到解决问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还通过 Bug ID 后面的数字链接到了更多参考信息。
系统在处理文件和数据时,OpenSSL 和 BoringSSL 中的远程代码执行漏洞可让攻击者使用特制文件破坏内存。由于该漏洞可用于通过特许进程执行远程代码,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | 严重 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 8 月 5 日 |
系统在处理媒体文件和数据时,Mediaserver 中的远程代码执行漏洞可让攻击者使用特制文件破坏内存。由于该漏洞可用于通过 Mediaserver 进程执行远程代码,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
| CVE-2017-0467 | A-33250932 [2] | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 30 日 |
| CVE-2017-0468 | A-33351708 [2] | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 5 日 |
| CVE-2017-0469 | A-33450635 | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 8 日 |
| CVE-2017-0470 | A-33818500 | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
| CVE-2017-0471 | A-33816782 | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
| CVE-2017-0472 | A-33862021 | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 23 日 |
| CVE-2017-0473 | A-33982658 | 严重 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 30 日 |
| CVE-2017-0474 | A-32589224 | 严重 | 所有 | 7.0、7.1.1 | Google 内部 |
recovery 验证程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | 严重 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 2 日 |
系统在处理媒体文件和数据时,AOSP 短信中的远程代码执行漏洞可让攻击者使用特制文件破坏内存。由于该漏洞可用于通过非特许进程执行远程代码,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
libgdx 中的远程代码执行漏洞可让攻击者使用特制文件通过非特许进程执行任意代码。由于该漏洞可用于在使用此库的应用中执行远程代码,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | 高 | 所有 | 7.1.1 | 2016 年 12 月 14 日 |
Framesequence 库中的远程代码执行漏洞可让攻击者使用特制文件通过非特许进程执行任意代码。由于该漏洞可用于在使用 Framesequence 库的应用中执行远程代码,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | 高 | 所有 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 16 日 |
NFC 中的提权漏洞可让邻近区域内的攻击者通过特许进程执行任意代码。由于该漏洞可用于获取第三方应用通常无法获取的本地特权,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | 高 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 6 日 |
Audioserver 中的提权漏洞可让本地恶意应用通过特许进程执行任意代码。由于该漏洞可用于获取第三方应用通常无法获取的本地特权,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | 高 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
| CVE-2017-0480 | A-32705429 [2] | 高 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
Mediaserver 中的拒绝服务漏洞可让攻击者使用特制文件挂起或重新启动设备。由于该漏洞可用于远程发起拒绝服务攻击,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 22 日 |
| CVE-2017-0483 | A-33137046 [2] | 高 | 所有 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 24 日 |
| CVE-2017-0484 | A-33298089 [2] | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 1 日 |
| CVE-2017-0485 | A-33387820 | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
| CVE-2017-0486 | A-33621215 | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 14 日 |
| CVE-2017-0487 | A-33751193 | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 19 日 |
| CVE-2017-0488 | A-34097213 | 高 | 所有 | 6.0、6.0.1、7.0、7.1.1 | Google 内部 |
地理位置信息管理器中的提权漏洞可让本地恶意应用绕过针对地理位置数据的操作系统防护功能。由于该漏洞可用于生成不准确的数据,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | 中 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 20 日 |
WLAN 中的提权漏洞可让本地恶意应用删除用户数据。由于该漏洞允许在本地绕过通常需要用户发起或经过用户许可的用户互动要求,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | 中 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
软件包管理器中的提权漏洞可让本地恶意应用阻止用户卸载应用或移除应用权限。由于该漏洞允许在本地绕过用户互动要求,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | 中 | 所有 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 内部 |
系统界面中的提取漏洞可让本地恶意应用创建覆盖整个屏幕的界面叠加层。由于该漏洞允许在本地绕过通常需要用户发起或经过用户许可的用户互动要求,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | 中 | 所有 | 7.1.1 | Google 内部 |
AOSP 短信中的信息披露漏洞可让远程攻击者使用特制文件获取超出其权限范围的数据。由于该漏洞可用于在未经许可的情况下获取敏感数据,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | 中 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 9 日 |
Mediaserver 中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经许可的情况下获取敏感数据,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | 中 | 所有 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 11 日 |
设置向导中的拒绝服务漏洞可让本地恶意应用暂时阻止用户使用受影响的设备。由于该漏洞可能导致用户需要通过恢复出厂设置来修复设备,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | 中 | 无** | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 9 月 14 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Google 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Mediaserver 中的拒绝服务漏洞可让攻击者使用特制文件挂起或重新启动设备。由于该漏洞需要执行不常见的设备配置,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | 中 | 所有 | 7.0、7.1.1 | 2016 年 12 月 2 日 |
设置向导中的拒绝服务漏洞可让本地攻击者在恢复出厂设置之后要求登录 Google 帐号。由于该漏洞可能导致用户需要通过恢复出厂设置来修复设备,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311[2] | 中 | 所有 | 5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 内部 |
Audioserver 中的拒绝服务漏洞可让本地恶意应用挂起或重新启动设备。由于该漏洞可用于发起暂时拒绝服务攻击,因此我们将其严重程度评为“低”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 已更新的 AOSP 版本 | 报告日期 |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | 低 | 所有 | 5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 11 日 |
我们在下面提供了上述 2017-03-05 安全补丁程序级别 - 漏洞摘要中列出的每个安全漏洞的详细信息。其中包括问题描述、严重程度阐述以及一个包含 CVE、相关参考信息、严重程度、已更新的 Google 设备、已更新的 AOSP 版本(如果适用)及报告日期的表格。在适用的情况下,我们会将 Bug ID 链接到解决问题的公开更改记录(如 AOSP 代码更改列表)。如果某个 Bug 有多条相关的更改记录,我们还通过 Bug ID 后面的数字链接到了更多参考信息。
MediaTek 组件(包括 M4U 驱动程序、声音驱动程序、触摸屏驱动程序、GPU 驱动程序和命名队列驱动程序)中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
严重 | 无** | 2016 年 4 月 27 日 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
严重 | 无** | 2016 年 4 月 27 日 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
严重 | 无** | 2016 年 4 月 27 日 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
严重 | 无** | 2016 年 4 月 28 日 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
严重 | 无** | 2016 年 7 月 9 日 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
严重 | 无** | 2016 年 9 月 28 日 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
严重 | 无** | 2016 年 10 月 18 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
NVIDIA GPU 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
严重 | Pixel C | 2016 年 10 月 6 日 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
严重 | Pixel C | 2016 年 11 月 21 日 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
严重 | Pixel C | 2016 年 12 月 25 日 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
严重 | Nexus 9 | 2017 年 1 月 6 日 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
严重 | Pixel C | Google 内部 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
内核 ION 子系统中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | 严重 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 10 月 6 日 |
| CVE-2017-0508 | A-33940449* | 严重 | Pixel C | 2016 年 12 月 28 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Broadcom WLAN 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
严重 | 无** | 2016 年 10 月 12 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
内核 FIQ 调试程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | 严重 | Nexus 9 | 2016 年 10 月 25 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Qualcomm GPU 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
严重 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 29 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
内核网络子系统中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 上游内核 |
严重 | Pixel C、Pixel、Pixel XL | 2016 年 12 月 4 日 |
| CVE-2016-10200 | A-33753815 上游内核 |
严重 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 19 日 |
下列漏洞会影响 Qualcomm 组件;此外,2016 年 9 月的 Qualcomm AMSS 安全公告也对这些安全漏洞进行了详细说明。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | 严重 | 无*** | Qualcomm 内部 |
| CVE-2016-8485 | A-28823681** | 严重 | 无*** | Qualcomm 内部 |
| CVE-2016-8486 | A-28823691** | 严重 | 无*** | Qualcomm 内部 |
| CVE-2016-8487 | A-28823724** | 严重 | 无*** | Qualcomm 内部 |
| CVE-2016-8488 | A-31625756** | 严重 | 无*** | Qualcomm 内部 |
* 这些漏洞的严重程度评级由供应商决定。
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
*** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
内核网络子系统中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 上游内核 |
高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 10 月 12 日 |
| CVE-2016-9793 | A-33363517 上游内核 |
高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 12 月 2 日 |
Qualcomm 输入硬件驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
高 | Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
MediaTek 硬件传感器驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
高 | 无** | 2016 年 10 月 22 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Qualcomm ADSPRPC 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 22 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Qualcomm 指纹传感器驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
高 | Pixel、Pixel XL | 2016 年 10 月 24 日 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
高 | Pixel、Pixel XL | 2016 年 10 月 24 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Qualcomm 加密引擎驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 9 月 24 日 |
Qualcomm 相机驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
高 | Pixel、Pixel XL | 2016 年 10 月 31 日 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 15 日 |
MediaTek APK 中的提权漏洞可让本地恶意应用通过特许进程执行任意代码。由于该漏洞可通过特许进程在本地执行任意代码,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
高 | 无** | 2016 年 11 月 15 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Qualcomm WLAN 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 11 月 15 日 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
高 | Nexus 5X、Android One | 2016 年 12 月 30 日 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
高 | 无* | Google 内部 |
* 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Synaptics 触摸屏驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | 高 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 11 月 18 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Qualcomm IPA 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 23 日 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 25 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
HTC 传感器中枢驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | 高 | Nexus 9 | 2016 年 12 月 25 日 |
| CVE-2017-0527 | A-33899318* | 高 | Nexus 9、Pixel、Pixel XL | 2016 年 12 月 25 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
NVIDIA GPU 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞有可能会对本地设备造成永久性损害,而用户可能需要通过重写操作系统来修复设备,因此我们将其严重程度评为“严重”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
高 | 无** | 2016 年 11 月 28 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Qualcomm 网络驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 30 日 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL | Google 内部 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
内核安全子系统中的提权漏洞可让本地恶意应用通过特许进程执行代码。由于该漏洞允许全面深入地绕过内核级防护或利用缓解技术,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | 高 | Pixel、Pixel XL | 2016 年 12 月 4 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Qualcomm SPCom 驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
高 | 无* | Google 内部 |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
高 | 无* | Google 内部 |
* 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
内核网络子系统中的信息披露漏洞可让本地邻近区域内的攻击者获取敏感信息。由于该漏洞可用于在未经许可的情况下获取数据,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 上游内核 |
高 | Nexus Player | 2014 年 11 月 9 日 |
MediaTek 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
高 | 无** | 2016 年 4 月 27 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Qualcomm 引导加载程序中的信息披露漏洞可让本地恶意应用通过引导加载程序执行任意代码。由于该漏洞允许全面深入地绕过引导加载程序级防护或利用缓解技术,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
高 | Pixel、Pixel XL | 2016 年 10 月 21 日 |
Qualcomm 电源驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
高 | Nexus 5X、Nexus 6P | 2016 年 12 月 19 日 |
NVIDIA GPU 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞可用于在未经用户明确许可的情况下获取敏感数据,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
高 | Pixel C | 2016 年 11 月 30 日 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
高 | Pixel C | Google 内部 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
内核加密子系统中的拒绝服务漏洞可让远程攻击者使用特制网络数据包起或重启设备。由于该漏洞可用于远程发起拒绝服务攻击,因此我们将其严重程度评为“高”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 上游内核 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 10 月 12 日 |
Qualcomm 相机驱动程序中的提权漏洞可让本地恶意应用通过内核执行任意代码。由于该漏洞需要先破坏特许进程,而且可由当前平台配置缓解,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
Qualcomm WLAN 驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
中 | Android One、Nexus 5X、Pixel、Pixel XL | 2016 年 10 月 9 日 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
中 | Pixel、Pixel XL | 2016 年 11 月 3 日 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
中 | Android One、Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 11 月 13 日 |
MediaTek 视频编解码器驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
中 | 无** | 2016 年 10 月 22 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
** 搭载 Android 7.0(或更高版本)且已安装所有可用更新的受支持的 Google 设备不受此漏洞的影响。
Qualcomm 视频驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 27 日 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
Qualcomm 相机驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 4 日 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007[2] |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 7 日 |
HTC 声音编解码器驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | 中 | Nexus 9 | 2016 年 12 月 11 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Synaptics 触摸屏驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | 中 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 12 月 12 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
内核 USB 小工具驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“中”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | 中 | Pixel C | Google 内部 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
Qualcomm 相机驱动程序中的信息披露漏洞可让本地恶意应用获取超出其权限范围的数据。由于该漏洞需要先破坏特许进程,因此我们将其严重程度评为“低”。
| CVE | 参考信息 | 严重程度 | 已更新的 Google 设备 | 报告日期 |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
低 | Nexus 5X、Nexus 6P、Android One | 2016 年 11 月 10 日 |
* 针对该问题的补丁程序未公开发布。Google Developers 网站上提供的 Nexus 设备的最新二进制驱动程序中包含相应更新。
本部分针对阅读本公告后可能产生的常见问题提供了相应的解答。
1. 如何确定我的设备是否已更新到解决了这些问题的版本?
要了解如何检查设备的安全补丁程序级别,请阅读 Pixel 和 Nexus 更新时间表中的说明。
提供这些更新的设备制造商应将补丁程序字符串级别设为:
2. 为何此公告有 2 个安全补丁程序级别?
本公告有 2 个安全补丁程序级别,目的是让 Android 合作伙伴能够灵活地、更快速地修复所有 Android 设备上类似的一系列漏洞。我们建议 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁程序级别。
我们建议合作伙伴在一次更新中汇总要解决的所有问题的修复方案。
3. 如何确定各个问题都会影响哪些 Google 设备?
在 2017-03-01 和 2017-03-05 安全漏洞详情部分,每个表均包含“已更新的 Google 设备”列,其中列出了已针对每个问题更新过的受影响的 Google 设备系列。此列有以下几种情形:
4.“参考信息”列中的条目对应的是什么内容?
漏洞详情表的“参考信息”列中的条目可能包含用于标识参考值所属组织的前缀。这些前缀的含义如下:
| 前缀 | 参考信息 |
|---|---|
| A- | Android Bug ID |
| QC- | Qualcomm 参考编号 |
| M- | MediaTek 参考编号 |
| N- | NVIDIA 参考编号 |
| B- | Broadcom 参考编号 |