發佈日期:2017 年 1 月 3 日 | 更新日期:2017 年 1 月 5 日
Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。在這篇公告發佈的同時,Google 已透過 OTA 更新機制發佈了 Google 裝置的安全性更新。此外,Google 韌體映像檔也已經發佈到 Google Developers 網站上。2017 年 1 月 5 日之後的安全修補等級已解決了這些已提及的所有問題。要瞭解如何查看裝置的安全修補等級,請參閱 Pixel 與 Nexus 更新時間表。
我們的合作夥伴在 2016 年 12 月 5 日當天或更早之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。
在這些問題中,最嚴重的就是「最高」等級的安全性漏洞。當系統執行媒體檔案時,遠端程式碼可利用這類漏洞,透過電子郵件、網頁瀏覽活動和多媒體訊息等方法,自動在受影響的裝置上執行。
針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果您想進一步瞭解 Android 安全性平台防護措施和服務防護措施 (例如 SafetyNet) 如何加強 Android 平台的安全性,請參閱 Android 和 Google 服務因應措施一節。
我們建議所有客戶接受這些裝置更新。
下表列出各項安全性漏洞、常見弱點與漏洞 ID (CVE)、評定的嚴重程度及 Google 裝置是否會受到影響。嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而被停用,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,裝置會受到多大的影響,據此評定漏洞的嚴重程度。
2017-01-01 之後的安全修補等級必須解決下列問題。
問題 | CVE | 嚴重程度 | 是否影響 Google 裝置? |
---|---|---|---|
c-ares 中的遠端程式碼執行漏洞 | CVE-2016-5180 | 高 | 是 |
Framesequence 中的遠端程式碼執行漏洞 | CVE-2017-0382 | 高 | 是 |
Framework API 中的權限升級漏洞 | CVE-2017-0383 | 高 | 是 |
音訊伺服器中的權限升級漏洞 | CVE-2017-0384、CVE-2017-0385 | 高 | 是 |
libnl 中的權限升級漏洞 | CVE-2017-0386 | 高 | 是 |
媒體伺服器中的權限升級漏洞 | CVE-2017-0387 | 高 | 是 |
外部儲存空間供應商中的資訊外洩漏洞 | CVE-2017-0388 | 高 | 是 |
核心網路中的拒絕服務漏洞 | CVE-2017-0389 | 高 | 是 |
媒體伺服器中的拒絕服務漏洞 | CVE-2017-0390、CVE-2017-0391、CVE-2017-0392、CVE-2017-0393 | 高 | 是 |
電話通訊系統中的拒絕服務漏洞 | CVE-2017-0394 | 高 | 是 |
聯絡人中的權限升級漏洞 | CVE-2017-0395 | 中 | 是 |
媒體伺服器中的資訊外洩漏洞 | CVE-2017-0396、CVE-2017-0397、CVE-2017-0381 | 中 | 是 |
音訊伺服器中的資訊外洩漏洞 | CVE-2017-0398、CVE-2017-0399、CVE-2017-0400、CVE-2017-0401、CVE-2017-0402 | 中 | 是 |
2017-01-05 以後的安全修補等級必須解決 2017-01-01 的所有問題以及下列問題。
問題 | CVE | 嚴重程度 | 是否影響 Google 裝置? |
---|---|---|---|
核心記憶體子系統中的權限升級漏洞 | CVE-2015-3288 | 最高 | 是 |
Qualcomm 開機導引程式中的權限升級漏洞 | CVE-2016-8422、CVE-2016-8423 | 最高 | 是 |
核心檔案系統中的權限升級漏洞 | CVE-2015-5706 | 最高 | 否* |
NVIDIA GPU 驅動程式中的權限升級漏洞 | CVE-2016-8424、CVE-2016-8425、CVE-2016-8426、CVE-2016-8482、CVE-2016-8427、CVE-2016-8428、CVE-2016-8429、CVE-2016-8430、CVE-2016-8431、CVE-2016-8432 | 最高 | 是 |
MediaTek 驅動程式中的權限升級漏洞 | CVE-2016-8433 | 最高 | 否* |
Qualcomm GPU 驅動程式中的權限升級漏洞 | CVE-2016-8434 | 最高 | 是 |
NVIDIA GPU 驅動程式中的權限升級漏洞 | CVE-2016-8435 | 最高 | 是 |
Qualcomm 視訊驅動程式中的權限升級漏洞 | CVE-2016-8436 | 最高 | 否* |
Qualcomm 元件中的漏洞 | CVE-2016-5080、CVE-2016-8398、CVE-2016-8437、CVE-2016-8438、CVE-2016-8439、CVE-2016-8440、CVE-2016-8441、CVE-2016-8442、CVE-2016-8443、CVE-2016-8459 | 最高 | 否* |
Qualcomm 相機中的權限升級漏洞 | CVE-2016-8412、CVE-2016-8444 | 高 | 是 |
MediaTek 元件中的權限升級漏洞 | CVE-2016-8445、CVE-2016-8446、CVE-2016-8447、CVE-2016-8448 | 高 | 否* |
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞 | CVE-2016-8415 | 高 | 是 |
NVIDIA GPU 驅動程式中的權限升級漏洞 | CVE-2016-8449 | 高 | 是 |
Qualcomm 音效驅動程式中的權限升級漏洞 | CVE-2016-8450 | 高 | 是 |
Synaptics 觸控螢幕驅動程式中的權限升級漏洞 | CVE-2016-8451 | 高 | 否* |
核心安全子系統中的權限升級漏洞 | CVE-2016-7042 | 高 | 是 |
核心效能子系統中的權限升級漏洞 | CVE-2017-0403 | 高 | 是 |
核心音效子系統中的權限升級漏洞 | CVE-2017-0404 | 高 | 是 |
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞 | CVE-2016-8452 | 高 | 是 |
Qualcomm 無線通訊驅動程式中的權限升級漏洞 | CVE-2016-5345 | 高 | 是 |
核心效能分析子系統中的權限升級漏洞 | CVE-2016-9754 | 高 | 是 |
Broadcom Wi-Fi 驅動程式中的權限升級漏洞 | CVE-2016-8453、CVE-2016-8454、CVE-2016-8455、CVE-2016-8456、CVE-2016-8457 | 高 | 是 |
Synaptics 觸控螢幕驅動程式中的權限升級漏洞 | CVE-2016-8458 | 高 | 是 |
NVIDIA 視訊驅動程式中的資訊外洩漏洞 | CVE-2016-8460 | 高 | 是 |
開機導引程式中的資訊外洩漏洞 | CVE-2016-8461、CVE-2016-8462 | 高 | 是 |
Qualcomm FUSE 檔案系統中的拒絕服務漏洞 | CVE-2016-8463 | 高 | 否* |
開機導引程式中的拒絕服務漏洞 | CVE-2016-8467 | 高 | 是 |
Broadcom Wi-Fi 驅動程式中的權限升級漏洞 | CVE-2016-8464、CVE-2016-8465、CVE-2016-8466 | 中 | 是 |
開機導引程式中的權限升級漏洞 | CVE-2016-8467 | 中 | 是 |
繫結機制中的權限升級漏洞 | CVE-2016-8468 | 中 | 是 |
NVIDIA 相機驅動程式中的資訊外洩漏洞 | CVE-2016-8469 | 中 | 是 |
MediaTek 驅動程式中的資訊外洩漏洞 | CVE-2016-8470、CVE-2016-8471、CVE-2016-8472 | 中 | 否* |
STMicroelectronics 驅動程式中的資訊外洩漏洞 | CVE-2016-8473、CVE-2016-8474 | 中 | 是 |
Qualcomm 音訊後置處理器中的資訊外洩漏洞 | CVE-2017-0399、CVE-2017-0400、CVE-2017-0401、CVE-2017-0402 | 中 | 是 |
HTC 輸入驅動程式中的資訊外洩漏洞 | CVE-2016-8475 | 中 | 是 |
核心檔案系統中的拒絕服務漏洞 | CVE-2014-9420 | 中 | 是 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
本節概述 Android 安全性平台和 SafetyNet 等服務防護方案針對資安漏洞所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。
感謝以下研究人員做出的貢獻:
另外感謝以下研究人員對本公告相關問題做出的貢獻:
下列各節針對上方 2017-01-01 安全修補等級 — 資安漏洞摘要中列出的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。
c-ares 中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製要求在未獲授權程序的環境中執行任何指令。由於這個問題可能會讓遠端程式碼在使用這個程式庫的應用程式中執行,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2016-5180 | A-32205736 | 高 | 全部 | 7.0 | 2016 年 9 月 29 日 |
Framesequence 程式庫中的遠端程式碼執行漏洞可能會讓攻擊者能利用特製檔案在未獲授權程序的環境中執行任何指令。由於這個問題可能會讓遠端程式碼在使用 Framesequence 程式庫的應用程式中執行,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0382 | A-32338390 | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 21 日 |
Framework API 中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可用於取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0383 | A-31677614 | 高 | 全部 | 7.0、7.1.1 | 2016 年 9 月 21 日 |
音訊伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可用於取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0384 | A-32095626 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 11 日 |
CVE-2017-0385 | A-32585400 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 11 日 |
libnl 程式庫中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可用於取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0386 | A-32255299 | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 18 日 |
媒體伺服器中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這個問題可用於取得某些進階功能的本機存取權,第三方應用程式通常無法存取這類功能,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0387 | A-32660278 | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 4 日 |
外部儲存空間供應商中的資訊外洩漏洞可能會讓本機次要使用者能夠讀取由主要使用者插入的外部儲存 SD 卡資料。由於這個問題可用於在未獲授權的情況下存取資料,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0388 | A-32523490 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | Google 內部 |
核心網路中的拒絕服務漏洞可能會讓遠端攻擊者能利用特製網路封包造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0389 | A-31850211 [2] [3] | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 7 月 20 日 |
媒體伺服器中的拒絕服務漏洞可能會讓遠端攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0390 | A-31647370 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 9 月 19 日 |
CVE-2017-0391 | A-32322258 | 高 | 全部 | 6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 20 日 |
CVE-2017-0392 | A-32577290 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 29 日 |
CVE-2017-0393 | A-30436808 | 高 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 內部 |
電話通訊系統中的拒絕服務漏洞可能會讓遠端攻擊者造成裝置停止運作或重新啟動。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0394 | A-31752213 | 高 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 9 月 23 日 |
聯絡人中的權限升級漏洞可讓本機惡意應用程式擅自建立聯絡資訊。由於這個問題可能會讓有心人士規避本機所設的使用者互動要求 (使用通常需要使用者啟動或特定使用者權限的功能),因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0395 | A-32219099 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 15 日 |
媒體伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0381 | A-31607432 | 中 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 9 月 18 日 |
CVE-2017-0396 | A-31781965 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 9 月 27 日 |
CVE-2017-0397 | A-32377688 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 21 日 |
音訊伺服器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0398 | A-32438594 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
CVE-2017-0398 | A-32635664 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
CVE-2017-0398 | A-32624850 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
CVE-2017-0399 | A-32247948 [2] | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 18 日 |
CVE-2017-0400 | A-32584034 [2] | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
CVE-2017-0401 | A-32448258 | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 26 日 |
CVE-2017-0402 | A-32436341 [2] | 中 | 全部 | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
下列各節針對上方 2017-01-05 安全修補等級 — 資安漏洞摘要中列出的各項安全性漏洞提供了詳細資訊,包括問題說明、嚴重程度評定原因,以及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、嚴重程度、更新的 Google 裝置、更新的 AOSP 版本 (在適用情況下) 和回報日期。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,其他參考資料可透過該錯誤 ID 後面的編號連結開啟。
核心記憶體子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2015-3288 | A-32460277 上游程式庫核心 |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel C、Nexus Player、Pixel、Pixel XL | 2015 年 7 月 9 日 |
Qualcomm 開機導引程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8422 | A-31471220 QC-CR#979426 |
最高 | Nexus 6、Nexus 6P、Pixel、Pixel XL | 2016 年 7 月 22 日 |
CVE-2016-8423 | A-31399736 QC-CR#1000546 |
最高 | Nexus 6P、Pixel、Pixel XL | 2016 年 8 月 24 日 |
核心檔案系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2015-5706 | A-32289301 上游程式庫核心 |
最高 | 無* | 2016 年 8 月 1 日 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
最高 | Nexus 9 | 2016 年 9 月 17 日 |
CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
最高 | Nexus 9 | 2016 年 9 月 28 日 |
CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
最高 | Nexus 9 | 2016 年 9 月 28 日 |
CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
最高 | Nexus 9 | 2016 年 9 月 28 日 |
CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
最高 | Nexus 9 | 2016 年 9 月 28 日 |
CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
最高 | Nexus 9 | 2016 年 10 月 6 日 |
CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
最高 | Nexus 9 | 2016 年 10 月 13 日 |
CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
最高 | Nexus 9 | 2016 年 10 月 17 日 |
CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
最高 | Pixel C | 2016 年 10 月 25 日 |
CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
最高 | Pixel C | 2016 年 10 月 26 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
MediaTek 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
最高 | 無** | 2016 年 9 月 24 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8434 | A-32125137 QC-CR#1081855 |
最高 | Nexus 5X、Nexus 6、Nexus 6P、Android One | 2016 年 10 月 12 日 |
NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
最高 | Pixel C | 2016 年 11 月 7 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 視訊驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這個問題可能導致本機裝置的安全性徹底被破壞,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置,因此嚴重程度被評定為「最高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8436 | A-32450261 QC-CR#1007860 |
最高 | 無* | 2016 年 10 月 13 日 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考 2015 年 11 月、2016 年 8 月、2016 年 9 月和 2016 年 10 月的 Qualcomm AMSS 安全性公告。
CVE | 參考資料 | 嚴重程度* | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8438 | A-31624565** | 最高 | 無*** | Qualcomm 內部 |
CVE-2016-8442 | A-31625910** | 最高 | 無*** | Qualcomm 內部 |
CVE-2016-8443 | A-32576499** | 最高 | 無*** | Qualcomm 內部 |
CVE-2016-8437 | A-31623057** | 高 | 無*** | Qualcomm 內部 |
CVE-2016-8439 | A-31625204** | 高 | 無*** | Qualcomm 內部 |
CVE-2016-8440 | A-31625306** | 高 | 無*** | Qualcomm 內部 |
CVE-2016-8441 | A-31625904** | 高 | 無*** | Qualcomm 內部 |
CVE-2016-8398 | A-31548486** | 高 | Nexus 5X、Nexus 6、Nexus 6P、Android One | Qualcomm 內部 |
CVE-2016-8459 | A-32577972** | 高 | 無*** | Qualcomm 內部 |
CVE-2016-5080 | A-31115235** | 中 | Nexus 5X | Qualcomm 內部 |
* 這些漏洞的嚴重程度是由廠商自行評定。
** 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
*** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm 相機中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8412 | A-31225246 QC-CR#1071891 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 8 月 26 日 |
CVE-2016-8444 | A-31243641* QC-CR#1074310 |
高 | Nexus 5X、Nexus 6、Nexus 6P | 2016 年 8 月 26 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
MediaTek 元件 (包含熱能感知驅動程式和視訊驅動程式) 中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
高 | 無** | 2016 年 9 月 25 日 |
CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
高 | 無** | 2016 年 9 月 25 日 |
CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
高 | 無** | 2016 年 9 月 25 日 |
CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
高 | 無** | 2016 年 9 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8415 | A-31750554 QC-CR#1079596 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 9 月 26 日 |
NVIDIA GPU 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
高 | Nexus 9 | 2016 年 9 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 音效驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8450 | A-32450563 QC-CR#880388 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One | 2016 年 10 月 13 日 |
Synaptics 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8451 | A-32178033* | 高 | 無** | 2016 年 10 月 13 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
核心安全子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-7042 | A-32178986 上游程式庫核心 |
高 | Pixel C | 2016 年 10 月 14 日 |
核心效能子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0403 | A-32402548* | 高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL | 2016 年 10 月 25 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
核心音效子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2017-0404 | A-32510733* | 高 | Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus Player、Pixel、Pixel XL | 2016 年 10 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8452 | A-32506396 QC-CR#1050323 |
高 | Nexus 5X、Android One、Pixel、Pixel XL | 2016 年 10 月 28 日 |
Qualcomm 無線通訊驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-5345 | A-32639452 QC-CR#1079713 |
高 | Android One | 2016 年 11 月 3 日 |
核心效能分析子系統中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-9754 | A-32659848 上游程式庫核心 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player | 2016 年 11 月 4 日 |
Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8453 | A-24739315* B-RB#73392 |
高 | Nexus 6 | Google 內部 |
CVE-2016-8454 | A-32174590* B-RB#107142 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 10 月 14 日 |
CVE-2016-8455 | A-32219121* B-RB#106311 |
高 | Nexus 6P | 2016 年 10 月 15 日 |
CVE-2016-8456 | A-32219255* B-RB#105580 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 10 月 15 日 |
CVE-2016-8457 | A-32219453* B-RB#106116 |
高 | Nexus 6、Nexus 6P、Nexus 9、Pixel C | 2016 年 10 月 15 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Synaptics 觸控螢幕驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8458 | A-31968442* | 高 | Nexus 5X、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL | Google 內部 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
NVIDIA 視訊驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可用於在未獲使用者明確授權的情況下存取機密資料,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
高 | Nexus 9 | 2016 年 9 月 21 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
開機導引程式中的資訊外洩漏洞可能會讓本機攻擊者存取其權限等級以外的資料。由於這個問題可能導致有心人士存取機密資料,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8461 | A-32369621* | 高 | Nexus 9、Pixel、Pixel XL | 2016 年 10 月 21 日 |
CVE-2016-8462 | A-32510383* | 高 | Pixel、Pixel XL | 2016 年 10 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm FUSE 檔案系統中的拒絕服務漏洞可能會讓遠端攻擊者能利用特製檔案造成裝置停止運作或重新開機。由於這個問題可能會造成遠端拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8463 | A-30786860 QC-CR#586855 |
高 | 無* | 2014 年 1 月 3 日 |
* 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
開機導引程式中的拒絕服務漏洞可能會讓攻擊者造成本機永久拒絕服務,造成使用者必須以還原 (Re-flash) 作業系統的方式才能修復裝置。由於這個問題可能會造成本機永久拒絕服務,因此嚴重程度被評定為「高」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8467 | A-30308784* | 高 | Nexus 6、Nexus 6P | 2016 年 6 月 29 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Broadcom Wi-Fi 驅動程式中的權限升級漏洞可能會讓本機惡意應用程式在核心環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而目前平台的設定可進行防範,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8464 | A-29000183* B-RB#106314 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 5 月 26 日 |
CVE-2016-8466 | A-31822524* B-RB#105268 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 9 月 28 日 |
CVE-2016-8465 | A-32474971* B-RB#106053 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 10 月 27 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
開機導引程式中的權限升級漏洞可能會讓本機攻擊者在裝置上執行任何數據機指令。由於這個問題可能會讓有心人士規避本機所設的使用者互動要求 (使用通常需要使用者啟動或特定使用者權限的功能),因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8467 | A-30308784* | 中 | Nexus 6、Nexus 6P | 2016 年 6 月 29 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
繫結機制中的權限升級漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。由於這種攻擊必須先破壞特定獲授權的程序才能執行,而目前平台的設定可進行防範,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8468 | A-32394425* | 中 | Pixel C、Pixel、Pixel XL | Google 內部 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
相機驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
中 | Nexus 9 | 2016 年 9 月 7 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
MediaTek 驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
中 | 無** | 2016 年 9 月 15 日 |
CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
中 | 無** | 2016 年 9 月 15 日 |
CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
中 | 無** | 2016 年 9 月 15 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
** 如果是搭載 Android 7.0 以上版本的 Google 裝置 (必須是受支援的機型,且已安裝所有可用更新),就不會受到這個漏洞所影響。
STMicroelectronics 驅動程式中的資訊外洩漏洞可讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8473 | A-31795790* | 中 | Nexus 5X、Nexus 6P | 2016 年 9 月 28 日 |
CVE-2016-8474 | A-31799972* | 中 | Nexus 5X、Nexus 6P | 2016 年 9 月 28 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
Qualcomm 音訊後置處理器中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這個問題可能導致有心人士在未獲授權的情況下存取機密資料,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 更新的 AOSP 版本 | 回報日期 |
---|---|---|---|---|---|
CVE-2017-0399 | A-32588756 [2] | 中 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 18 日 |
CVE-2017-0400 | A-32438598 [2] | 中 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
CVE-2017-0401 | A-32588016 | 中 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 26 日 |
CVE-2017-0402 | A-32588352 [2] | 中 | 全部 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 25 日 |
HTC 輸入驅動程式中的資訊外洩漏洞可能會讓本機惡意應用程式存取其權限等級以外的資料。由於這種攻擊必須先破壞特定獲授權的程序才能執行,因此這個問題的嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2016-8475 | A-32591129* | 中 | Pixel、Pixel XL | 2016 年 10 月 30 日 |
* 這個問題的修補程式並未開放給一般使用者下載,而是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。
核心檔案系統中的拒絕服務漏洞可能會讓本機惡意應用程式造成裝置停止運作或重新開機。由於這個問題只會造成本機暫時拒絕服務,而且只需透過恢復原廠設定的方式即可修正,因此嚴重程度被評定為「中」。
CVE | 參考資料 | 嚴重程度 | 更新的 Google 裝置 | 回報日期 |
---|---|---|---|---|
CVE-2014-9420 | A-32477499 上游程式庫核心 |
中 | Pixel C | 2014 年 12 月 25 日 |
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
要瞭解如何查看裝置的安全修補等級,請詳讀 Pixel 和 Nexus 更新時間表中的操作說明。
提供這些更新的裝置製造商應將修補程式字串等級設定為:
2. 為什麼這篇公告有兩種安全修補等級?
本公告有兩種安全修補等級,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全修補等級。
我們建議合作夥伴將所要解決的所有問題適用修補程式包裝在單一更新中。
3. 如何判斷哪些 Google 裝置會受到哪種問題的影響?
在 2017-01-01 和 2017-01-05 安全性漏洞詳情的章節中,每個表格都包含「更新的 Google 裝置」欄,當中列出已針對各個問題進行更新的受影響 Google 裝置範圍。此欄中的選項包括:
4. 參考資料欄中的項目會對應到什麼?
資安漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的公司。這些前置字元代表的意義如下:
前置字元 | 參考資料 |
---|---|
A- | Android 錯誤 ID |
QC- | Qualcomm 參考編號 |
M- | MediaTek 參考編號 |
N- | NVIDIA 參考編號 |
B- | Broadcom 參考編號 |