Google Git
Sign in
android / platform / docs / source.android.com / 4ba4ea56ab8aec0d24df1254bcbe01d7b2bd2512 / . / zh-tw / security / bulletin / 2017-08-01.html
blob: 1c200310f54e2439446f7274143196c8dfa24028 [file] [log] [blame]
<html devsite><head>
<title>Android 安全性公告 - 2017 年 8 月</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
//www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>發佈日期:2017 年 8 月 7 日 | 更新日期:2017 年 8 月 23 日</em></p>
<p>Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。2017 年 8 月 5 日之後的安全性修補程式等級已解決了這些問題。請參閱 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 與 Nexus 更新時間表</a>,瞭解如何查看裝置的安全性修補程式等級。</p>
<p>我們的合作夥伴在至少一個月之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計劃以外的修補程式連結。</p>
<p>在這些問題中,最嚴重的就是媒體架構中「最高」等級的安全性漏洞。遠端攻擊者可利用這類漏洞,在獲得授權的程序環境內透過特製檔案執行任何程式碼。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被關閉,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,使用者的裝置會受到多大的影響,據此評定漏洞的嚴重程度。</p>
<p>針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞利用或濫用案例。如果想進一步瞭解 <a href="#mitigations">Android 安全性平台防護措施</a>和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 <a href="/security/enhancements/index.html">Android 和 Google Play 安全防護機制所提供的因應措施</a>一節。</p>
<p>我們建議所有客戶接受這些裝置更新。</p>
<p class="note"><strong>注意:</strong><a href="#google-device-updates">Google 裝置更新</a>一節提供了和 Google 裝置的最新無線下載更新 (OTA) 與韌體映像檔有關的資訊。</p>
<h2 id="announcements">公告事項</h2>
<ul>
<li>本公告有兩個安全性修補程式等級字串,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。如需查詢其他相關資訊,請參閱<a href="#questions">常見問題與解答</a><ul>
<li><strong>2017-08-01</strong>:部分安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-08-01 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。</li>
<li><strong>2017-08-05</strong>:完整安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-08-01 和 2017-08-05 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。</li>
</ul>
</li>
</ul>
<h2 id="mitigations">Android 和 Google Play 安全防護機制所提供的因應措施</h2>
<p>本節概述 <a href="/security/enhancements/index.html">Android 安全性平台</a><a href="https://www.android.com/play-protect">Google Play 安全防護</a>等服務防護方案所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。</p>
<ul>
<li>Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。</li>
<li>Android 安全性小組透過 <a href="https://www.android.com/play-protect">Google Play 安全防護</a>主動監控濫用情形;使用這些功能的目的是在發現<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的應用程式</a>時警告使用者。在預設情況下,搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置會自動啟用 Google Play 安全防護機制。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。</li>
</ul>
<h2 id="2017-08-01-details">2017-08-01 安全性修補程式等級 - 資安漏洞詳情</h2>
<p>下列各節針對 2017-08-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了問題說明及一份漏洞資訊表,顯示漏洞的 CVE、相關參考資料、<a href="#type">漏洞類型</a><a href="/security/overview/updates-resources.html#severity">嚴重程度</a>,以及更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p>
<h3 id="framework">架構</h3>
<p>本節中最嚴重的漏洞,就是可能讓本機惡意應用程式利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2017-0712</td>
<td><a href="https://android.googlesource.com/platform/frameworks/opt/net/wifi/+/e8beda2579d277fb6b27f1792c4ed45c136ee15a">A-37207928</a></td>
<td>EoP</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
</tbody></table>
<h3 id="libraries">程式庫</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在未獲授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2017-0713</td>
<td><a href="https://android.googlesource.com/platform/external/sfntly/+/a642e3543a4ffdaaf1456768968ae05a205ed4f4">A-32096780</a>
[<a href="https://android.googlesource.com/platform/external/sfntly/+/fa6053736808e999483ca0a21fbe16a3075cf2c8">2</a>]</td>
<td>RCE</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
</tbody></table>
<h3 id="media-framework">媒體架構</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2017-0714</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/26557d832fde349721500b47d51467c046794ae9">A-36492637</a></td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0715</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/676c26e6a2ab3b75ab6e8fdd984547219fc1ceb5">A-36998372</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0716</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/d5f52646974c29e6b7d51230b8ddae0c0a9430dc">A-37203196</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0718</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/327496c59fb280273e23353061980dd72b07de1f">A-37273547</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0719</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/f0afcf1943a1844e2a82ac3c5ab4d49427102cd1">A-37273673</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0720</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/84732aaa4255955b8fefc39efee9b369181a6861">A-37430213</a></td>
<td>RCE</td>
<td>最高</td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0721</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/08a0d1ab6277770babbedab6ce7e7e2481869ad0">A-37561455</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0722</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/26557d832fde349721500b47d51467c046794ae9">A-37660827</a></td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0723</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/fe5ade4c86e2f5a86eab6c6593981d02f4c1710b">A-37968755</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0745</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/b6ec3bbba36a3816a936f1e31984529b875b3618">A-37079296</a></td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0724</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/08a0d1ab6277770babbedab6ce7e7e2481869ad0">A-36819262</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0725</td>
<td><a href="https://android.googlesource.com/platform/external/skia/+/59372f5412036ce87285e91fd2dd53e37ff990e4">A-37627194</a></td>
<td>DoS</td>
<td></td>
<td>7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0726</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/8995285da14e1303ae7357bf8162cbec13e65b68">A-36389123</a></td>
<td>DoS</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0727</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/39dfabd43cbe57f92b771c0110a5c2d976b6c44f">A-33004354</a></td>
<td>EoP</td>
<td></td>
<td>7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0728</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/314a0d038e6ae24bef80fff0b542965aed78ae96">A-37469795</a></td>
<td>DoS</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0729</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/96974782cd914120272a026ebc263dd38098f392">A-37710346</a></td>
<td>EoP</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0730</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/efd28f6c36d40d0a8dd92f344e1d9a992b315c36">A-36279112</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0731</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/c10183960909f074a265c134cd4087785e7d26bf">A-36075363</a></td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0732</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/bf153fbedc2333b14e90826d22f08d10e832db29">A-37504237</a></td>
<td>EoP</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0733</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/6f357fd589e115a74aae25b1ac325af6121cdadf">A-38391487</a></td>
<td>DoS</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0734</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/f6650b34ef27d6da8cdccd42e0f76fe756a9375b">A-38014992</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0735</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/fe5ade4c86e2f5a86eab6c6593981d02f4c1710b">A-38239864</a>
[<a href="https://android.googlesource.com/platform/external/libavc/+/490bed0e7dce49296d50bb519348c6a87de8a8ef">2</a>]</td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0736</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/dfbbb54f14f83d45ad06a91aa76ed8260eb795d5">A-38487564</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0687</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/17b46beeae7421f76d894f14696ba4db9023287c">A-35583675</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0737</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/77e075ddd6d8cae33832add5225ee8f8c77908f0">A-37563942</a></td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0805</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/77e075ddd6d8cae33832add5225ee8f8c77908f0">A-37237701</a></td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0738</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/1d919d737b374b98b900c08c9d0c82fe250feb08">A-37563371</a>
[<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/234848dd6756c5d636f5a103e51636d60932983c">2</a>]</td>
<td>ID</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0739</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/e6e353a231f746743866d360b88ef8ced367bcb1">A-37712181</a></td>
<td>ID</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
</tbody></table>
<h2 id="2017-08-05-details">2017-08-05 安全性修補程式等級 - 資安漏洞詳情</h2>
<p>下列各節針對 2017-08-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a><a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p>
<h3 id="broadcom-components">Broadcom 元件</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在未獲授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-0740</td>
<td>A-37168488<a href="#asterisk">*</a><br />
B-RB#116402</td>
<td>RCE</td>
<td></td>
<td>網路驅動程式</td>
</tr>
</tbody></table>
<h3 id="kernel-components">核心元件</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-10661</td>
<td>A-36266767<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=1e38da300e1e395a15048b0af1e5305bd91402f6">上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>檔案系統</td>
</tr>
<tr>
<td>CVE-2017-0750</td>
<td>A-36817013<a href="#asterisk">*</a></td>
<td>EoP</td>
<td></td>
<td>檔案系統</td>
</tr>
<tr>
<td>CVE-2017-10662</td>
<td>A-36815012<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=b9dd46188edc2f0d1f37328637860bb65a771124">上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>檔案系統</td>
</tr>
<tr>
<td>CVE-2017-10663</td>
<td>A-36588520<br />
<a href="https://sourceforge.net/p/linux-f2fs/mailman/message/35835945/">上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>檔案系統</td>
</tr>
<tr>
<td>CVE-2017-0749</td>
<td>A-36007735<a href="#asterisk">*</a></td>
<td>EoP</td>
<td></td>
<td>Linux 核心</td>
</tr>
</tbody></table>
<h3 id="mediatek-components">MediaTek 元件</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-0741</td>
<td>A-32458601<a href="#asterisk">*</a><br />
M-ALPS03007523</td>
<td>EoP</td>
<td></td>
<td>GPU 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0742</td>
<td>A-36074857<a href="#asterisk">*</a><br />
M-ALPS03275524</td>
<td>EoP</td>
<td></td>
<td>視訊驅動程式</td>
</tr>
</tbody></table>
<h3 id="qualcomm-components">Qualcomm 元件</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何指令。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-0746</td>
<td>A-35467471<a href="#asterisk">*</a><br />
QC-CR#2029392</td>
<td>EoP</td>
<td></td>
<td>IPA 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0747</td>
<td>A-32524214<a href="#asterisk">*</a><br />
QC-CR#2044821</td>
<td>EoP</td>
<td></td>
<td>專屬元件</td>
</tr>
<tr>
<td>CVE-2017-9678</td>
<td>A-35258962<a href="#asterisk">*</a><br />
QC-CR#2028228</td>
<td>EoP</td>
<td></td>
<td>視訊驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9691</td>
<td>A-33842910<a href="#asterisk">*</a><br />
QC-CR#1116560</td>
<td>EoP</td>
<td></td>
<td>MobiCore 驅動程式 (Trustonic)</td>
</tr>
<tr>
<td>CVE-2017-9684</td>
<td>A-35136547<a href="#asterisk">*</a><br />
QC-CR#2037524</td>
<td>EoP</td>
<td></td>
<td>USB 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9682</td>
<td>A-36491445<a href="#asterisk">*</a><br />
QC-CR#2030434</td>
<td>ID</td>
<td></td>
<td>GPU 驅動程式</td>
</tr>
</tbody></table>
<h2 id="google-device-updates">Google 裝置更新</h2>
<p>此表格包含最新無線下載更新 (OTA) 中的安全性修補程式等級和 Google 裝置的韌體映像檔。您可以前往 <a href="https://developers.google.com/android/nexus/images">Google Developers 網站</a>取得 Google 裝置韌體映像檔。</p>
<table>
<tbody><tr>
<th>Google 裝置</th>
<th>安全性修補程式等級</th>
</tr>
<tr>
<td>Pixel/Pixel XL</td>
<td>2017 年 8 月 5 日</td>
</tr>
<tr>
<td>Nexus 5X</td>
<td>2017 年 8 月 5 日</td>
</tr>
<tr>
<td>Nexus 6</td>
<td>2017 年 8 月 5 日</td>
</tr>
<tr>
<td>Nexus 6P</td>
<td>2017 年 8 月 5 日</td>
</tr>
<tr>
<td>Nexus 9</td>
<td>2017 年 8 月 5 日</td>
</tr>
<tr>
<td>Nexus Player</td>
<td>2017 年 8 月 5 日</td>
</tr>
<tr>
<td>Pixel C</td>
<td>2017 年 8 月 5 日</td>
</tr>
</tbody></table>
<p>Google 裝置更新也會包含這些安全性漏洞的修補程式 (如果有的話):</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-0744</td>
<td>A-34112726<a href="#asterisk">*</a><br />
N-CVE-2017-0744</td>
<td>EoP</td>
<td></td>
<td>音效驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9679</td>
<td>A-35644510<a href="#asterisk">*</a><br />
QC-CR#2029409</td>
<td>ID</td>
<td></td>
<td>SoC 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9680</td>
<td>A-35764241<a href="#asterisk">*</a><br />
QC-CR#2030137</td>
<td>ID</td>
<td></td>
<td>SoC 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0748</td>
<td>A-35764875<a href="#asterisk">*</a><br />
QC-CR#2029798</td>
<td>ID</td>
<td></td>
<td>音訊驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9681</td>
<td>A-36386593<a href="#asterisk">*</a><br />
QC-CR#2030426</td>
<td>ID</td>
<td></td>
<td>無線電驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9693</td>
<td>A-36817798<a href="#asterisk">*</a><br />
QC-CR#2044820</td>
<td>ID</td>
<td></td>
<td>網路驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9694</td>
<td>A-36818198<a href="#asterisk">*</a><br />
QC-CR#2045470</td>
<td>ID</td>
<td></td>
<td>網路驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0751</td>
<td>A-36591162<a href="#asterisk">*</a><br />
QC-CR#2045061</td>
<td>EoP</td>
<td></td>
<td>QCE 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9692</td>
<td>A-36731152<a href="#asterisk">*</a><br />
QC-CR#2021707</td>
<td>DoS</td>
<td></td>
<td>繪圖驅動程式</td>
</tr>
</tbody></table>
<h2 id="acknowledgements">特別銘謝</h2>
<p>感謝以下研究人員做出的貢獻:</p>
<table>
<colgroup><col width="17%" />
<col width="83%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>研究人員</th>
</tr>
<tr>
<td>CVE-2017-0741、CVE-2017-0742、CVE-2017-0751</td>
<td>阿里巴巴行動安全小組成員 Baozeng Ding (<a href="https://twitter.com/sploving1">@sploving</a>)、Chengming Yang 和 Yang Song</td>
</tr>
<tr>
<td>CVE-2017-9682</td>
<td>Android 安全性小組成員 Billy Lau</td>
</tr>
<tr>
<td>CVE-2017-0739</td>
<td><a href="http://c0reteam.org">C0RE 小組</a>成員 <a href="mailto:[email protected]">Dacheng Shao</a>、Hongli Han (<a href="https://twitter.com/HexB1n">@HexB1n</a>)、Mingjian Zhou (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-9691、CVE-2017-0744</td>
<td>奇虎 360 科技有限公司 IceSword 實驗室的 Gengjia Chen (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) 和 <a href="http://weibo.com/jfpan">pjf</a></td>
</tr>
<tr>
<td>CVE-2017-0727</td>
<td>奇虎 360 科技有限公司 Alpha 小組的 Guang Gong (龔廣) (<a href="https://twitter.com/oldfresher">@oldfresher</a>)</td>
</tr>
<tr>
<td>CVE-2017-0737</td>
<td><a href="http://c0reteam.org">C0RE 小組</a>成員 <a href="mailto:[email protected]">Hanxiang Wen</a>、Mingjian Zhou (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-0748</td>
<td>奇虎 360 科技有限公司 Alpha 小組成員 Hao Chen 和 Guang Gong</td>
</tr>
<tr>
<td>CVE-2017-0731</td>
<td><a href="http://c0reteam.org">C0RE 小組</a>成員 Hongli Han (<a href="https://twitter.com/HexB1n">@HexB1n</a>)、Mingjian Zhou (<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-9679</td>
<td>特斯拉產品安全小組的 Nathan Crandall (<a href="https://twitter.com/natecray">@natecray</a>)</td>
</tr>
<tr>
<td>CVE-2017-0726</td>
<td><a href="mailto:[email protected]">Niky1235</a> (<a href="https://twitter.com/jiych_guru">@jiych_guru</a>)</td>
</tr>
<tr>
<td>CVE-2017-9684、CVE-2017-9694、CVE-2017-9693、CVE-2017-9681、CVE-2017-0738、CVE-2017-0728</td>
<td>百度安全實驗室的 Pengfei Ding (丁鵬飛)、Chenfu Bao (包沉浮) 和 Lenx Wei (韋韜)</td>
</tr>
<tr>
<td>CVE-2017-9680</td>
<td><a href="https://twitter.com/ScottyBauer1">Scott Bauer</a></td>
</tr>
<tr>
<td>CVE-2017-0724</td>
<td>趨勢科技的 Seven Shen (<a href="https://twitter.com/lingtongshen">@lingtongshen</a>)</td>
</tr>
<tr>
<td>CVE-2017-0732、CVE-2017-0805</td>
<td>CSS Inc. 的 Timothy Becker</td>
</tr>
<tr>
<td>CVE-2017-10661</td>
<td><a href="http://c0reteam.org">C0RE 小組</a>成員 Tong Lin (<a href="mailto:[email protected]">[email protected]</a>)、Yuan-Tsung Lo
(<a href="mailto:[email protected]">[email protected]</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-0712</td>
<td>Valerio Costamagna (<a href="https://twitter.com/vaio_co">@vaio_co</a>) 和 Marco Bartoli (<a href="https://twitter.com/wsxarcher">@wsxarcher</a>)</td>
</tr>
<tr>
<td>CVE-2017-0716</td>
<td>Vasily Vasiliev</td>
</tr>
<tr>
<td>CVE-2017-0750、CVE-2017-0713、CVE-2017-0715、CVE-2017-10662、CVE-2017-10663</td>
<td><a href="http://www.trendmicro.com">趨勢科技</a><a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">行動威脅研究小組</a>成員 V.E.O (<a href="https://twitter.com/vysea">@VYSEa</a>)</td>
</tr>
<tr>
<td>CVE-2017-9678</td>
<td>華為技術 SCC Eagleye 小組成員 Yan Zhou</td>
</tr>
<tr>
<td>CVE-2017-0749、CVE-2017-0746</td>
<td>奇虎 360 科技有限公司 IceSword 實驗室的 Yonggang Guo (<a href="https://twitter.com/guoygang">@guoygang</a>)</td>
</tr>
<tr>
<td>CVE-2017-0729</td>
<td><a href="http://xlab.tencent.com">騰訊玄武實驗室</a>的 Yongke Wang</td>
</tr>
<tr>
<td>CVE-2017-0714、CVE-2017-0719、CVE-2017-0718、CVE-2017-0722、CVE-2017-0725、CVE-2017-0720、CVE-2017-0745</td>
<td>奇虎 360 成都安全性應變中心成員 <a href="http://weibo.com/ele7enxxh">Zinuo Han</a></td>
</tr>
</tbody></table>
<h2 id="questions">常見問題與解答</h2>
<p>如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。</p>
<p><strong>1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
</strong></p>
<p>想瞭解如何查看裝置的安全性修補程式等級,請詳讀 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 和 Nexus 更新時間表</a>中的操作說明。</p>
<ul>
<li>2017 年 8 月 1 日之後的安全性修補程式等級已解決了所有與 2017-08-01 安全性修補程式等級相關的問題。</li>
<li>2017 年 8 月 5 日之後的安全性修補程式等級完全解決了與 2017-08-05 安全性修補程式等級及所有先前修補程式等級相關的問題。
</li>
</ul>
<p>提供這些更新的裝置製造商應將修補程式字串等級設定為:</p>
<ul>
<li>[ro.build.版本.security_patch]:[2017-08-01]</li>
<li>[ro.build.版本.security_patch]:[2017-08-05]</li>
</ul>
<p><strong>2. 為什麼這篇公告有兩種安全性修補程式等級?</strong></p>
<p>本公告有兩種安全性修補程式等級,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全性修補程式等級。</p>
<ul>
<li>安全性修補程式等級為 2017 年 8 月 1 日的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。</li>
<li>如果裝置的安全性修補程式等級在 2017 年 8 月 5 日之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。</li>
</ul>
<p>我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。</p>
<p id="type"><strong>3.「類型」<em></em>欄中的項目代表什麼意義?</strong></p>
<p>資安漏洞詳情表格中「類型」<em></em>欄中的項目代表的是安全性漏洞的類別。</p>
<table>
<colgroup><col width="25%" />
<col width="75%" />
</colgroup><tbody><tr>
<th>縮寫詞</th>
<th>定義</th>
</tr>
<tr>
<td>RCE</td>
<td>遠端程式碼執行</td>
</tr>
<tr>
<td>EoP</td>
<td>權限升級</td>
</tr>
<tr>
<td>ID</td>
<td>資訊外洩</td>
</tr>
<tr>
<td>DoS</td>
<td>拒絕服務</td>
</tr>
<tr>
<td></td>
<td>未分類</td>
</tr>
</tbody></table>
<p><strong>4.「參考資料」<em></em>欄底下列出的識別碼代表什麼意義?</strong></p>
<p>資安漏洞詳情表格中「參考資料」<em></em>欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。</p>
<table>
<colgroup><col width="25%" />
<col width="75%" />
</colgroup><tbody><tr>
<th>前置字串</th>
<th>參考資料</th>
</tr>
<tr>
<td>A-</td>
<td>Android 錯誤 ID</td>
</tr>
<tr>
<td>QC-</td>
<td>Qualcomm 參考編號</td>
</tr>
<tr>
<td>M-</td>
<td>MediaTek 參考編號</td>
</tr>
<tr>
<td>N-</td>
<td>NVIDIA 參考編號</td>
</tr>
<tr>
<td>B-</td>
<td>Broadcom 參考編號</td>
</tr>
</tbody></table>
<p id="asterisk"><strong>5.「參考資料」<em></em>欄中 Android 錯誤 ID 旁邊的星號 (*) 代表什麼意義?</strong></p>
<p>在「參考資料」<a href="#asterisk"></a>欄中 Android 錯誤 ID 旁邊標上星號 (<em>*</em>) 代表該問題並未公開,相關的更新通常是直接整合在最新的 Nexus 裝置二進位檔驅動程式的中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。</p>
<h2 id="versions">版本</h2>
<table>
<colgroup><col width="25%" />
<col width="25%" />
<col width="50%" />
</colgroup><tbody><tr>
<th>版本</th>
<th>日期</th>
<th>附註</th>
</tr>
<tr>
<td>1.0</td>
<td>2017 年 8 月 7 日</td>
<td>發佈公告。</td>
</tr>
<tr>
<td>1.1</td>
<td>2017 年 8 月 8 日</td>
<td>修訂公告內容 (加入 AOSP 連結和特別銘謝名單)。</td>
</tr>
<tr>
<td>1.2</td>
<td>2017 年 8 月 14 日</td>
<td>修訂公告內容 (加入 CVE-2017-0687)。</td>
</tr>
<tr>
<td>1.2</td>
<td>2017 年 8 月 23 日</td>
<td>修訂公告內容 (加入 CVE-2017-0805)。</td>
</tr>
</tbody></table>
</body></html>