Google Git
Sign in
android / platform / docs / source.android.com / a68360ed2fdcc4539677cf9d30783fcc3b430e09 / . / zh-tw / security / bulletin / 2017-09-01.html
blob: 8ab54d5cd88d37835c61955686e4ccf86ddd410d [file] [log] [blame]
<html devsite><head>
<title>Android 安全性公告 - 2017 年 9 月</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
//www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>發佈日期:2017 年 9 月 5 日 | 更新日期:2017 年 10 月 5 日</em></p>
<p>Android 安全性公告羅列了會對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。2017 年 9 月 5 日之後的安全性修補程式等級已解決了這些問題。請參閱 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 與 Nexus 更新時間表</a>,瞭解如何查看裝置的安全性修補程式等級。</p>
<p>我們的合作夥伴在至少一個月之前已收到公告中所述問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 AOSP 以外的修補程式連結。</p>
<p>在這些問題中,最嚴重的就是媒體架構中「最高」等級的安全性漏洞。遠端攻擊者可利用這類漏洞,在獲得授權的程序環境內透過特製檔案執行任何指令。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被關閉,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,使用者的裝置會受到多大的影響,據此評定漏洞的嚴重程度。</p>
<p>針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果想進一步瞭解 <a href="#mitigations">Android 安全性平台防護措施</a>和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 <a href="/security/enhancements/index.html">Android 和 Google Play 安全防護機制所提供的因應措施</a>一節。</p>
<p>我們建議所有客戶接受這些裝置更新。</p>
<p class="note"><strong>注意:</strong><a href="#google-device-updates">Google 裝置更新</a>一節提供了和 Google 裝置的無線下載更新 (OTA) 與韌體映像檔有關的資訊。</p>
<h2 id="announcements">公告事項</h2>
<ul>
<li>本公告有兩個安全性修補程式等級字串,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。如需查詢其他相關資訊,請參閱<a href="#questions">常見問題與解答</a><ul>
<li><strong>2017-09-01</strong>:部分安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-09-01 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。</li>
<li><strong>2017-09-05</strong>:完整安全性修補程式等級字串。這個安全性修補程式等級字串表示所有與 2017-09-01 和 2017-09-05 相關的問題 (以及所有先前的安全性修補程式等級字串) 都已獲得解決。</li>
</ul>
</li>
</ul>
<h2 id="mitigations">Android 和 Google 服務問題因應措施</h2>
<p>本節概述 <a href="/security/enhancements/index.html">Android 安全性平台</a><a href="https://www.android.com/play-protect">Google Play 安全防護</a>等服務防護方案所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。</p>
<ul>
<li>Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。</li>
<li>Android 安全性小組透過 <a href="https://www.android.com/play-protect">Google Play 安全防護</a>主動監控濫用情形;使用這些功能的目的是在發現<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的應用程式</a>時警告使用者。Google Play 安全防護在搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置上都會預設啟用,且對於要從 Google Play 以外來源安裝應用程式的使用者來說格外重要。</li>
</ul>
<h2 id="2017-09-01-details">2017-09-01 安全性修補程式等級 — 資安漏洞詳情</h2>
<p>下列各節針對 2017-09-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊。資安漏洞是依照受它們影響的元件分門別類,另外也附上了問題說明和一份 CVE 資訊表,其中包括了相關參考資料、<a href="#type">漏洞類型</a><a href="/security/overview/updates-resources.html#severity">嚴重程度</a>,以及更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 AOSP 變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p>
<h3 id="framework">架構</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式規避使用者互動要求以取得其他權限。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 AOSP 版本</th>
</tr>
<tr>
<td>CVE-2017-0752</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/6ca2eccdbbd4f11698bd5312812b4d171ff3c8ce">
A-62196835</a>
[<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/fc65be941a4dbebfdbe53cd0bd6cc5cc1142a908">2</a>]</td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
</tbody></table>
<h3 id="libraries">程式庫</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在未獲授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2017-0753</td>
<td><a href="https://android.googlesource.com/platform/manifest/+/c0218b536c4243993bb666910d888cf16191dfd1">
A-62218744</a></td>
<td>RCE</td>
<td></td>
<td>7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-6983</td>
<td><a href="https://android.googlesource.com/platform/external/sqlite/+/a1b4a910e8bf11e03479d91004652fc5919f475b">
A-63852675</a></td>
<td>RCE</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0755</td>
<td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/0dfb3527ba1ebbe97ad927e1f773427201aab501">
A-32178311</a></td>
<td>EoP</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
</tbody></table>
<h3 id="media-framework">媒體架構</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 AOSP 版本</th>
</tr>
<tr>
<td>CVE-2017-0756</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/9aa026d0b867b270149dd7323ce36f4f9bfea980">
A-34621073</a></td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0757</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/bb88d4430189b66270c66ff9167fc5bcf4356cf2">
A-36006815</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0758</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/4a534a34b14944f3513b7c101fc74ab0ec9eac0d">
A-36492741</a></td>
<td>RCE</td>
<td>最高</td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0759</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6c91acf543ea20281f7e3d83414fab3cc64f1938">
A-36715268</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0760</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/9cb10d49b1319ea1207cc2f445089aa9266ffc71">
A-37237396</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0761</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/ce512058186120a0de2916f6e22be58455df1a49">
A-38448381</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0762</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/50acbc692998474c598834c9453ca9675b8fb95b">
A-62214264</a></td>
<td>RCE</td>
<td>最高</td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0763</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/0b57e70715c17e038b2fec0f808c1cd2172f4775">
A-62534693</a></td>
<td>RCE</td>
<td>最高</td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0764</td>
<td><a href="https://android.googlesource.com/platform/external/tremolo/+/dbf3d0fa7b89aa09ec7bf69699f6233c59070dbc">
A-62872015</a></td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0765</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/7c4c7fa208e31dc6f355a4488f267122015730a3">
A-62872863</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0766</td>
<td><a href="https://android.googlesource.com/platform/manifest/+/c0218b536c4243993bb666910d888cf16191dfd1">
A-37776688</a></td>
<td>RCE</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0767</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/2410a6fa4286efc8c5b5a5f33f6eeb023bfb6abb">
A-37536407</a>
[<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/045e30499e3c73fb05b0a97da2420fd27bb263a3">2</a>]</td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0768</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/d8cc1fe9294accf05c6afcbe7821a485b9939af7">
A-62019992</a></td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0769</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/0be8a2541594feec746195d6dbbc0db6c602175e">
A-37662122</a></td>
<td>EoP</td>
<td></td>
<td>7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0770</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/292d85545c6dec3c4386ec1fc2877597ea0ac5cc">
A-38234812</a></td>
<td>EoP</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0771</td>
<td><a href="https://android.googlesource.com/platform/external/skia/+/f593adeec75fe65771dfe67deca33fa4434b4e8a">
A-37624243</a></td>
<td>DoS</td>
<td></td>
<td>7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0772</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/1e0b52c25b20685ff9d6a14603b6a30f698824a7">
A-38115076</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0773</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/9a03f9511559f82d034603e1df1425a4e0650f92">
A-37615911</a></td>
<td>DoS</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0774</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/d4af2450c500c7d153fd66771b613f6e6882bf08">
A-62673844</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/5f56ec847a7f6250abd36a2f8a7b7baf4f966d11">2</a>]</td>
<td>DoS</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0775</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/a1d5b40aaaa050af40c0f95d8b2d3e1ae8cfebbf">
A-62673179</a></td>
<td>DoS</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td rowspan="2">CVE-2017-0776</td>
<td rowspan="2"><a href="https://android.googlesource.com/platform/external/libavc/+/5863b2e39357d82d53b3163afd38ad3bb0a07042">
A-38496660</a></td>
<td>ID</td>
<td></td>
<td>7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>DoS</td>
<td></td>
<td>6.0.1</td>
</tr>
<tr>
<td rowspan="2">CVE-2017-0777</td>
<td rowspan="2"><a href="https://android.googlesource.com/platform/external/sonivox/+/112d9533b13134edbf4b7ee17db735b4b1468297">
A-38342499</a></td>
<td>ID</td>
<td></td>
<td>7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>DoS</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td>
</tr>
<tr>
<td rowspan="2">CVE-2017-0778</td>
<td rowspan="2"><a href="https://android.googlesource.com/platform/frameworks/av/+/d7a044350bc151c7f7c04e04aaf136488630d655">
A-62133227</a></td>
<td>ID</td>
<td></td>
<td>7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>DoS</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1</td>
</tr>
<tr>
<td>CVE-2017-0779</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/ff4c8310ab7976ea9930b1dc4e3383720d5b5a8d">
A-38340117</a>
[<a href="https://android.googlesource.com/platform/frameworks/av/+/b58464fa783c75ba9d304f670a4392df6fa98ed8">2</a>]</td>
<td>ID</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
</tbody></table>
<h3 id="runtime">執行階段</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案造成應用程式無回應。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 AOSP 版本</th>
</tr>
<tr>
<td>CVE-2017-0780</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Messaging/+/06cbd7f26ba58399f296d85fd155442c7f2ac837">
A-37742976</a></td>
<td>DoS</td>
<td></td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
</tbody></table>
<h3 id="system">系統</h3>
<p>本節中最嚴重的漏洞可能會讓鄰近的攻擊者在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2017-0781</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/c513a8ff5cfdcc62cc14da354beb1dd22e56be0e">
A-63146105</a>
[<a href="https://android.googlesource.com/platform/system/bt/+/1e0bb31f6a809b49014483dc118b9d9ad31ade68">2</a>]</td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0782</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/4e47f3db62bab524946c46efe04ed6a2b896b150">
A-63146237</a>
[<a href="https://android.googlesource.com/platform/system/bt/+/1b08775917413f1674882130a948add1ae44cc91">2</a>]
[<a href="https://android.googlesource.com/platform/system/bt/+/c568fa9088ded964e0ac99db236e612de5d82177">3</a>]</td>
<td>RCE</td>
<td>最高</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0783</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/1e77fefc8b9c832239e1b32c6a6880376065e24e">
A-63145701</a></td>
<td>ID</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
<tr>
<td>CVE-2017-0784</td>
<td><a href="https://android.googlesource.com/platform/packages/apps/Nfc/+/e216bc208bc0f0f685d8271ef8a0b5da8fae1088">
A-37287958</a></td>
<td>EoP</td>
<td></td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2017-0785</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/226ea26684d4cd609a5b456d3d2cc762453c2d75">
A-63146698</a></td>
<td>ID</td>
<td></td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td>
</tr>
</tbody></table>
<h2 id="2017-09-05-details">2017-09-05 安全性修補程式等級 - 資安漏洞詳情</h2>
<p>下列各節針對 2017-09-05 修補程式等級適用的各項安全性漏洞提供了詳細資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a><a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p>
<h3 id="broadcom-components">Broadcom 元件</h3>
<p>本節中最嚴重的漏洞可能會讓鄰近的攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-11120</td>
<td>A-62575409<a href="#asterisk">*</a><br />
B-V2017061204</td>
<td>RCE</td>
<td>最高</td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-11121</td>
<td>A-62576413<a href="#asterisk">*</a><br />
B-V2017061205</td>
<td>RCE</td>
<td>最高</td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-7065</td>
<td>A-62575138<a href="#asterisk">*</a><br />
B-V2017061202</td>
<td>RCE</td>
<td>最高</td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0786</td>
<td>A-37351060<a href="#asterisk">*</a><br />
B-V2017060101</td>
<td>EoP</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0787</td>
<td>A-37722970<a href="#asterisk">*</a><br />
B-V2017053104</td>
<td>EoP</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0788</td>
<td>A-37722328<a href="#asterisk">*</a><br />
B-V2017053103</td>
<td>EoP</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0789</td>
<td>A-37685267<a href="#asterisk">*</a><br />
B-V2017053102</td>
<td>EoP</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0790</td>
<td>A-37357704<a href="#asterisk">*</a><br />
B-V2017053101</td>
<td>EoP</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0791</td>
<td>A-37306719<a href="#asterisk">*</a><br />
B-V2017052302</td>
<td>EoP</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0792</td>
<td>A-37305578<a href="#asterisk">*</a><br />
B-V2017052301</td>
<td>ID</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
</tbody></table>
<h3 id="imgtk-components">Imgtk 元件</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式存取其權限範圍以外的資料。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-0793</td>
<td>A-35764946<a href="#asterisk">*</a></td>
<td>ID</td>
<td></td>
<td>記憶體子系統</td>
</tr>
</tbody></table>
<h3 id="kernel-components">核心元件</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-8890</td>
<td>A-38413975<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=657831ffc38e30092a2d5f03d385d710eb88b09a">
上游程式庫核心</a></td>
<td>RCE</td>
<td>最高</td>
<td>網路子系統</td>
</tr>
<tr>
<td>CVE-2017-9076</td>
<td>A-62299478<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52">
上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>網路子系統</td>
</tr>
<tr>
<td>CVE-2017-9150</td>
<td>A-62199770<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=0d0e57697f162da4aa218b5feafe614fb666db07">
上游程式庫核心</a></td>
<td>ID</td>
<td></td>
<td>Linux 核心</td>
</tr>
<tr>
<td>CVE-2017-7487</td>
<td>A-62070688<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ee0d8d8482345ff97a75a7d747efc309f13b0d80">
上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>IPX 通訊協定驅動程式</td>
</tr>
<tr>
<td>CVE-2017-6214</td>
<td>A-37901268<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ccf7abb93af09ad0868ae9033d1ca8108bdaec82">
上游程式庫核心</a></td>
<td>DoS</td>
<td></td>
<td>網路子系統</td>
</tr>
<tr>
<td>CVE-2017-6346</td>
<td>A-37897645<br />
<a href="
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=d199fab63c11998a602205f7ee7ff7c05c97164b">
上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>Linux 核心</td>
</tr>
<tr>
<td>CVE-2017-5897</td>
<td>A-37871211<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=7892032cfe67f4bde6fc2ee967e45a8fbaf33756">
上游程式庫核心</a></td>
<td>ID</td>
<td></td>
<td>網路子系統</td>
</tr>
<tr>
<td>CVE-2017-7495</td>
<td>A-62198330<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=06bd3c36a733ac27962fea7d6f47168841376824">
上游程式庫核心</a></td>
<td>ID</td>
<td></td>
<td>檔案系統</td>
</tr>
<tr>
<td>CVE-2017-7616</td>
<td>A-37751399<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cf01fb9985e8deb25ccf0ea54d916b8871ae0e62">
上游程式庫核心</a></td>
<td>ID</td>
<td></td>
<td>Linux 核心</td>
</tr>
<tr>
<td>CVE-2017-12146</td>
<td>A-35676417<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/driver-core.git/commit/?h=driver-core-next&id=6265539776a0810b7ce6398c27866ddb9c6bd154">
上游程式庫核心</a></td>
<td>EoP</td>
<td></td>
<td>Linux 核心</td>
</tr>
<tr>
<td>CVE-2017-0794</td>
<td>A-35644812<a href="#asterisk">*</a></td>
<td>EoP</td>
<td></td>
<td>SCSI 驅動程式</td>
</tr>
</tbody></table>
<h3 id="mediatek-components">MediaTek 元件</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-0795</td>
<td>A-36198473<a href="#asterisk">*</a><br />
M-ALPS03361480</td>
<td>EoP</td>
<td></td>
<td>配件偵測器驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0796</td>
<td>A-62458865<a href="#asterisk">*</a><br />
M-ALPS03353884<br />
M-ALPS03353886<br />
M-ALPS03353887</td>
<td>EoP</td>
<td></td>
<td>AUXADC 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0797</td>
<td>A-62459766<a href="#asterisk">*</a><br />
M-ALPS03353854</td>
<td>EoP</td>
<td></td>
<td>配件偵測器驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0798</td>
<td>A-36100671<a href="#asterisk">*</a><br />
M-ALPS03365532</td>
<td>EoP</td>
<td></td>
<td>核心</td>
</tr>
<tr>
<td>CVE-2017-0799</td>
<td>A-36731602<a href="#asterisk">*</a><br />
M-ALPS03342072</td>
<td>EoP</td>
<td></td>
<td>Lastbus</td>
</tr>
<tr>
<td>CVE-2017-0800</td>
<td>A-37683975<a href="#asterisk">*</a><br />
M-ALPS03302988</td>
<td>EoP</td>
<td></td>
<td>TEEI</td>
</tr>
<tr>
<td>CVE-2017-0801</td>
<td>A-38447970<a href="#asterisk">*</a><br />
M-ALPS03337980</td>
<td>EoP</td>
<td></td>
<td>LibMtkOmxVdec</td>
</tr>
<tr>
<td>CVE-2017-0802</td>
<td>A-36232120<a href="#asterisk">*</a><br />
M-ALPS03384818</td>
<td>EoP</td>
<td></td>
<td>核心</td>
</tr>
<tr>
<td>CVE-2017-0803</td>
<td>A-36136137<a href="#asterisk">*</a><br />
M-ALPS03361477</td>
<td>EoP</td>
<td></td>
<td>配件偵測器驅動程式</td>
</tr>
<tr>
<td>CVE-2017-0804</td>
<td>A-36274676<a href="#asterisk">*</a><br />
M-ALPS03361487</td>
<td>EoP</td>
<td></td>
<td>MMC 驅動程式</td>
</tr>
</tbody></table>
<h3 id="qualcomm-components">Qualcomm 元件</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="17%" />
<col width="19%" />
<col width="9%" />
<col width="14%" />
<col width="39%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-11041</td>
<td>A-36130225<a href="#asterisk">*</a><br />
QC-CR#2053101</td>
<td>RCE</td>
<td>最高</td>
<td>LibOmxVenc</td>
</tr>
<tr>
<td>CVE-2017-10996</td>
<td>A-38198574<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9f261e5dfe101bbe35043822a89bffa78e080b3b">
QC-CR#901529</a></td>
<td>ID</td>
<td></td>
<td>Linux 核心</td>
</tr>
<tr>
<td>CVE-2017-9725</td>
<td>A-38195738<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?h=aosp/android-4.4&id=1f8f9b566e8446c13b954220c226c58d22076f88">
QC-CR#896659</a></td>
<td>EoP</td>
<td></td>
<td>記憶體子系統</td>
</tr>
<tr>
<td>CVE-2017-9724</td>
<td>A-38196929<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=5328a92fa26eabe2ba259b1d813f9de488efc9ec">
QC-CR#863303</a></td>
<td>EoP</td>
<td></td>
<td>Linux 核心</td>
</tr>
<tr>
<td>CVE-2017-8278</td>
<td>A-62379474<br />
<a href="https://source.codeaurora.org/quic/la/platform/hardware/qcom/audio/commit/?id=16caa80d6bd59fc645afda37dec4104d451e2f66">
QC-CR#2013236</a></td>
<td>EoP</td>
<td></td>
<td>音訊驅動程式</td>
</tr>
<tr>
<td>CVE-2017-10999</td>
<td>A-36490777<a href="#asterisk">*</a><br />
QC-CR#2010713</td>
<td>EoP</td>
<td></td>
<td>IPA 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-11001</td>
<td>A-36815555<a href="#asterisk">*</a><br />
QC-CR#2051433</td>
<td>ID</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-11002</td>
<td>A-37712167<a href="#asterisk">*</a><br />
QC-CR#2058452 QC-CR#2054690 QC-CR#2058455</td>
<td>ID</td>
<td></td>
<td>Wi-Fi 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-8250</td>
<td>A-62379051<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9be5b16de622c2426408425e3df29e945cd21d37">
QC-CR#2003924</a></td>
<td>EoP</td>
<td></td>
<td>GPU 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9677</td>
<td>A-62379475<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=dc333eb1c31b5bdd2b6375d7cb890086d8f27d8b">
QC-CR#2022953</a></td>
<td>EoP</td>
<td></td>
<td>音訊驅動程式</td>
</tr>
<tr>
<td>CVE-2017-10998</td>
<td>A-38195131<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=208e72e59c8411e75d4118b48648a5b7d42b1682">
QC-CR#108461</a></td>
<td>EoP</td>
<td></td>
<td>音訊驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9676</td>
<td>A-62378596<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=c1f749639030305a3b02185c180240a8195fb715">
QC-CR#2016517</a></td>
<td>ID</td>
<td></td>
<td>檔案系統</td>
</tr>
<tr>
<td>CVE-2017-8280</td>
<td>A-62377236<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=49b9a02eaaeb0b70608c6fbcadff7d83833b9614">
QC-CR#2015858</a></td>
<td>EoP</td>
<td></td>
<td>WLAN 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-8251</td>
<td>A-62379525<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=771254edea3486535453dbb76d090cd6bcf92af9">
QC-CR#2006015</a></td>
<td>EoP</td>
<td></td>
<td>相機驅動程式</td>
</tr>
<tr>
<td>CVE-2017-10997</td>
<td>A-33039685<a href="#asterisk">*</a><br />
QC-CR#1103077</td>
<td>EoP</td>
<td></td>
<td>PCI 驅動程式</td>
</tr>
<tr>
<td>CVE-2017-11000</td>
<td>A-36136563<a href="#asterisk">*</a><br />
QC-CR#2031677</td>
<td>EoP</td>
<td></td>
<td>相機驅動程式</td>
</tr>
<tr>
<td>CVE-2017-8247</td>
<td>A-62378684<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=84f8c42e5d848b1d04f49d253f98296e8c2280b9">
QC-CR#2023513</a></td>
<td>EoP</td>
<td></td>
<td>相機驅動程式</td>
</tr>
<tr>
<td>CVE-2017-9720</td>
<td>A-36264696<a href="#asterisk">*</a><br />
QC-CR#2041066</td>
<td>EoP</td>
<td></td>
<td>相機驅動程式</td>
</tr>
<tr>
<td>CVE-2017-8277</td>
<td>A-62378788<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=c9a6f09f1030cec591df837622cb54bbb2d24ddc">
QC-CR#2009047</a></td>
<td>EoP</td>
<td></td>
<td>視訊驅動程式</td>
</tr>
<tr>
<td>CVE-2017-8281</td>
<td>A-62378232<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id%3D9be5b16de622c2426408425e3df29e945cd21d37&sa=D&usg=AFQjCNHuM63XOo5Y0C7bMJQIIedBHSDKjw">
QC-CR#2015892</a></td>
<td>ID</td>
<td></td>
<td>汽車多媒體</td>
</tr>
<tr>
<td>CVE-2017-11040</td>
<td>A-37567102<a href="#asterisk">*</a><br />
QC-CR#2038166</td>
<td>ID</td>
<td></td>
<td>視訊驅動程式</td>
</tr>
</tbody></table>
<h2 id="google-device-updates">Google 裝置更新</h2>
<p>此表格包含最新無線下載更新 (OTA) 中的安全性修補程式等級和 Google 裝置的韌體映像檔。Google 裝置 OTA 可能還包括其他更新。您可以前往 <a href="https://developers.google.com/android/nexus/images">Google Developers 網站</a>取得 Google 裝置韌體映像檔。</p>
<aside class="note">Pixel、Pixel XL、Pixel C、Nexus Player、Nexus 5X 和 Nexus 6P 裝置將收到 9 月安全性修補程式,這是升級至 Android Oreo 的其中一部分。</aside>
<table>
<tbody><tr>
<th>Google 裝置</th>
<th>安全性修補程式等級</th>
</tr>
<tr>
<td>Pixel / Pixel XL</td>
<td>2017-09-05</td>
</tr>
<tr>
<td>Nexus 5X</td>
<td>2017-09-05</td>
</tr>
<tr>
<td>Nexus 6</td>
<td>2017-09-05</td>
</tr>
<tr>
<td>Nexus 6P</td>
<td>2017-09-05</td>
</tr>
<tr>
<td>Nexus 9</td>
<td>2017-09-05</td>
</tr>
<tr>
<td>Nexus Player</td>
<td>2017-09-05</td>
</tr>
<tr>
<td>Pixel C</td>
<td>2017-09-05</td>
</tr>
</tbody></table>
<h2 id="acknowledgements">特別銘謝</h2>
<p>感謝以下研究人員做出的貢獻:</p>
<table>
<colgroup><col width="17%" />
<col width="83%" />
</colgroup><tbody><tr>
<th>CVEs</th>
<th>研究人員</th>
</tr>
<tr>
<td>CVE-2017-11000</td>
<td>阿里巴巴行動安全小組成員 Baozeng Ding (<a href="https://twitter.com/sploving1">@sploving</a>)、Chengming Yang 和 Yang Song</td>
</tr>
<tr>
<td>CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785</td>
<td>Armis, Inc. 的 Ben Seri 和 Gregory Vishnepolsky (<a href="https://armis.com">https://armis.com</a>)</td>
</tr>
<tr>
<td>CVE-2017-0800, CVE-2017-0798</td>
<td>阿里巴巴行動安全小組成員 Chengming Yang、Baozeng Ding 和 Yang Song</td>
</tr>
<tr>
<td>CVE-2017-0765</td>
<td><a href="mailto:[email protected]">C0RE 小組</a>成員 <a href="https://twitter.com/Mingjian_Zhou">Chi Zhang</a>、Mingjian Zhou (<a href="http://c0reteam.org">@Mingjian_Zhou</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-0758</td>
<td>奇虎 360 成都安全性應變中心成員 <a href="http://weibo.com/csddl">Chong Wang</a> 和金哲 (Zhe Jin)</td>
</tr>
<tr>
<td>CVE-2017-0752</td>
<td>Palo Alto Networks 的 Cong Zheng (<a href="https://twitter.com/shellcong">@shellcong</a>)、Wenjun Hu、Xiao Zhang 和 Zhi Xu</td>
</tr>
<tr>
<td>CVE-2017-0801</td>
<td><a href="mailto:[email protected]">C0RE 小組</a>成員 <a href="https://twitter.com/Mingjian_Zhou">Dacheng Shao</a>、Mingjian Zhou (<a href="http://c0reteam.org">@Mingjian_Zhou</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-0755</td>
<td>阿里巴巴移動安全小組的 Dawei Peng (<a href="http://weibo.com/u/5622360291">微博:Vinc3nt4H</a>)</td>
</tr>
<tr>
<td>CVE-2017-0775, CVE-2017-0774, CVE-2017-0771</td>
<td>奇虎 360 科技有限公司 Alpha 小組成員 Elphet 和 Guang Gong</td>
</tr>
<tr>
<td>CVE-2017-0784</td>
<td><a href="https://twitter.com/heeeeen4x">MS509Team</a> 的 En He (<a href="http://www.ms509.com">@heeeeen4x</a>) 和 Bo Liu</td>
</tr>
<tr>
<td>CVE-2017-10997</td>
<td>奇虎 360 科技有限公司 IceSword 實驗室的 Gengjia Chen (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) 和 <a href="http://weibo.com/jfpan">pjf</a></td>
</tr>
<tr>
<td>CVE-2017-0786、CVE-2017-0792、CVE-2017-0791、CVE-2017-0790、CVE-2017-0789、CVE-2017-0788、CVE-2017-0787</td>
<td>奇虎 360 科技有限公司 Alpha 小組成員 Hao Chen 和 Guang Gong</td>
</tr>
<tr>
<td>CVE-2017-0802</td>
<td>Shellphish Grill 小組的 Jake Corina (<a href="https://twitter.com/JakeCorina">@JakeCorina</a>)</td>
</tr>
<tr>
<td>CVE-2017-0780</td>
<td>趨勢科技的 Jason Gu 和 Seven Shen</td>
</tr>
<tr>
<td>CVE-2017-0769</td>
<td><a href="https://twitter.com/Mingjian_Zhou">C0RE 小組</a>成員 Mingjian Zhou (<a href="mailto:[email protected]">@Mingjian_Zhou</a>)、<a href="http://c0reteam.org">Dacheng Shao</a> 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999,
CVE-2017-0766</td>
<td>百度安全實驗室的 Pengfei Ding (丁鵬飛)、Chenfu Bao (包沉浮) 和 Lenx Wei (韋韜)</td>
</tr>
<tr>
<td>CVE-2017-0772</td>
<td>趨勢科技的 Seven Shen</td>
</tr>
<tr>
<td>CVE-2017-0757</td>
<td>Vasily Vasiliev</td>
</tr>
<tr>
<td>CVE-2017-0768, CVE-2017-0779</td>
<td><a href="mailto:[email protected]">C0RE 小組</a>成員 <a href="https://twitter.com/Mingjian_Zhou">Wenke Dou</a>、Mingjian Zhou (<a href="http://c0reteam.org">@Mingjian_Zhou</a>) 和 Xuxian Jiang</td>
</tr>
<tr>
<td>CVE-2017-0759</td>
<td>阿里巴巴的 <a href="https://twitter.com/sunblate">Weichao Sun</a></td>
</tr>
<tr>
<td>CVE-2017-0796</td>
<td>阿里巴巴行動安全小組成員 Xiangqian Zhang、Chengming Yang、Baozeng Ding 和 Yang Song</td>
</tr>
<tr>
<td>CVE-2017-0753</td>
<td>奇虎 360 Qex 小組的 Yangkang (<a href="https://twitter.com/dnpushme">@dnpushme</a>) 和 hujianfei</td>
</tr>
<tr>
<td>CVE-2017-12146</td>
<td>奇虎 360 科技有限公司 IceSword 實驗室的 Yonggang Guo (<a href="https://twitter.com/guoygang">@guoygang</a>)</td>
</tr>
<tr>
<td>CVE-2017-0767</td>
<td><a href="http://xlab.tencent.com">騰訊玄武實驗室</a>的 Yongke Wang 和 Yuebin Sun</td>
</tr>
<tr>
<td>CVE-2017-0804、CVE-2017-0803、CVE-2017-0799、CVE-2017-0795</td>
<td>奇虎 360 科技有限公司 Vulpecker 小組的 <a href="http://weibo.com/panyu6325">Yu Pan</a><a href="mailto:[email protected]">Yang Dai</a></td>
</tr>
<tr>
<td>CVE-2017-0760</td>
<td>奇虎 360 成都安全性應變中心成員 <a href="http://weibo.com/ele7enxxh">Zinuo Han</a> 和金哲 (Zhe Jin)</td>
</tr>
<tr>
<td>CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778</td>
<td>奇虎 360 成都安全性應變中心成員 <a href="http://weibo.com/ele7enxxh">Zinuo Han</a></td>
</tr>
</tbody></table>
<h2 id="questions">常見問題與解答</h2>
<p>如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。</p>
<p><strong>1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
</strong></p>
<p>想瞭解如何查看裝置的安全性修補程式等級,請詳讀 <a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel 和 Nexus 更新時間表</a>中的操作說明。</p>
<ul>
<li>2017 年 9 月 1 日之後的安全性修補程式等級已解決了所有與 2017-09-01 安全性修補程式等級相關的問題。</li>
<li>2017 年 9 月 5 日之後的安全性修補程式等級完全解決了與 2017-09-05 安全性修補程式等級及所有先前修補程式等級相關的問題。
</li>
</ul>
<p>提供這些更新的裝置製造商應將修補程式字串等級設定為:</p>
<ul>
<li>[ro.build.version.security_patch]:[2017-09-01]</li>
<li>[ro.build.version.security_patch]:[2017-09-05]</li>
</ul>
<p><strong>2. 為什麼這篇公告有兩種安全性修補程式等級?</strong></p>
<p>本公告有兩種安全性修補程式等級,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全性修補程式等級。</p>
<ul>
<li>使用 2017 年 9 月 1 日安全性修補程式等級的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。</li>
<li>如果裝置是使用 2017 年 9 月 5 日之後的安全性修補程式等級,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。</li>
</ul>
<p>我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。</p>
<p id="type">
<strong>3. 「類型」<em></em>欄中的項目代表什麼意義?</strong></p>
<p>資安漏洞詳情表格中「類型」<em></em>欄中的項目代表的是安全性漏洞的類別。</p>
<table>
<colgroup><col width="25%" />
<col width="75%" />
</colgroup><tbody><tr>
<th>縮寫詞</th>
<th>定義</th>
</tr>
<tr>
<td>RCE</td>
<td>遠端程式碼執行</td>
</tr>
<tr>
<td>EoP</td>
<td>權限升級</td>
</tr>
<tr>
<td>ID</td>
<td>資訊外洩</td>
</tr>
<tr>
<td>DoS</td>
<td>拒絕服務</td>
</tr>
<tr>
<td></td>
<td>未分類</td>
</tr>
</tbody></table>
<p><strong>4. 「參考資料」<em></em>欄底下列出的識別碼代表什麼意義?</strong></p>
<p>資安漏洞詳情表格中「參考資料」<em></em>欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。</p>
<table>
<colgroup><col width="25%" />
<col width="75%" />
</colgroup><tbody><tr>
<th>前置字串</th>
<th>參考資料</th>
</tr>
<tr>
<td>A-</td>
<td>Android 錯誤 ID</td>
</tr>
<tr>
<td>QC-</td>
<td>Qualcomm 參考編號</td>
</tr>
<tr>
<td>M-</td>
<td>MediaTek 參考編號</td>
</tr>
<tr>
<td>N-</td>
<td>NVIDIA 參考編號</td>
</tr>
<tr>
<td>B-</td>
<td>Broadcom 參考編號</td>
</tr>
</tbody></table>
<p id="asterisk"><strong>5.「參考資料」<em></em>欄中 Android 錯誤 ID 旁邊的星號 (*) 代表什麼意義?</strong></p>
<p>在「參考資料」<em></em>欄中 Android 錯誤 ID 旁邊標上星號 (*) 代表該問題並未公開,相關的更新通常是直接整合在最新的 Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/nexus/drivers">Google Developers 網站</a>下載這些驅動程式。</p>
<h2 id="versions">版本</h2>
<table>
<colgroup><col width="25%" />
<col width="25%" />
<col width="50%" />
</colgroup><tbody><tr>
<th>版本</th>
<th>日期</th>
<th>附註</th>
</tr>
<tr>
<td>1.0</td>
<td>2017 年 9 月 5 日</td>
<td>發佈公告。</td>
</tr>
<tr>
<td>1.1</td>
<td>2017 年 9 月 12 日</td>
<td>新增 CVE-2017-0781、CVE-2017-0782、CVE-2017-0783 和 CVE-2017-0785 的細節做為業界合作揭露資訊。</td>
</tr>
<tr>
<td>1.2</td>
<td>2017 年 9 月 13 日</td>
<td>修訂公告,加入 AOSP 連結。</td>
</tr>
<tr>
<td>1.3</td>
<td>2017 年 9 月 25 日</td>
<td>新增 CVE-2017-11120 和 CVE-2017-11121 的細節做為業界合作揭露資訊。</td>
</tr>
<tr>
<td>1.4</td>
<td>2017 年 9 月 28 日</td>
<td>更新 CVE-2017-11001 的廠商參考資料。</td>
</tr>
</tbody></table>
</body></html>