blob: 5c4b2e86cb9ceb73be87e5f94ac604f0765cbe7b (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
|
<html devsite><head>
<title>Android 安全性公告 - 2018 年 7 月</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2018 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
//www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>發佈日期:2018 年 7 月 2 日 | 更新日期:2018 年 7 月 3 日</em></p>
<p>
Android 安全性公告列舉對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。2018-07-05 之後的安全性修補程式等級已解決了這些問題。請參閱<a href="https://support.google.com/pixelphone/answer/4457705">檢查及更新 Android 版本</a>一文,瞭解如何查看裝置的安全性修補程式等級。
</p>
<p>
Android 的合作夥伴至少會提前一個月收到公告中所有問題的相關通知。這些問題的原始碼修補程式已發佈到 Android 開放原始碼計劃 (AOSP) 存放區中,且公告中亦提供相關連結。此外,本公告也提供 Android 開放原始碼計劃以外的修補程式連結。
</p>
<p>
在這些問題中,最嚴重的就是媒體架構中嚴重程度「最高」的安全性漏洞。遠端攻擊者可利用這類漏洞,在獲得授權的程序環境內透過特製檔案執行任何程式碼。<a href="/security/overview/updates-resources.html#severity">嚴重程度評定標準</a>是假設平台與服務的因應防護措施基於開發作業的需求而被關閉,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,使用者的裝置會受到多大的影響,據此評定漏洞的嚴重程度。
</p>
<p>
針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果想進一步瞭解 <a href="/security/enhancements/index.html">Android 安全性平台防護措施</a>和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 <a href="#mitigations">Android 和 Google Play 安全防護機制所提供的因應措施</a>。
</p>
<p class="note">
<strong>注意:</strong>在 <a href="/security/bulletin/pixel/2018-07-01.html">2018 年 7 月 Pixel/Nexus 安全性公告</a>中,我們提供了 Google 裝置適用的最新無線下載更新 (OTA) 和韌體映像檔的相關資訊。
</p>
<h2 id="mitigations">Android 和 Google 服務問題因應措施</h2>
<p>
本節概述 <a href="/security/enhancements/index.html">Android 安全性平台</a>和 <a href="https://www.android.com/play-protect">Google Play 安全防護</a>等服務防護方案所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。
</p>
<ul>
<li>Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。</li>
<li>Android 安全性小組透過 <a href="https://www.android.com/play-protect">Google Play 安全防護</a>主動監控濫用情形;使用這些功能的目的是在發現<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">可能有害的應用程式</a>時警告使用者。在預設情況下,搭載 <a href="http://www.android.com/gms">Google 行動服務</a>的裝置會自動啟用 Google Play 安全防護機制。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。</li>
</ul>
<h2 id="2018-07-01-details">2018-07-01 安全性修補程式等級 - 資安漏洞詳情</h2>
<p>
下列各節針對 2018-07-01 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了問題說明和一份 CVE 資訊表,其中包括了相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>,以及更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p>
<h3 id="framework">架構</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="21%" />
<col width="21%" />
<col width="14%" />
<col width="14%" />
<col width="30%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2018-9433</td>
<td>A-38196219<a href="#asterisk">*</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
</tr>
<tr>
<td>CVE-2018-9410</td>
<td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/62e88b9f3ac35e1e69d79c7a43c6f9ddcd5980a3">A-77822336</a></td>
<td>ID</td>
<td>高</td>
<td>8.0、8.1</td>
</tr>
</tbody></table>
<h3 id="media-framework">媒體架構</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="21%" />
<col width="21%" />
<col width="14%" />
<col width="14%" />
<col width="30%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2018-9411</td>
<td><a href="https://android.googlesource.com/platform/system/libhidl/+/e1302cfda34be9dd0a4aeae6bfa9561b44536758">A-79376389</a></td>
<td>RCE</td>
<td>最高</td>
<td>8.0、8.1</td>
</tr>
<tr>
<td>CVE-2018-9424</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/d3860e51b83296ae1d2921d8109210283573862a">A-76221123</a></td>
<td>EoP</td>
<td>高</td>
<td>8.0、8.1</td>
</tr>
<tr>
<td>CVE-2018-9428</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/46bd7c682db5bbc048b177c52448a7999e5740ce">A-74122779</a></td>
<td>EoP</td>
<td>高</td>
<td>8.1</td>
</tr>
<tr>
<td>CVE-2018-9412</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/fa12c0fcdc6607b746177ccad4f7099098b4849a">A-78029004</a></td>
<td>DoS</td>
<td>高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td>
</tr>
<tr>
<td>CVE-2018-9421</td>
<td><a href="https://android.googlesource.com/platform/frameworks/native/+/ff2171f2460e3a6d3443ab957732b8b7d4831d40">A-77237570</a></td>
<td>ID</td>
<td>高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td>
</tr>
</tbody></table>
<h3 id="system">系統</h3>
<p>本節中最嚴重的漏洞可能會讓遠端攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="21%" />
<col width="21%" />
<col width="14%" />
<col width="14%" />
<col width="30%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>更新的 Android 開放原始碼計劃版本</th>
</tr>
<tr>
<td>CVE-2018-9365</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/ae94a4c333417a1829030c4d87a58ab7f1401308">A-74121126</a></td>
<td>RCE</td>
<td>最高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td>
</tr>
<tr>
<td>CVE-2018-9432</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/a6fe2cd18c77c68219fe7159c051bc4e0003fc40">A-73173182</a></td>
<td>EoP</td>
<td>高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td>
</tr>
<tr>
<td>CVE-2018-9420</td>
<td><a href="https://android.googlesource.com/platform/system/media/+/12df4b05fd918d836636e21f783df7ad9d5e17a3">A-77238656</a></td>
<td>ID</td>
<td>高</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td>
</tr>
<tr>
<td>CVE-2018-9419</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/f1c2c86080bcd7b3142ff821441696fc99c2bc9a">A-74121659</a></td>
<td>ID</td>
<td>高</td>
<td>7.0、7.1.1、7.1.2、8.0、8.1</td>
</tr>
</tbody></table>
<h2 id="2018-07-05-details">2018-07-05 安全性修補程式等級 - 資安漏洞詳情</h2>
<p>
下列各節針對 2018-07-05 安全性修補程式等級適用的各項安全性漏洞提供了詳細資訊,我們依照資安問題本身所影響的元件將各項漏洞分門別類,另外也附上了一些詳細資料,例如 CVE、相關參考資料、<a href="#type">漏洞類型</a>、<a href="/security/overview/updates-resources.html#severity">嚴重程度</a>、元件 (在適用情況下),和更新的 Android 開放原始碼計劃版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計劃變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。</p>
<h3 id="kernel-components">核心元件</h3>
<p>本節中最嚴重的漏洞可能會讓本機惡意應用程式在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="21%" />
<col width="21%" />
<col width="14%" />
<col width="14%" />
<col width="30%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2018-5703</td>
<td>A-73543437<br />
<a href="https://patchwork.ozlabs.org/patch/801530/">上游程式庫核心</a></td>
<td>EoP</td>
<td>高</td>
<td>IPV6 堆疊</td>
</tr>
<tr>
<td>CVE-2018-9422</td>
<td>A-74250718<br />
<a href="https://patchwork.kernel.org/patch/8265111/">上游程式庫核心</a></td>
<td>EoP</td>
<td>高</td>
<td>futex</td>
</tr>
<tr>
<td>CVE-2018-9417</td>
<td>A-74447444*<br />
上游程式庫核心<a href="#asterisk">*</a></td>
<td>EoP</td>
<td>高</td>
<td>USB 驅動程式</td>
</tr>
<tr>
<td>CVE-2018-6927</td>
<td>A-76106267<br />
<a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=fbe0e839d1e22d88810f3ee3e2f1479be4c0aa4a">上游程式庫核心</a></td>
<td>EoP</td>
<td>高</td>
<td>futex</td>
</tr>
</tbody></table>
<h3 id="qualcomm-components">Qualcomm 元件</h3>
<p>本節中最嚴重的漏洞可能會讓鄰近的攻擊者得以利用特製檔案在獲得授權的程序環境內執行任何程式碼。</p>
<table>
<colgroup><col width="21%" />
<col width="21%" />
<col width="14%" />
<col width="14%" />
<col width="30%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2018-5872</td>
<td>A-77528138<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qca-wifi-host-cmn/commit/?id=7d65c1b32df795d4e95cdf2cfb624126f5125220">QC-CR#2183014</a></td>
<td>RCE</td>
<td>最高</td>
<td>WLAN</td>
</tr>
<tr>
<td>CVE-2017-13077、CVE-2017-13078</td>
<td>A-78285557<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=5c671a69c57ce4fd84f0eaf082b336a49d0cf5dd">QC-CR#2133114</a></td>
<td>ID</td>
<td>高</td>
<td>WLAN</td>
</tr>
<tr>
<td>CVE-2018-5873</td>
<td>A-77528487<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-4.9/commit/?id=34742aaf7cb16c95edba4a7afed6d2c4fa7e434b">QC-CR#2166382</a></td>
<td>EoP</td>
<td>高</td>
<td>nsfs</td>
</tr>
<tr>
<td>CVE-2018-5838</td>
<td>A-63146462<a href="#asterisk">*</a><br />
QC-CR#2151011</td>
<td>EoP</td>
<td>高</td>
<td>OpenGL ES 驅動程式</td>
</tr>
<tr>
<td>CVE-2018-3586</td>
<td>A-63165135<a href="#asterisk">*</a><br />
QC-CR#2139538<br />
QC-CR#2073777</td>
<td>RCE</td>
<td>高</td>
<td>ADSPRPC 記憶體快照管理員</td>
</tr>
</tbody></table>
<h3 id="qualcomm-closed-source-components">Qualcomm 封閉原始碼元件</h3>
<p>以下列出會影響 Qualcomm 元件的安全性漏洞,詳情請參考適用的 Qualcomm AMSS 安全性公告或安全性警示。這些問題的嚴重程度是由 Qualcomm 直接評定。</p>
<table>
<colgroup><col width="21%" />
<col width="21%" />
<col width="14%" />
<col width="14%" />
<col width="30%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>參考資料</th>
<th>類型</th>
<th>嚴重程度</th>
<th>元件</th>
</tr>
<tr>
<td>CVE-2017-18171</td>
<td>A-78240792<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18277</td>
<td>A-78240715<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18172</td>
<td>A-78240449<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18170</td>
<td>A-78240612<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-15841</td>
<td>A-78240794<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18173</td>
<td>A-78240199<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18278</td>
<td>A-78240071<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2016-2108</td>
<td>A-78240736<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18275</td>
<td>A-78242049<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18279</td>
<td>A-78241971<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18274</td>
<td>A-78241834<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18276</td>
<td>A-78241375<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2017-18131</td>
<td>A-68989823<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-11259</td>
<td>A-72951265<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-11257</td>
<td>A-74235874<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-5837</td>
<td>A-74236406<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-5876</td>
<td>A-77485022<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-5875</td>
<td>A-77485183<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-5874</td>
<td>A-77485139<a href="#asterisk">*</a></td>
<td>無</td>
<td>最高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-5882</td>
<td>A-77483830<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
<tr>
<td>CVE-2018-5878</td>
<td>A-77484449<a href="#asterisk">*</a></td>
<td>無</td>
<td>高</td>
<td>封閉原始碼元件</td>
</tr>
</tbody></table>
<h2 id="common-questions-and-answers">常見問題與解答</h2>
<p>如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。</p>
<p><strong>1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?</strong></p>
<p>請參閱<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">檢查及更新 Android 版本</a>一文,瞭解如何查看裝置的安全性修補程式等級。</p>
<ul>
<li>2018-07-01 之後的安全性修補程式等級已解決了所有與 2018-07-01 安全性修補程式等級相關的問題。</li>
<li>2018-07-05 之後的安全性修補程式等級完全解決了與 2018-07-05 安全性修補程式等級及所有先前修補程式等級相關的問題。</li>
</ul>
<p>提供這些更新的裝置製造商應將修補程式字串等級設定為:</p>
<ul>
<li>[ro.build.version.security_patch]:[2018-07-01]</li>
<li>[ro.build.version.security_patch]:[2018-07-05]</li>
</ul>
<p><strong>2. 為什麼這篇公告有兩種安全性修補程式等級?</strong></p>
<p>
本公告有兩種安全性修補程式等級,讓 Android 合作夥伴能夠靈活運用,以快速修正某些發生在所有 Android 裝置上的類似漏洞。我們建議 Android 合作夥伴修正本公告所列的所有問題,並使用最新的安全性修補程式等級。
</p>
<ul>
<li>安全性修補程式等級為 2018-07-01 的裝置必須納入所有與該安全性修補程式等級相關的問題,以及在之前安全性公告中回報的所有問題適用的修正程式。</li>
<li>如果裝置的安全性修補程式等級在 2018-07-05 之後,就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。</li>
</ul>
<p>
我們建議合作夥伴將所有問題適用的修補程式都彙整在單一更新中。
</p>
<p id="type">
<strong>3.「類型」<em></em>欄中的項目代表什麼意義?</strong>
</p>
<p>
在資安漏洞詳情表格中,「類型」<em></em>欄中的項目代表的是安全性漏洞的類別。
</p>
<table>
<colgroup><col width="25%" />
<col width="75%" />
</colgroup><tbody><tr>
<th>縮寫</th>
<th>定義</th>
</tr>
<tr>
<td>RCE</td>
<td>遠端程式碼執行</td>
</tr>
<tr>
<td>EoP</td>
<td>權限升級</td>
</tr>
<tr>
<td>ID</td>
<td>資訊外洩</td>
</tr>
<tr>
<td>DoS</td>
<td>阻斷服務</td>
</tr>
<tr>
<td>無</td>
<td>未分類</td>
</tr>
</tbody></table>
<p>
<strong>4.「參考資料」<em></em>欄底下列出的識別碼代表什麼意義?</strong>
</p>
<p>
資安漏洞詳情表格中「參考資料」<em></em>欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。
</p>
<table>
<colgroup><col width="25%" />
<col width="75%" />
</colgroup><tbody><tr>
<th>前置字串</th>
<th>參考資料</th>
</tr>
<tr>
<td>A-</td>
<td>Android 錯誤 ID</td>
</tr>
<tr>
<td>QC-</td>
<td>Qualcomm 參考編號</td>
</tr>
<tr>
<td>M-</td>
<td>MediaTek 參考編號</td>
</tr>
<tr>
<td>N-</td>
<td>NVIDIA 參考編號</td>
</tr>
<tr>
<td>B-</td>
<td>Broadcom 參考編號</td>
</tr>
</tbody></table>
<p id="asterisk">
<strong>5.「參考資料」<em></em>欄中 Android 錯誤 ID 旁邊的星號 (*) 代表什麼意義?</strong>
</p>
<p>
在「參考資料」<em></em>欄中的 Android 錯誤 ID 旁邊標上星號 (*) 代表該問題並未公開,相關的更新通常是直接整合在最新的 Pixel/Nexus 裝置專用驅動程式的安裝檔中。您可以前往 <a href="https://developers.google.com/android/drivers">Google Developers 網站</a>下載這些驅動程式。
</p>
<p>
<strong>6. 為什麼安全性漏洞會分別刊載在這份安全性公告和裝置/合作夥伴安全性公告 (例如 Pixel/Nexus 公告)?</strong>
</p>
<p>
為了宣告 Android 裝置最新的安全性修補程式等級,我們必須先在這份安全性公告中刊載相關的安全性漏洞。裝置/合作夥伴安全性公告所刊載的其他安全性漏洞則未強制規定宣告安全性修補程式等級。我們鼓勵 Android 裝置和晶片組製造商將旗下裝置的其他修正刊載在自己的安全性網站上,例如 <a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html">LGE</a> 或是 <a href="/security/bulletin/pixel/">Pixel/Nexus</a> 安全性公告。
</p>
<h2 id="versions">版本</h2>
<table>
<colgroup><col width="25%" />
<col width="25%" />
<col width="50%" />
</colgroup><tbody><tr>
<th>版本</th>
<th>日期</th>
<th>附註</th>
</tr>
<tr>
<td>1.0</td>
<td>2018 年 7 月 2 日</td>
<td>發佈公告。</td>
</tr>
<tr>
<td>1.1</td>
<td>2018 年 7 月 3 日</td>
<td>修訂公告內容 (加入 Android 開放原始碼計劃連結)。</td>
</tr>
<tr>
<td>1.2</td>
<td>2018 年 7 月 11 日</td>
<td>將 CVE-2018-5855 和 CVE-2018-11258 從 2018-07-05 SPL 中移除。</td>
</tr>
</tbody></table>
</body></html>
|
