upload android base code part8

2018-08-08 20:10:12 +08:00 · 2018-08-08 20:10:12 +08:00 · 5425409085
commit 5425409085
parent 841ae54672
57075 changed files with 9846578 additions and 0 deletions
--- a/android/docs/source.android.com/zh-tw/security/advisory/2016-03-18.html
+++ b/android/docs/source.android.com/zh-tw/security/advisory/2016-03-18.html
@ -0,0 +1,187 @@
+<html devsite>
+  <head>
+    <title>Android 安全性公告—2016 年 3 月 18 日</title>
+    <meta name="project_path" value="/_project.yaml" />
+    <meta name="book_path" value="/_book.yaml" />
+  </head>
+  <body>
+  <!--
+      Copyright 2017 The Android Open Source Project
+
+      Licensed under the Apache License, Version 2.0 (the "License");
+      you may not use this file except in compliance with the License.
+      You may obtain a copy of the License at
+
+          http://www.apache.org/licenses/LICENSE-2.0
+
+      Unless required by applicable law or agreed to in writing, software
+      distributed under the License is distributed on an "AS IS" BASIS,
+      WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+      See the License for the specific language governing permissions and
+      limitations under the License.
+  -->
+
+
+
+<p><em>發佈日期：2016 年 3 月 18 日</em></p>
+
+<p>「Android 安全性公告」為「Nexus 安全性公告」的補充內容。
+想進一步瞭解「安全性公告」，請參閱我們的<a href="index.html">摘要網頁</a>。</p>
+
+<h2 id="summary">摘要</h2>
+
+<p>Google 發現一個 Root 權限獲取應用程式會惡意
+運用部分 Android 裝置核心中某個未修補的本機權限升級漏洞
+(<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>)。
+只有使用者在裝置上安裝這個應用程式時，裝置才會受到影響。針對
+惡意運用這個漏洞的 Root 權限獲取應用程式，
+Google 已透過<a href="https://support.google.com/accounts/answer/2812853">驗證應用程式</a>封鎖安裝作業
+(無論是不是透過 Google Play 進行安裝)，
+也更新了我們的系統，以便偵測任何利用這個特定漏洞的
+應用程式。</p>
+
+<p>為針對這個問題提供最終一層防護，我們已在 2016 年 3 月 16 日
+向合作夥伴提供這個問題專用的修補程式。Nexus 更新目前正在製作中，
+近日就會發佈。這個問題的原始碼修補程式已
+發佈到 Android 開放原始碼計劃 (AOSP) 存放區。</p>
+
+<h3 id="background">背景</h3>
+
+<p>這是 Linux 上游核心中的已知問題，在 2014 年 4 月獲得修正，
+但直到 2015 年 2 月 2 日才列為安全性修正並獲派編號
+<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a>。2016 年 2 月 19 日，C0RE 小組向 Google 發出通知，
+指出有心人士可能會在 Android 裝置上惡意運用這個問題漏洞，
+而他們開發的修補程式會收錄在下一次的每月定期更新中。</p>
+
+<p>2016 年 3 月 15 日，Google 收到
+ Zimperium 回報，
+表示有人在 Nexus 5 裝置上濫用這個漏洞。Google 已經確認，有一個公開發行的 Root 權限獲取應用程式
+在 Nexus 5 和 Nexus 6 裝置上濫用這個漏洞，
+為裝置使用者提供 Root 權限。</p>
+
+<p>由於這個問題可能會
+讓有心人士取得本機進階權限並執行任意程式碼，進而導致
+本機裝置受到永久性破壞，因此<a href="/security/overview/updates-resources.html#severity">嚴重程度被評定為「最高」</a>。</p>
+
+<h3 id="scope">範圍</h3>
+
+
+<p>本公告適用於所有搭載核心 3.4、3.10 和 3.14 版本，且未經修補
+的 Android 裝置 (包括所有 Nexus 裝置)。使用 Linux 核心 3.18 以上版本的 Android 裝置則不受影響。</p>
+
+<h3 id="mitigations">因應措施</h3>
+
+
+<p>我們已取採下列幾種因應措施，降低使用者受到此問題影響的可能性：</p>
+
+<ul>
+  <li> 「驗證應用程式」已完成更新，針對我們已知企圖
+惡意運用此漏洞的應用程式封鎖安裝作業 (無論是不是
+透過 Google Play 進行安裝)。
+  <li> Google Play 不允許 Root 權限獲取應用程式 (例如會惡意運用這個問題的應用程式) 上架。
+  <li> 使用 <a href="https://support.google.com/nexus/answer/4457705">Linux 核心 3.18</a>
+以上版本的 Android 裝置不會受到影響。
+</li></li></li></ul>
+
+<h3 id="acknowledgements">特別銘謝</h3>
+
+
+<p>Android 感謝 <a href="http://c0reteam.org/">C0RE 小組</a>和 
+<a href="https://www.zimperium.com/">Zimperium</a> 對本公告相關問題做出的
+貢獻。</p>
+
+<h3 id="suggested_actions">建議採取的動作</h3>
+
+
+<p>Android 建議所有使用者在有裝置更新可用時
+進行更新。</p>
+
+<h3 id="fixes">修正</h3>
+
+
+<p>Google 已針對多個核心版本在 AOSP 存放區發佈修正程式。
+Android 已向合作夥伴發出相關修正程式的通知，
+並建議他們加以套用。如需進一步的更新，Android 將直接發佈至 AOSP。</p>
+
+<table>
+ <tr>
+    <th>核心版本</th>
+    <th>修補程式</th>
+ </tr>
+ <tr>
+    <td>3.4</td>
+    <td><a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">AOSP 修補程式</a></td>
+ </tr>
+ <tr>
+    <td>3.10</td>
+    <td><a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">AOSP 修補程式</a></td>
+ </tr>
+ <tr>
+    <td>3.14</td>
+    <td><a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">AOSP 修補程式</a></td>
+ </tr>
+ <tr>
+    <td>3.18+</td>
+    <td>已在公開的 Linux 核心中修補完成</td>
+ </tr>
+</table>
+
+
+<h2 id="common_questions_and_answers">常見問題與解答</h2>
+
+
+<p><strong>1. 這個問題會有什麼影響？</strong></p>
+
+<p>核心中的權限升級漏洞可讓本機
+惡意應用程式在核心中執行任意程式碼。由於這個問題
+可能會導致本機裝置受到永久性破壞，而只能以
+還原 (Re-flash) 作業系統的方式修復，因此嚴重程度
+被評定為「最高」。</p>
+
+<p><strong>2. 攻擊者會如何惡意運用這個問題？</strong></p>
+
+<p>如果使用者安裝會惡意運用這個問題的應用程式，就必須承擔
+風險。Google Play 會禁止 Root 權限獲取應用程式 (例如會
+惡意運用這個問題的應用程式) 上架，而且 Google 會透過驗證應用
+程式封鎖這類應用程式在 Google Play 以外的安裝作業。這樣一來，攻擊者
+就必須設法說服使用者手動安裝受影響的
+應用程式。</p>
+
+<p><strong>3. 哪些裝置會受到影響？</strong></p>
+
+<p>Google 已確認這項惡意攻擊可在 Nexus 5 和 Nexus 6 上運作，不過所有
+未經修補的 Android 版本都含有這項漏洞。</p>
+
+<p><strong>4. Google 是否已發現此漏洞遭到濫用的證據？</strong></p>
+
+<p>是的，Google 已發現證據，確定有人透過可公開取得的 Root 權限獲取工具
+在 Nexus 5 上濫用此漏洞。不過，Google 尚未發現可歸類為
+「惡意」的運用情形。</p>
+
+<p><strong>5. 如何解決這個問題？</strong></p>
+
+<p><a href="https://static.googleusercontent.com/media/source.android.com/en//security/reports/Android_WhitePaper_Final_02092016.pdf">
+Google Play</a> 已禁止企圖運用
+這個問題的應用程式上架。同樣地，「驗證應用程式」會針對嘗試運用此問題的應用程式，
+封鎖在 Google Play 以外的安裝作業。此外，只要
+更新程式準備就緒，Google Nexus 裝置就會立即安裝
+修補程式，我們也已通知 Android 合作夥伴，讓他們能同時發佈類似的更新程式。</p>
+
+<p><strong>6. 如何得知我的裝置是否已安裝此問題的修正程式？</strong></p>
+
+<p>Android 已向合作夥伴提供兩種方法，方便他們確認自己的裝置
+不會受到此問題影響。安全修補等級日期為 2016 年 3 月 18 日
+的 Android 裝置不受影響。安全修補等級日期
+在 2016 年 4 月 2 日之後的 Android 裝置也不受此問題影響。請參閱
+<a href="https://support.google.com/nexus/answer/4457705">這篇文章</a>，
+瞭解如何查看安全修補等級。</p>
+
+<h2 id="revisions">修訂版本</h2>
+
+
+<ul>
+  <li> 2016 年 3 月 18 日：發佈公告。
+</li></ul>
+
+  </body>
+</html>