หน้านี้ได้รับการแปลโดย Cloud Translation API

กระดานข่าวความปลอดภัยของ Android—ตุลาคม 2021

เผยแพร่เมื่อ 4 ตุลาคม 2021 | อัปเดตเมื่อวันที่ 29 พฤศจิกายน 2021

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยในวันที่ 10-05-2021 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พันธมิตร Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนเผยแพร่ แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังพื้นที่เก็บข้อมูล Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมลิงก์ไปยังแพตช์ภายนอก AOSP อีกด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในองค์ประกอบของระบบ ซึ่งสามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้การส่งข้อมูลที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

โปรดดูส่วน การลดปัญหา Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

การบรรเทาปัญหาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบจาก แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

การใช้ประโยชน์จากปัญหาต่างๆ บน Android ทำได้ยากขึ้นด้วยการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดเมื่อเป็นไปได้
ทีมรักษาความปลอดภัยของ Android จะคอยตรวจสอบการละเมิดผ่านทาง Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญเป็นพิเศษสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 10-01-2021

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพทช์ประจำปี 2021-10-01 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ ปัญหาต่างๆ ได้รับการอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง การอัปเดตระบบ Google Play

รันไทม์ของ Android

ช่องโหว่ในส่วนนี้อาจทำให้ผู้โจมตีในพื้นที่ที่สามารถเข้าถึงอุปกรณ์สามารถรันโค้ดที่กำหนดเองเพื่อเข้าถึงสิทธิ์เพิ่มเติมได้

ซีวีอี	อ้างอิง	พิมพ์	ความรุนแรง	อัปเดตเวอร์ชัน AOSP
CVE-2021-0703	A-184569329	อีโอพี	สูง	11

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี	อ้างอิง	พิมพ์	ความรุนแรง	อัปเดตเวอร์ชัน AOSP
CVE-2021-0652	A-185178568	อีโอพี	สูง	8.1, 9, 10, 11
CVE-2021-0705	A-185388103	อีโอพี	สูง	10, 11
CVE-2021-0708	A-183262161	อีโอพี	สูง	8.1, 9, 10, 11
CVE-2020-15358	A-192605364	บัตรประจำตัวประชาชน	สูง	11
CVE-2021-0702	A-193932765	บัตรประจำตัวประชาชน	สูง	11
CVE-2021-0651	A-67013844	ดอส	สูง	9, 10, 11

กรอบสื่อ

ช่องโหว่ในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถเรียกใช้โค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิ์ได้

ซีวีอี	อ้างอิง	พิมพ์	ความรุนแรง	อัปเดตเวอร์ชัน AOSP
CVE-2021-0483	A-153358911 [ 2 ]	อีโอพี	สูง	10, 11

การอัปเดตระบบ Google Play

ไม่มีปัญหาด้านความปลอดภัยที่ได้รับการแก้ไขในการอัปเดตระบบ Google Play (Project Mainline) ในเดือนนี้

รายละเอียดช่องโหว่ระดับแพทช์รักษาความปลอดภัย 2021-10-05

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ปี 2021-10-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ ปัญหาต่างๆ ได้รับการอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง

ระบบ

ช่องโหว่ในส่วนนี้สามารถเปิดใช้งานผู้โจมตีจากระยะไกลโดยใช้การส่งข้อมูลที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดที่กำหนดเองภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี	อ้างอิง	พิมพ์	ความรุนแรง	อัปเดตเวอร์ชัน AOSP
CVE-2021-0870	A-192472262	อาร์ซีอี	วิกฤต	8.1, 9, 10, 11

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีเฉพาะที่เรียกใช้โค้ดที่กำหนดเองได้ภายในบริบทของกระบวนการที่ได้รับสิทธิพิเศษ

ซีวีอี	อ้างอิง	พิมพ์	ความรุนแรง	ส่วนประกอบ
CVE-2020-29660	A-175451844 เคอร์เนลต้นน้ำ	อีโอพี	สูง	ทีทีวาย
CVE-2020-10768	A-169505929 เคอร์เนลต้นน้ำ	บัตรประจำตัวประชาชน	สูง	การป้องกัน i86 Spectre v2
CVE-2021-29647	A-184622099 เคอร์เนลต้นน้ำ	บัตรประจำตัวประชาชน	สูง	รองรับเราเตอร์ Qualcomm IPC

โทรคมนาคม

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลระยะไกลโดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวีอี	อ้างอิง	พิมพ์	ความรุนแรง	ส่วนประกอบ
CVE-2021-27666	A-180401789 *	บัตรประจำตัวประชาชน	สูง	โมเด็ม

ส่วนประกอบของควอลคอมม์

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสม การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

ซีวีอี	อ้างอิง	ความรุนแรง	ส่วนประกอบ
CVE-2020-11264	A-175608649 QC-CR#2860206 [ 2 ]	วิกฤต	เครือข่ายไร้สาย
CVE-2020-11301	A-179929247 QC-CR#2860198 * QC-CR#2867022 [ 2 ] [ 3 ]	วิกฤต	เครือข่ายไร้สาย
CVE-2020-24587	A-175626671 QC-CR#2860131 QC-CR#2868012 * QC-CR#2875946 [ 2 ] QC-CR#2875950 QC-CR#2874366	สูง	เครือข่ายไร้สาย
CVE-2020-24588	A-175626624 QC-CR#2866467 * QC-CR#2867578 * QC-CR#2867994 QC-CR#2868616 * QC-CR#2877094 * QC-CR#2879013 * QC-CR#2883162 * QC-CR#2886422 * QC-CR#2888466 * QC-CR#2890623 * QC-CR#2896070 * QC-CR#2896369 * QC-CR#2861800 [ 2 ] [ 3 ] [ 4 ] [ 5 ] QC-CR#2943860 *	สูง	เครือข่ายไร้สาย
CVE-2020-26139	A-177911151 QC-CR#2860248 QC-CR#2868054 QC-CR#2888227 QC-CR#2888467 QC-CR#2942096 QC-CR#2943789 [ 2 ] [ 3 ] [ 4 ] [ 5 ] QC-CR#2867013 *	สูง	เครือข่ายไร้สาย
CVE-2020-26141	A-177911676 QC-CR#2869483	สูง	เครือข่ายไร้สาย
CVE-2020-26145	A-177910901 QC-CR#2860245 QC-CR#2868035 * QC-CR#2893212	สูง	เครือข่ายไร้สาย
CVE-2020-26146	A-175626808 QC-CR#2860242 QC-CR#2874369	สูง	เครือข่ายไร้สาย
CVE-2021-1977	A-193070701 QC-CR#2859024 [ 2 ]	สูง	เครือข่ายไร้สาย
CVE-2021-1980	A-190404330 QC-CR#2873394	สูง	เครือข่ายไร้สาย
CVE-2021-30305	A-193070437 QC-CR#2913910	สูง	แสดง
CVE-2021-30306	A-193071117 QC-CR#2915692	สูง	เสียง
CVE-2021-30312	A-193070595 QC-CR#2948107 [ 2 ]	สูง	เครือข่ายไร้สาย

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบแบบปิดของ Qualcomm และมีการอธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสม การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

ซีวีอี	อ้างอิง	ความรุนแรง	ส่วนประกอบ
CVE-2020-11303	A-193070323 *	สูง	ส่วนประกอบแบบปิด
CVE-2020-26140	A-177911345 *	สูง	ส่วนประกอบแบบปิด
CVE-2020-26147	A-177910719 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1913	A-184561641 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1917	A-184561580 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1932	A-184561562 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1936	A-184561359 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1949	A-184561794 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1959	A-184561776 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1983	A-190402581 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1984	A-190403732 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-1985	A-190404406 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30256	A-190404960 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30257	A-190403214 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30258	A-190404449 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30288	A-193069567 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30291	A-190404407 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30292	A-190404329 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30297	A-190403733 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30302	A-193070343 *	สูง	ส่วนประกอบแบบปิด
CVE-2021-30310	A-193070558 *	สูง	ส่วนประกอบแบบปิด

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

ระดับแพตช์ความปลอดภัยปี 2021-10-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยปี 2021-10-01
ระดับแพตช์รักษาความปลอดภัยปี 2021-10-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์รักษาความปลอดภัยปี 2021-10-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

[ro.build.version.security_patch]:[2021-10-01]
[ro.build.version.security_patch]:[2021-10-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2021-10-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งการอัปเดตความปลอดภัย

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์รักษาความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์รักษาความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น เราสนับสนุนให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

อุปกรณ์ที่ใช้ระดับแพตช์รักษาความปลอดภัยประจำปี 2021-10-01 จะต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
อุปกรณ์ที่ใช้ระดับแพทช์รักษาความปลอดภัย 2021-10-05 หรือใหม่กว่าจะต้องมีแพทช์ที่เกี่ยวข้องทั้งหมดไว้ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขาแก้ไขไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ ประเภท หมายถึงอะไร

รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

คำย่อ	คำนิยาม
อาร์ซีอี	การเรียกใช้โค้ดจากระยะไกล
อีโอพี	การยกระดับสิทธิพิเศษ
บัตรประจำตัวประชาชน	การเปิดเผยข้อมูล
ดอส	การปฏิเสธการให้บริการ
ไม่มี	ไม่มีการจำแนกประเภท

4. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า	อ้างอิง
เอ-	รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ-	หมายเลขอ้างอิงควอลคอมม์
เอ็ม-	หมายเลขอ้างอิง MediaTek
น-	หมายเลขอ้างอิง NVIDIA
ข-	หมายเลขอ้างอิงของ Broadcom
ยู-	หมายเลขอ้างอิง UNISOC

5. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่พร้อมใช้งานจาก ไซต์ Google Developer

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตร เช่น กระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยสำหรับผลิตภัณฑ์ของตนโดยเฉพาะ เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

รุ่นต่างๆ

เวอร์ชัน	วันที่	หมายเหตุ
1.0	4 ตุลาคม 2021	แถลงการณ์เผยแพร่แล้ว
1.1	6 ตุลาคม 2021	แก้ไขประกาศแล้ว
1.2	11 ตุลาคม 2021	ตาราง CVE ที่แก้ไขแล้ว
1.3	15 พฤศจิกายน 2021	ตาราง CVE ที่แก้ไขแล้ว
1.4	29 พฤศจิกายน 2021	ตาราง CVE ที่แก้ไขแล้ว