Buletin Keamanan Android berisi detail kerentanan keamanan memengaruhi perangkat Android. Level patch keamanan 05-01-2022 atau yang lebih baru mengatasi semua masalah ini. Untuk mempelajari cara memeriksa patch keamanan perangkat level, lihat Memeriksa dan update versi Android Anda.
Partner Android akan diberi tahu tentang semua masalah setidaknya satu bulan sebelum dipublikasikan. Patch kode sumber untuk masalah ini memiliki telah dirilis ke repositori Proyek Open Source Android (AOSP) dan ditautkan dari buletin ini. Buletin ini juga mencakup tautan ke patch di luar AOSP
Yang paling parah dari masalah ini adalah kerentanan keamanan yang tinggi di Android komponen runtime yang dapat memungkinkan penyerang lokal untuk melewati memori pembatasan untuk mendapatkan akses ke izin tambahan. Tujuan penilaian tingkat keparahan didasarkan pada efek eksploitasi yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi bahwa mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Lihat Panduan dan bagian mitigasi Google Play Protect untuk mengetahui detail tentang Android platform keamanan dan Google Play Protect, yang meningkatkan keamanan platform Android.
Mitigasi layanan Android dan Google
Ini adalah ringkasan mitigasi yang disediakan oleh Android platform keamanan dan perlindungan layanan seperti Google Play Protect. Kemampuan ini mengurangi kemungkinan munculnya kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk berbagai masalah di Android dipersulit oleh penyempurnaan dalam versi platform Android yang lebih baru. Sebaiknya semua pengguna melakukan update ke versi terbaru Android jika memungkinkan.
- Tim keamanan Android secara aktif memantau penyalahgunaan melalui Google Play Protect dan memperingatkan pengguna tentang Berpotensi Aplikasi Berbahaya. Google Play Protect diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan sangat penting bagi pengguna yang menginstal aplikasi dari luar Google Play.
Detail kerentanan level patch keamanan 2022-01-01
Di bagian di bawah ini, kami memberikan detail untuk setiap keamanan kerentanan yang berlaku pada level {i>patch <i}2022-01-01. Kerentanan adalah dikelompokkan berdasarkan komponen yang terpengaruh. Masalah dijelaskan dalam tabel di bawah ini dan sertakan ID CVE, referensi terkait, jenis kerentanan, keparahan, dan versi AOSP yang diperbarui (jika berlaku). Jika tersedia, kami akan menautkan perubahan publik yang mengatasi masalah pada ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan berhubungan dengan satu bug, referensi tambahan akan ditautkan ke angka setelah ID {i>bug<i}. Perangkat dengan Android 10 dan yang lebih baru dapat menerima pembaruan keamanan serta Google Update sistem Play.
Kerangka kerja
Kerentanan yang paling parah di bagian ini dapat mengaktifkan jaringan lokal aplikasi untuk mengabaikan persyaratan interaksi pengguna untuk mendapatkan akses ke izin tambahan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Versi AOSP yang diupdate |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | EoP | Tinggi | 12 |
| CVE-2021-39632 | A-202159709 | EoP | Tinggi | 11, 12 |
| CVE-2020-0338 | A-123700107 | ID | Tinggi | 9, 10 |
Framework Media
Kerentanan di bagian ini dapat menyebabkan eskalasi jarak jauh istimewa tanpa hak istimewa eksekusi tambahan atau interaksi pengguna yang diperlukan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Versi AOSP yang diupdate |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | EoP | Tinggi | 9, 10, 11, 12 |
Sistem
Kerentanan yang paling parah di bagian ini dapat mengaktifkan jaringan penyerang dengan hak istimewa untuk menginstal paket yang ada tanpa memerlukan izin pengguna.
| CVE | Referensi | Jenis | Tingkat Keparahan | Versi AOSP yang diupdate |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | EoP | Tinggi | 9, 10, 11, 12 |
| CVE-2021-39620 | A-203847542 | EoP | Tinggi | 11, 12 |
| CVE-2021-39621 | A-185126319 | EoP | Tinggi | 9, 10, 11, 12 |
| CVE-2021-39622 | A-192663648 * | EoP | Tinggi | 10, 11, 12 |
| CVE-2021-39625 | A-194695347 * | EoP | Tinggi | 9, 10, 11, 12 |
| CVE-2021-39626 | A-194695497 | EoP | Tinggi | 9, 10, 11, 12 |
| CVE-2021-39627 | A-185126549 | EoP | Tinggi | 9, 10, 11, 12 |
| CVE-2021-39629 | A-197353344 | EoP | Tinggi | 9, 10, 11, 12 |
| CVE-2021-0643 | A-183612370 | ID | Tinggi | 10, 11, 12 |
| CVE-2021-39628 | A-189575031 | ID | Tinggi | 10, 11 |
| CVE-2021-39659 | A-208267659 | DoS | Tinggi | 10, 11, 12 |
Update sistem Google Play
Tidak ada masalah keamanan yang dibahas dalam update sistem Google Play (Project Mainline) bulan ini.
Kerentanan level patch keamanan 2022-01-05 detail
Di bagian di bawah ini, kami memberikan detail untuk setiap keamanan kerentanan yang berlaku pada level {i>patch <i}2022-01-05. Kerentanan adalah dikelompokkan berdasarkan komponen yang terpengaruh. Masalah dijelaskan dalam tabel di bawah ini dan sertakan ID CVE, referensi terkait, jenis kerentanan, keparahan, dan versi AOSP yang diperbarui (jika berlaku). Jika tersedia, kami akan menautkan layanan publik yang telah mengatasi masalah tersebut ke ID bug, seperti daftar perubahan AOSP. Jika beberapa perubahan berhubungan dengan satu bug, referensi tambahan akan ditautkan ke angka setelah ID {i>bug<i}.
runtime Android
Kerentanan di bagian ini dapat memungkinkan penyerang lokal untuk melewati pembatasan memori untuk mendapatkan akses ke izin akses tambahan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Versi AOSP yang diupdate |
|---|---|---|---|---|
| CVE-2021-0959 | J-200284993 | EoP | Tinggi | 12 |
Komponen {i>kernel<i}
Kerentanan yang paling parah di bagian ini dapat menyebabkan jaringan eskalasi akses karena kondisi race, tanpa tambahan hak istimewa eksekusi atau interaksi pengguna yang diperlukan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Komponen |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 Kernel upstream |
EoP | Tinggi | Kernel |
| CVE-2021-39633 | A-150694665 Kernel upstream |
ID | Tinggi | Kernel |
LTS Kernel
Versi kernel berikut telah diupdate.
| Referensi | Versi Peluncuran Android | Versi Peluncuran Kernel | Versi Peluncuran Minimum |
|---|---|---|---|
| J-182179492 | 11 | 5,4 | 5.4.86 |
Komponen MediaTek
Kerentanan ini mempengaruhi komponen MediaTek dan detail lebih lanjut yang tersedia langsung dari MediaTek. Penilaian tingkat keparahan masalah ini adalah yang disediakan langsung oleh MediaTek.
| CVE | Referensi | Tingkat Keparahan | Komponen |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
Tinggi | Modem (Nucleus NET TCP/IP) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
Tinggi | Modem (Nucleus NET TCP/IP) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
Tinggi | Modem (Nucleus NET TCP/IP) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
Tinggi | EMM Modem |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
Tinggi | Modem (Nucleus NET TCP/IP) |
Komponen unisoc
Kerentanan ini memengaruhi komponen Unisoc dan detail lebih lanjut tersedia langsung dari Unisoc. Penilaian tingkat keparahan masalah ini diberikan langsung oleh Unisoc.
| CVE | Referensi | Tingkat Keparahan | Komponen |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
Tinggi | Slogmodem |
Komponen Qualcomm
Kerentanan ini mempengaruhi komponen Qualcomm dan dijelaskan lebih lanjut dalam buletin keamanan atau peringatan keamanan Qualcomm yang sesuai. Penilaian tingkat keparahan masalah ini diberikan langsung oleh Qualcomm.
| CVE | Referensi | Tingkat Keparahan | Komponen |
|---|---|---|---|
| CVE-2021-30319 | J-202025735 QC-CR#2960714 |
Tinggi | WLAN |
| CVE-2021-30353 | J-202025599 QC-CR#2993069 [2] |
Tinggi | Audio |
Komponen closed source Qualcomm
Kerentanan ini memengaruhi komponen {i>closed-source<i} Qualcomm dan dijelaskan secara lebih mendetail dalam buletin keamanan atau keamanan Qualcomm yang sesuai pemberitahuan. Penilaian tingkat keparahan masalah ini diberikan langsung oleh Qualcomm.
| CVE | Referensi | Tingkat Keparahan | Komponen |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | Kritis | Komponen {i>closed-source<i} |
| CVE-2021-30287 | A-193070556 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2021-30300 | A-193071116 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2021-30301 | A-193070342 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2021-30307 | A-193070700 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2021-30308 | A-193070594 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2021-30311 | A-193070557 * | Tinggi | Komponen {i>closed-source<i} |
Pertanyaan dan jawaban umum
Bagian ini menjawab pertanyaan umum yang mungkin terjadi setelah membaca ini buletin.
1. Bagaimana cara mengetahui apakah perangkat saya telah diupdate untuk mengatasi masalah ini?
Untuk mempelajari cara memeriksa level patch keamanan perangkat, lihat Memeriksa dan mengupdate versi Android.
- Level patch keamanan 01-01-2022 atau yang lebih baru mengatasi semua masalah yang terkait dengan level patch keamanan 2022-01-01.
- Level patch keamanan 05-01-2022 atau yang lebih baru mengatasi semua masalah terkait dengan level patch keamanan 2022-01-05 dan semua level patch sebelumnya.
Produsen perangkat yang menyertakan update ini harus menyetel level string patch ke:
- [ro.build.version.security_patch]:[01-01-2022]
- [ro.build.version.security_patch]:[05-01-2022]
Untuk beberapa perangkat di Android 10 atau yang lebih baru, update sistem Google Play akan memiliki string tanggal yang cocok dengan level patch keamanan 2022-01-01. Harap lihat ini untuk mengetahui detail selengkapnya tentang cara menginstal update keamanan.
2. Mengapa buletin ini memiliki dua tingkat patch keamanan?
Buletin ini memiliki dua level patch keamanan sehingga partner Android memiliki fleksibilitas untuk memperbaiki subkumpulan kerentanan yang serupa di semua perangkat Android dengan lebih cepat. Partner Android dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan menggunakan level patch keamanan terbaru.
- Perangkat yang menggunakan level patch keamanan 01-01-2022 harus menyertakan semua masalah yang terkait dengan level {i> patch<i} keamanan itu, serta perbaikan untuk semua masalah yang dilaporkan dalam buletin keamanan sebelumnya.
- Perangkat yang menggunakan level patch keamanan 05-01-2022 atau yang lebih baru harus menyertakan semua tambalan yang berlaku dalam buletin keamanan ini (dan sebelumnya).
Partner dianjurkan untuk menggabungkan perbaikan untuk semua masalah ditangani dalam satu pembaruan.
3. Apa arti entri di kolom Jenis?
Entri di kolom Jenis pada tabel detail kerentanan merujuk pada klasifikasi kerentanan keamanan.
| Singkatan | Definisi |
|---|---|
| RCE | Eksekusi kode jarak jauh |
| EoP | Elevasi hak istimewa |
| ID | Pengungkapan informasi |
| DoS | {i>Denial of service<i} |
| T/A | Klasifikasi tidak tersedia |
4. Apa arti entri dalam kolom Referensi?
Entri pada kolom References di detail kerentanan tabel dapat berisi awalan yang mengidentifikasi organisasi yang menjadi tujuan referensi nilai tersebut berada.
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| S- | Nomor referensi MediaTek |
| T- | Nomor referensi NVIDIA |
| B- | Nomor referensi Broadcom |
| U- | Nomor referensi UNISOC |
5. Apa yang dimaksud * di sebelah ID bug Android dalam Rata-rata kolom Referensi?
Masalah yang tidak tersedia untuk publik memiliki tanda * di sebelah ID referensi. Pembaruan untuk masalah tersebut biasanya terdapat dalam Driver biner untuk perangkat Pixel yang tersedia dari Google Situs developer.
6. Mengapa kerentanan keamanan terbagi dalam buletin ini dan buletin keamanan perangkat / partner, seperti Pixel buletin?
Kerentanan keamanan yang didokumentasikan dalam buletin keamanan ini diperlukan untuk mendeklarasikan level {i> patch<i} keamanan terbaru pada perangkat Android. Kerentanan keamanan tambahan yang didokumentasikan di perangkat / partner buletin keamanan tidak diperlukan untuk mendeklarasikan tingkat {i>patch<i} keamanan. Produsen perangkat dan chipset Android juga dapat memublikasikan detail kerentanan yang spesifik untuk produk mereka, seperti Google, Huawei LGE, Motorola, Nokia, atau Samsung.
Versi
| Versi | Tanggal | Catatan |
|---|---|---|
| 1.0 | 4 Januari 2022 | Buletin Dirilis |
| 1.1 | 5 Januari 2022 | Buletin direvisi untuk menyertakan link AOSP |
| 2.0 | 10 Januari 2022 | Tabel CVE yang direvisi |