ใน Android Security Bulletin มีรายละเอียดของการรักษาความปลอดภัยที่มีผลต่อช่องโหว่อุปกรณ์ Android ระดับแพทช์การรักษาความปลอดภัยของ 2022/03/05 หรือที่อยู่ภายหลังทั้งหมดของปัญหาเหล่านี้ เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
พาร์ทเนอร์ของ Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนที่จะตีพิมพ์ แพทช์รหัสที่มาปัญหาเหล่านี้ได้รับการเผยแพร่ไปยัง Android โครงการ Open Source (AOSP) พื้นที่เก็บข้อมูลและการเชื่อมโยงจากข่าวนี้ ข่าวนี้ยังรวมถึงการเชื่อมโยงไปแพทช์นอก AOSP
รุนแรงที่สุดของปัญหาเหล่านี้เป็นช่องโหว่ความปลอดภัยที่สำคัญในองค์ประกอบของระบบที่อาจนำไปสู่การเพิ่มระยะไกลของสิทธิพิเศษที่มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจจะมีอุปกรณ์ที่ได้รับผลกระทบสมมติว่าแพลตฟอร์มและบริการบรรเทาถูกปิดเพื่อการพัฒนาหรือถ้าข้ามประสบความสำเร็จ
อ้างถึง Android และ Google Play บรรเทาป้องกัน ส่วนสำหรับรายละเอียดเกี่ยวกับ Android คุ้มครองแพลตฟอร์มการรักษาความปลอดภัย และ Google Play ป้องกันซึ่งการปรับปรุงการรักษาความปลอดภัยของแพลตฟอร์ม Android
Android และ Google บรรเทาบริการ
นี่คือบทสรุปของการบรรเทาที่มีให้โดย แพลตฟอร์ม Android การรักษาความปลอดภัย และการบริการการคุ้มครองเช่น Google Play ป้องกัน ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ความปลอดภัยสามารถใช้ประโยชน์ประสบความสำเร็จบน Android
- การใช้ประโยชน์สำหรับหลายประเด็นบน Android ทำยากมากขึ้นโดยการเพิ่มประสิทธิภาพในการรุ่นใหม่ของแพลตฟอร์ม Android เราขอแนะนำให้ผู้ใช้ทุกคนในการปรับปรุงให้เป็นรุ่นล่าสุดของ Android ที่เป็นไปได้
- ทีมรักษาความปลอดภัยของ Android แข็งขันตรวจสอบการละเมิดผ่าน Google Play ป้องกัน และเตือนผู้ใช้เกี่ยวกับ การ ประยุกต์ใช้งานที่อาจเป็นอันตราย Google Play ป้องกันถูกเปิดใช้งานบนอุปกรณ์ที่มี บริการของ Google มือถือ และเป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากด้านนอกของ Google Play
การรักษาความปลอดภัย 2022/03/01 รายละเอียดช่องโหว่ระดับแพทช์
ในส่วนด้านล่างที่เรามีให้รายละเอียดของแต่ละช่องโหว่ความปลอดภัยที่ใช้กับระดับ 2022/03/01 แพทช์ ช่องโหว่ที่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่พวกเขาส่งผลกระทบต่อ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงของประชาชนที่ได้กล่าวถึงประเด็นที่จะรหัสข้อผิดพลาดเช่นการเปลี่ยนแปลงรายการ AOSP เมื่อมีการเปลี่ยนแปลงหลาย ๆ ที่เกี่ยวข้องกับข้อผิดพลาดเพียงครั้งเดียวอ้างอิงเพิ่มเติมมีการเชื่อมโยงไปยังหมายเลขดังต่อไปนี้รหัสข้อผิดพลาด อุปกรณ์ที่มี Android 10 และต่อมาอาจได้รับการปรับปรุงการรักษาความปลอดภัยเช่นเดียวกับ การปรับปรุงระบบของ Google Play
Android รันไทม์
ช่องโหว่ในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการระบบที่จำเป็น
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | รุ่นที่ปรับปรุง AOSP |
|---|---|---|---|---|
| CVE-2021-39689 | A-206090748 | EOP | ปานกลาง | 12 |
กรอบ
ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการผู้ใช้ที่จำเป็น
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | รุ่นที่ปรับปรุง AOSP |
|---|---|---|---|---|
| CVE-2021-39692 | A-209611539 | EOP | สูง | 10, 11, 12 |
| CVE-2021-39693 | A-208662370 | EOP | สูง | 12 |
| CVE-2021-39695 | A-209607944 | EOP | สูง | 11 |
| CVE-2021-39697 | A-200813547 [ 2 ] | EOP | สูง | 11, 12 |
| CVE-2021-39690 | A-204316511 | DoS | สูง | 12 |
สื่อกรอบ
ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลระยะไกลโดยไม่มีสิทธิพิเศษในการดำเนินการเพิ่มเติมที่จำเป็น
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | รุ่นที่ปรับปรุง AOSP |
|---|---|---|---|---|
| CVE-2021-39667 | A-205702093 | ID | สูง | 10, 11, 12 |
ระบบ
ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มระยะไกลของสิทธิพิเศษที่มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | รุ่นที่ปรับปรุง AOSP |
|---|---|---|---|---|
| CVE-2021-39708 | A-206128341 | EOP | วิกฤต | 12 |
| CVE-2021-0957 | A-193149550 | EOP | สูง | 10, 11, 12 |
| CVE-2021-39701 | A-212286849 | EOP | สูง | 11, 12 |
| CVE-2021-39702 | A-205150380 | EOP | สูง | 12 |
| CVE-2021-39703 | A-207057578 | EOP | สูง | 12 |
| CVE-2021-39704 | A-209965481 | EOP | สูง | 10, 11, 12 |
| CVE-2021-39706 | A-200164168 [ 2 ] | EOP | สูง | 10, 11, 12 |
| CVE-2021-39707 | A-200688991 | EOP | สูง | 10, 11, 12 |
| CVE-2021-39709 | A-208817618 | EOP | สูง | 12 |
การปรับปรุงระบบของ Google Play
ปัญหาต่อไปนี้จะรวมอยู่ในส่วนประกอบโครงการฉีด
| ส่วนประกอบ | CVE |
|---|---|
| ตัวแปลงสัญญาณสื่อ | CVE-2021-39667 |
การรักษาความปลอดภัย 2022/03/05 รายละเอียดช่องโหว่ระดับแพทช์
ในส่วนด้านล่างที่เรามีให้รายละเอียดของแต่ละช่องโหว่ความปลอดภัยที่ใช้กับระดับ 2022/03/05 แพทช์ ช่องโหว่ที่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่พวกเขาส่งผลกระทบต่อ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงของประชาชนที่ได้กล่าวถึงประเด็นที่จะรหัสข้อผิดพลาดเช่นการเปลี่ยนแปลงรายการ AOSP เมื่อมีการเปลี่ยนแปลงหลาย ๆ ที่เกี่ยวข้องกับข้อผิดพลาดเพียงครั้งเดียวอ้างอิงเพิ่มเติมมีการเชื่อมโยงไปยังหมายเลขดังต่อไปนี้รหัสข้อผิดพลาด
กรอบ
ช่องโหว่ในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | รุ่นที่ปรับปรุง AOSP |
|---|---|---|---|---|
| CVE-2021-39694 | A-202312327 | EOP | สูง | 12 |
ส่วนประกอบเคอร์เนล
ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น
| CVE | อ้างอิง | พิมพ์ | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2020-29368 | A-174738029 เคอร์เนลต้นน้ำ | EOP | สูง | การจัดการหน่วยความจำเคอร์เนล |
| CVE-2021-39685 | A-210292376 เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] | EOP | สูง | ลินุกซ์ |
| CVE-2021-39686 | A-200688826 เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] [ 4 ] | EOP | สูง | เครื่องผูก |
| CVE-2021-39698 | A-185125206 เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] [ 4 ] [ 5 ] | EOP | สูง | เมล็ด |
| CVE-2021-3655 | A-197154735 เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] [ 4 ] | ID | สูง | SCTP |
ส่วนประกอบ MediaTek
ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบ MediaTek และรายละเอียดเพิ่มเติมที่มีอยู่ได้โดยตรงจาก MediaTek การประเมินความรุนแรงของปัญหาเหล่านี้ให้บริการโดยตรงจาก MediaTek
| CVE | อ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2022-20047 | A-213120685 M-ALPS05917489 * | สูง | ถอดรหัสวิดีโอ |
| CVE-2022-20048 | A-213116796 M-ALPS05917502 * | สูง | ถอดรหัสวิดีโอ |
| CVE-2022-20053 | A-213120689 M-ALPS06219097 * | สูง | บริการ IMS |
ส่วนประกอบวอลคอมม์
ช่องโหว่เหล่านี้ส่งผลกระทบต่อชิ้นส่วนวอลคอมม์และมีการอธิบายในรายละเอียดต่อไปในกระดานข่าวความปลอดภัยวอลคอมม์ที่เหมาะสมหรือแจ้งเตือนความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้ให้บริการโดยตรงจากวอลคอมม์
| CVE | อ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2021-35088 | A-204905738 QC-CR # 3007473 | สูง | WLAN |
| CVE-2021-35103 | A-209481110 QC-CR # 3033509 | สูง | WLAN |
| CVE-2021-35105 | A-209469958 QC-CR # 3034743 [ 2 ] | สูง | แสดง |
| CVE-2021-35106 | A-209481028 QC-CR # 3035196 [ 2 ] | สูง | WLAN |
| CVE-2021-35117 | A-209481202 QC-CR # 3028360 | สูง | WLAN |
วอลคอมม์ส่วนประกอบปิดแหล่งที่มา
ช่องโหว่เหล่านี้ส่งผลกระทบต่อ Qualcomm ส่วนประกอบปิดแหล่งที่มาและมีการอธิบายในรายละเอียดต่อไปในกระดานข่าวความปลอดภัยวอลคอมม์ที่เหมาะสมหรือแจ้งเตือนความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้ให้บริการโดยตรงจากวอลคอมม์
| CVE | อ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2021-1942 | A-199191104 * | วิกฤต | องค์ประกอบปิดแหล่งที่มา |
| CVE-2021-35110 | A-209469768 * | วิกฤต | องค์ประกอบปิดแหล่งที่มา |
| CVE-2021-1950 | A-199191539 * | สูง | องค์ประกอบปิดแหล่งที่มา |
| CVE-2021-30328 | A-199191341 * | สูง | องค์ประกอบปิดแหล่งที่มา |
| CVE-2021-30329 | A-199191831 * | สูง | องค์ประกอบปิดแหล่งที่มา |
| CVE-2021-30332 | A-199190643 * | สูง | องค์ประกอบปิดแหล่งที่มา |
| CVE-2021-30333 | A-199191889 * | สูง | องค์ประกอบปิดแหล่งที่มา |
การปรับปรุงระบบของ Google Play
ปัญหาต่อไปนี้จะรวมอยู่ในส่วนประกอบโครงการฉีด
| ส่วนประกอบ | CVE |
|---|---|
| ได้รับอนุญาตควบคุม | CVE-2021-39694 |
คำถามที่พบบ่อยและคำตอบ
ในส่วนนี้จะตอบคำถามที่พบบ่อยที่อาจเกิดขึ้นหลังจากที่ได้อ่านข่าวนี้
1. ฉันจะตรวจสอบได้อย่างไรว่าอุปกรณ์ของฉันมีการปรับปรุงเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
- ระดับแพทช์การรักษาความปลอดภัยของ 2022/03/01 หรือที่อยู่ต่อมาทุกประเด็นที่เกี่ยวข้องกับการรักษาความปลอดภัยระดับแพทช์ 2022/03/01
- ระดับแพทช์การรักษาความปลอดภัยของ 2022/03/05 หรือที่อยู่ต่อมาทุกประเด็นที่เกี่ยวข้องกับการรักษาความปลอดภัยระดับแพทช์ 2022/03/05 และทุกระดับแพทช์ก่อนหน้านี้
ผู้ผลิตอุปกรณ์ที่มีการปรับปรุงเหล่านี้ควรตั้งแพทช์สตริงระดับ:
- [ro.build.version.security_patch]: [2022/03/01]
- [ro.build.version.security_patch]: [2022/03/05]
สำหรับอุปกรณ์บางอย่างบน Android 10 หรือภายหลังการปรับปรุงระบบของ Google Play จะมีสตริงวันที่ตรงกับระดับโปรแกรมปรับปรุงความปลอดภัย 2022/03/01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงการรักษาความปลอดภัย
2. ทำไมข่าวนี้มีสองระดับแพทช์รักษาความปลอดภัย?
ข่าวนี้มีสองระดับโปรแกรมปรับปรุงความปลอดภัยเพื่อให้คู่ค้าของ Android มีความยืดหยุ่นในการแก้ไขปัญหาส่วนหนึ่งของช่องโหว่ที่มีความคล้ายคลึงกันทั่วทุกอุปกรณ์ Android ได้อย่างรวดเร็ว พาร์ทเนอร์ของ Android มีกำลังใจที่จะแก้ไขปัญหาทั้งหมดในข่าวนี้และใช้แพทช์ระดับการรักษาความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ในระดับโปรแกรมปรับปรุงความปลอดภัย 2022/03/01 ต้องรวมทุกประเด็นที่เกี่ยวข้องกับแพทช์ระดับการรักษาความปลอดภัยที่เช่นเดียวกับการแก้ไขปัญหาทั้งหมดรายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้แพทช์ระดับการรักษาความปลอดภัยของ 2022/03/05 หรือใหม่กว่าต้องมีแพทช์ทั้งหมดที่บังคับใช้ในวันนี้ (และก่อนหน้า) กระดานข่าวความปลอดภัย
พาร์ทเนอร์ได้รับการสนับสนุนที่จะกำแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขามีที่อยู่ในการปรับปรุงในครั้งเดียว
3 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ ประเภท ?
รายการในคอลัมน์ ประเภท ของช่องโหว่รายละเอียดอ้างอิงตารางการจัดหมวดหมู่ของช่องโหว่การรักษาความปลอดภัย
| ตัวย่อ | คำนิยาม |
|---|---|
| RCE | โค้ดจากระยะไกล |
| EOP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| N / A | การจำแนกประเภทไม่สามารถใช้ได้ |
4 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ อ้างอิง ?
รายการภายใต้การ อ้างอิง คอลัมน์ของตารางรายละเอียดช่องโหว่อาจจะมีคำนำหน้าระบุองค์กรที่ค่าอ้างอิงเป็น
| อุปสรรค | อ้างอิง |
|---|---|
| A- | รหัสข้อผิดพลาดของ Android |
| QC- | หมายเลขอ้างอิงวอลคอมม์ |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิง NVIDIA |
| B- | หมายเลขอ้างอิง Broadcom |
| ยู- | หมายเลขอ้างอิง UNISOC |
5. อะไรนี้ * ติดกับรหัสข้อผิดพลาดใน Android หมายถึงคอลัมน์ อ้างอิง ?
ปัญหาที่ไม่ได้เปิดเผยต่อสาธารณชนมี * ติดกับหมายเลขอ้างอิงที่สอดคล้องกัน การปรับปรุงสำหรับปัญหาที่มีอยู่ทั่วไปในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์พิกเซลพร้อมใช้งานจาก เว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google
6. ทำไมช่องโหว่ความปลอดภัยแยกระหว่างข่าวนี้และอุปกรณ์ / พันธมิตรกระดานข่าวความปลอดภัยเช่นข่าวพิกเซล?
ช่องโหว่ความปลอดภัยที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยนี้จะต้องประกาศแพทช์ระดับการรักษาความปลอดภัยล่าสุดเกี่ยวกับอุปกรณ์ Android ช่องโหว่ความปลอดภัยอื่น ๆ ที่มีการบันทึกไว้ในอุปกรณ์ / พันธมิตรกระดานข่าวความปลอดภัยจะไม่จำเป็นสำหรับการประกาศระดับโปรแกรมปรับปรุงความปลอดภัย อุปกรณ์ Android และชิปเซ็ตผู้ผลิตยังสามารถเผยแพร่รายละเอียดการรักษาความปลอดภัยช่องโหว่ที่เฉพาะเจาะจงกับผลิตภัณฑ์ของพวกเขาเช่น Google , หัวเว่ย , แอล จี , Motorola , Nokia หรือ ซัมซุง
รุ่น
| รุ่น | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 7 มีนาคม 2022 | Bulletin ปล่อยตัว |
| 1.1 | 8 มีนาคม 2022 | Bulletin ปรับปรุงเพื่อให้มีการเชื่อมโยง AOSP |
| 1.2 | 5 เมษายน 2022 | ตาราง CVE แก้ไข |